Passwort ändern, wichtige Richtlinien

Das Passwort ändern

Seit Jahr und Tag wird verbreitet, dass man regelmäßig sein Passwort ändern soll. Viele Richtlinien benötigen ewig um von Anwendern umgesetzt zu werden. Aber manche schaffen es doch, nach Jahren, sich zu etablieren. Bei einem Kunden, muss ich alle 45 Tage mein Passwort ändern. Bei anderen Kunden manchmal auch alle 30 Tage, das ist jedenfalls sehr kurz hintereinander und auch irgendwo sehr arbeitsintensiv.
Man meint, die Sicherheit steigt dadurch, aber man verwechselt auch oft die Kennwörter und sperrt das Konto. Das ergibt Aufwand im Servicedesk.
Nur, solange ich keinen Hinweis darauf habe, dass das Konto kompromittiert wurde, brauche ich das Kennwort nicht ändern.
Es ist viel wichtiger, für jeden Login ein eigenes Passwort zu haben.
Und natürlich sollte das Passwort länger als 8 Zeichen sein, um einiges länger!

Im Bezug auf Sicherheitsüberprüfungen wollte ich vor einiger Zeit mal eine Datenbank für verschiedene Passwörter bei mir anlegen (errechnen lassen). Das Programm meinte, es wolle mal Passwörter von 1 – 13 Stellen erstellen und schreibt dann mal 1PB an Daten. Also Gigabyte * 1024 = Terabyte. Terabyte * 1024 = Petabyte …..
10 Hoch 15 Byte = 1 000 000 000 000 000 Byte
Ich meine, Plattenplatz kostet ja heutzutage nichts mehr, aber trotzdem ^^.
Wenn ich bedenke, dass meine Passwörter 15 – 25 Zeichen lang sind ….
Also, zusammenhängende Wörter, für jeden Login ein Passwort, unterschiedliche Längen der Passworte, Sonderzeichen, Groß-/Kleinschreibung.

Beispiele

D@s-Fenster!stoffen32  könnte zum Beispiel ein Passwort sein, das kann man noch ausschmücken. Eine Fremdsprache hinzufügen, Denglisch nutzen…
Ich-havemeinen1RechnerGeupgraded9 ……Viel Spaß beim errechnen. Wer das Passwort knackt, hat es verdient.

War es das jetzt?

Natürlich ist das keine 100% Richtlinie. Man kann das Kennwort auch mal alle paar Monate wechseln. Aber nicht alle 30 Tage, das finde ich übertrieben. Dann schon eher onetime Passwörter oder Smartcards oder andere Token.
Ich würde auch eine Unterscheidung machen, wie wichtig der Login ist. Admin Berechtigung mit längeren PW und öfter wechseln. Facebook …
Überhaupt nicht nutzen… Spaß. Facebook ist natürlich schon im Fokus, speziell für größere Firmen kann es heikel sein, falls der Account geknackt wurde.
Ich bin der Meinung, dass man keine komplett gleiche Vorgehensweise bei der Erstellung der Passwörter haben sollte.
Das ist meiner Meinung nach das sicherste Vorgehen.

Eine Übersicht zur Unterstützung der Verwaltung von Kennwörtern gibt es z.B. bei Wikipedia

In Browsern gibt es immer wieder Sicherheitslücken, welche die Passwörter auslesbar machen! Das Speichern im Browser sollte also nicht genutzt werden. Zu meinem Erstaunen hat Microsoft die verpflichtende Passwort wechsel Richtlinie entfernt. Seit einigen Wochen gibt es mehr zu dem Thema zum Beispiel „Time to rethink mandatory password changes“

Schlimme Passwörter sind:

Master
qwertz
123456……
111111
letmein
princess
passwort   <-echt jetzt?
fussball

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.