Jump to content
Shao-Lee

Umfrage/Diskussion: "Passwörter mit/ohne Ablaufdatum"

Recommended Posts

Hallo zusammen,

 

ich hatte soeben das Thema mit den (leider unzureichenden) Passwortbenachrichtigungen auf unseren neuen Citrix-Systemen auf dem Tisch und habe hier nach Lösungen gesucht.

Querverweis zum Thema:

 

Nun kam eine ziemlich spannende Antwort vom Kollege BofH (vielen Dank nochmals!) - und um ehrlich zu sein: ich hab' von diesem revolutionären Ansatz jetzt zum ersten Mal gehört.

Ich zitiere den Beitrag nach Rücksprache mit BofH hier der Einfachheit halber nochmals:

 

vor 11 Stunden schrieb BOfH_666:

Da gibt es noch eine weitere Option, die Du bisher offenbar nicht mal in Betracht ziehst.  ;-)   

 

Welche bessere Gelegenheit kann es geben, ein System abzuschaffen, das die Aufgabe, für die es erdacht wurde, sowieso nicht zuverlässig erfüllt und dazu auch noch mehr Arbeit macht als es spart. ;-) 

 

Die Empfehlung, Passwörter regelmäßig zu wechseln, haben wir dem NIST zu verdanken. Und sie stammt aus der Computer-Steinzeit. Alle weiteren Empfehlung, incl. der des BSI, basierten im Prinzip darauf.  ABER, und das ist ein riesen aber - angefangen mit dem NIST, haben alle relevanten Institutionen inzwischen diese Empfehlung widerrufen. Das NIST, BSI, die englische CESG, ja selbst Microsoft empfehlen inzwischen, die Passwort-Alterung zu deaktivieren, weil sie die Sicherheit nicht erhöht sondern verringert.

Wenn Du dafür "Futter" für Deine Chefs oder die Administratoren oder den CSO oder CIO  brauchst, brauchst Du nur danach zu suchen - Du wirst sehr schnell fündig werden. (Ich könnte auch nochmal auf die Suche gehen, wenn Dir das hilft. 

 

Also, statt wahnsinnig große Umstände zu veranstalten, die User dazu zu bewegen, ihr Passwort regelmäßig zu ändern, solltet ihr die User schulen, ein sicheres Passwort zu wählen, welches sie so lange behalten können, bis es den begründeten Verdacht gibt, dass dieses spezielle Passwort kompromittiert wurde.

 

Und um dem ganzen Thema ein bisschen mehr Substanz zu geben, habe ich mich auf der Seite meines Landesdatenschutzbeauftragten auf die Suche begeben - ...siehe da:

 

Zitat

6)  Nur bei Kompromittierung ändern

Früher wurde empfohlen, Passwörter in regelmäßigen Abständen zu ändern. Diese Empfehlung gilt heutzutage als überholt, da sie nicht zu mehr Sicherheit führt – sondern nur dazu, dass Nutzer sich diese im Klartext notieren, einfache Passwörter wählen, eine Zahl hoch zählen oder ähnliches. Daher sollten Administratoren die Nutzer nicht mehr zwingen, Passwörter in regelmäßigen Abständen zu ändern. Nur wenn es Anzeichen dafür gibt, dass Passwörter oder Passwort-Hashes in fremde Hände gelangt sind, sollten Nutzer diese ändern bzw. zu einer Änderung aufgefordert werden.

 

Der Artikel ist knapp über ein Jahr alt.

Quellennachweis: https://www.baden-wuerttemberg.datenschutz.de/hinweise-zum-umgang-mit-passwoertern/

 

 

Nun zu meinem Ansinnen:

 

Ich würde gerne ein Gefühl dafür bekommen, ob es hier Kollegen aus der IT gibt, die das bereits mit ihrem Datenschutzbeauftragten diskutiert und sogar in ihren Unternehmen umgesetzt haben.

Wie ist denn die Akzeptanz bei den Mitarbeitern?

Wie steht ihr grundsätzlich zum Thema?

 

Ich würde mich freuen, wenn zum Thema ein paar Meinungsbilder kommen - vorab schonmal vielen Dank!

 

 

Damit zu meiner Meinung:

Auf den ersten Blick klingt die Idee ziemlich revolutionär - denn: ich hab's ja eigentlich anders gelernt.

Wenn ich mir allerdings unsere User-Landschaft (...wir haben dann doch den einen oder anderen User, wo das Kennwort aus unterschiedlichen Gründen nie abläuft...) und das Führen der Passwortlisten, die mir leider auch schon hier im Team begegnet sind, vor Augen halte, dann gefällt mir der obige Ansatz besser!

 

Liebe Grüße

Edited by Shao-Lee
Tippfehler entdeckt.

Share this post


Link to post

Moin,

 

also ... ich predige das seit mindestens fünzehn Jahren, eher zwanzig. So richtig "revolutionär" ist das daher nicht.

 

Gruß, Nils

 

  • Like 1

Share this post


Link to post
vor 7 Minuten schrieb NilsK:

also ... ich predige das seit mindestens fünzehn Jahren, eher zwanzig. So richtig "revolutionär" ist das daher nicht.

 

Ahoi Nils, wie ist denn da Deine Erfahrung als Consultant? Fällt das Thema eher auf fruchtbaren Boden und wird das im Anschluss dann auch konsequenterweise umgesetzt ... oder ist eine Umsetzung da eher zurückhaltend / verhaltend?

 

Danke Dir.

Edited by Shao-Lee

Share this post


Link to post

Hi,

vor 34 Minuten schrieb Shao-Lee:

Ich würde gerne ein Gefühl dafür bekommen, ob es hier Kollegen aus der IT gibt, die das bereits mit ihrem Datenschutzbeauftragten diskutiert und sogar in ihren Unternehmen umgesetzt haben.

unser DSB hat sich eine Notiz dazu gemacht und somit abgehakt. Bei Kunden gibt es DSBs die das ebenso handhaben, mit denen man sich über Sinn / Unsinn der regelmäßigen Kennwortänderung unterhalten kann oder welche die darauf beharren und auf die Unfähigkeit des ITlers hinweisen. Viele Kunden (und auch DSBs) verstehen im Gespräch, dass es Unsinn ist und verzichten drauf. Andere Kunden glauben dem DSB, der macht das ja beruflich. ;)

Ebenfalls gibt es noch "Cyber-Versicherungen" die Kennwortänderungen in ihren Bedingungen haben.

 

vor 41 Minuten schrieb Shao-Lee:

Wie ist denn die Akzeptanz bei den Mitarbeitern?

Die freuen sich in der Regel, dass Sie ihr Kennwort nicht mehr ändern müssen bzw. mussten das Kennwort eh nicht regelmäßig ändern. Theoretisch kann ja jeder der mag, sein Kennwort alle x-Tage trotzdem ändern.

 

vor 42 Minuten schrieb Shao-Lee:

Wie steht ihr grundsätzlich zum Thema?

Langes Kennwort bzw. einen Kennwortsatz; Keine regelmäßige Änderung.

 

Gruß

Jan

  • Like 1
  • Thanks 1

Share this post


Link to post

Ich sehe das nicht ganz so einfach.

Der Kennwortwechsel ist ein Mittel gegen das accountsharing. 

Wir führen jetzt aber einfach einen zweitem Faktor ein... 

  • Thanks 1

Share this post


Link to post
vor 30 Minuten schrieb magheinz:

Der Kennwortwechsel ist ein Mittel gegen das accountsharing. 

...  und ... funktioniert das gut?  Ich würde erwarten, dass Anwender, die kein Problem damit haben, ihren Account weiterzugeben, auch kein Problem damit haben, diese Weitergabe aktuell zu halten - also das neue Passwort auch wieder weiterzugeben.

  • Thanks 1

Share this post


Link to post
vor einer Stunde schrieb magheinz:

Der Kennwortwechsel ist ein Mittel gegen das accountsharing. 

Wir führen jetzt aber einfach einen zweitem Faktor ein...

Meinst du, derjenige der seine Account-Daten weitergibt, wird dann nicht bei 2FA auch den Code weitergeben bzw. blind alles absegnen? Da müsste der 2te Faktor ja schon SmartCard / Yubikey o.ä. sein, was man aber auch weiterreichen kann. Sowas lässt sich vermutlich nur organisatorisch und mit Konsequenzen abschaffen.

Share this post


Link to post
vor 15 Minuten schrieb testperson:

Meinst du, derjenige der seine Account-Daten weitergibt, wird dann nicht bei 2FA auch den Code weitergeben bzw. blind alles absegnen? ...

Da gibt's sicherlich einige "Unverbesserliche"...

Aber bei einer 2FA mit entsprechender Ansage dürfte die Hemmschwelle für eine Weitergabe dann doch deutlich größer sein?

Share this post


Link to post
vor 4 Minuten schrieb Shao-Lee:

Aber bei einer 2FA mit entsprechender Ansage dürfte die Hemmschwelle für eine Weitergabe dann doch deutlich größer sein?

Ja klar, allerdings sollte dann auch eine entsprechende Ansage ohne 2FA helfen. ;) Natürlich kann man Ansagen mit was Neuem einfacher verargumentieren wie etwas zu ändern, was doch schon immer so gehandhabt wurde.

Share this post


Link to post
vor 33 Minuten schrieb testperson:

Meinst du, derjenige der seine Account-Daten weitergibt, wird dann nicht bei 2FA auch den Code weitergeben bzw. blind alles absegnen? Da müsste der 2te Faktor ja schon SmartCard / Yubikey o.ä. sein, was man aber auch weiterreichen kann. Sowas lässt sich vermutlich nur organisatorisch und mit Konsequenzen abschaffen.

klar. der zweite Faktor muss ein Stück Hardware sein...

Zur Not muß man das mit Biometrie verbinden und einen zweiten Faktor mit Fingerabdruck nehmen. 

 

Den Stick, die Karte etc kann man ja auch nur sehr eingeschränkt weitergeben, da man ohne ja selber nicht mehr arbeiten kann. 

Share this post


Link to post
vor 38 Minuten schrieb magheinz:

klar. der zweite Faktor muss ein Stück Hardware sein...

Nett wäre es, wenn das Stück Hardware auch für Türöffnungen und ein- bzw. ausstempeln benutzt wird. Das ist dann eine erweiterte Hemmschwelle. ;)

  • Like 1

Share this post


Link to post
vor 3 Minuten schrieb Sunny61:

Nett wäre es, wenn das Stück Hardware auch für Türöffnungen und ein- bzw. ausstempeln benutzt wird. Das ist dann eine erweiterte Hemmschwelle. ;)

genau. das wäre auch mein Ziel. Der Rechner geht dann nur an, wenn die Bürotür geöffnet wird etc.

Druckerjobs abholeb, Getränkeautomat, Kaffemaschine etc

Da lässt sich so viel machen.

Share this post


Link to post
vor 37 Minuten schrieb magheinz:

genau. das wäre auch mein Ziel. Der Rechner geht dann nur an, wenn die Bürotür geöffnet wird etc.

Druckerjobs abholeb, Getränkeautomat, Kaffemaschine etc

Da lässt sich so viel machen.

Ich klinke mich mal ein - erstens, weigern wir uns das Ändern der Passwörter zu erzwingen, zweites sind wir in der glücklichen Lage, das die User die Notwendigkeit sicherer Passwörter erkannt haben (bei uns 10 Zeichen, üblich Groß/klein/Sonder/Zahl)
Ich sage immer schreibe lieber einen kleinen Satz als Cryptisch (In2020&meinchefkannnix) - das merkt man sich besser

 

Zur Hardware - für Azure & Co. gibt es ja diese Token - weiß jemand, ob das auch mit anderen Dingen geht, z.B. Mifare Karten/Chips?

Wir haben solche als Zugangskontrolle und Anwesenheit/Arbeitszeiterfassung

 

:-)

Share this post


Link to post
vor 4 Minuten schrieb Nobbyaushb:

Zur Hardware - für Azure & Co. gibt es ja diese Token - weiß jemand, ob das auch mit anderen Dingen geht, z.B. Mifare Karten/Chips?

Du kannst die MS Authenticator App (oder auch viele andere Authenticator Apps) verwenden. Da wäre dann - ein entsprechendes Smartphone vorausgesetzt - die Biometrie auch gleich dabei.  ... funktioniert sehr gut.

 

PS: Das Handy geben wohl noch die wenigsten einfach aus der Hand. ;-) 

Edited by BOfH_666

Share this post


Link to post
vor 2 Minuten schrieb BOfH_666:

Du kannst die MS Authenticator App (oder auch viele andere Authenticator Apps) verwenden. Da wäre dann - ein entsprechendes Smartphone vorausgesetzt - die Biometrie auch gleich dabei.  ... funktioniert sehr gut.

Geht leider nicht, da nur ein eingeschränkter Personenkreis iPhones hat - und private Smartphones dürfen sich nicht mit dem Firmennetz verbinden

Vorgabe Behörde - KRITS

Daher unsere Idee mit den Chips, da jeder MA einen hat

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...