Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Gedanken zu geplanten Passwortänderungen (nennen Sie sie nicht Rotationen!)
Wir alle verwenden immer noch Passwörter für viele, vielleicht sogar die meisten unserer Konten, weil wir alle immer noch viele Online-Dienste nutzen, die kein anderes Anmeldesystem bieten.
Gerade heute habe ich zum Beispiel Mitgliedsbeiträge an einen Radsportverein gezahlt, der nach meiner Postanschrift gefragt hat, damit er mir meine Mitgliedskarte zuschicken kann. Ich fand das eine herrlich einfache und altmodische Möglichkeit, meine Mitgliedsnummer abzurufen künftig auch unterwegs.
Bei dem kalten und feuchten Wetter, das man in England fast das ganze Jahr über hat, ein Mobiltelefon herauskramen, auf ein Signal warten, die Handschuhe ausziehen (im Winter macht es nicht viel Spaß, sie wieder anzuziehen). durchnässt) und das Herumspielen mit Apps, Websites, Passwörtern, 2FA-Codes und mehr …
… nun, es ist einfach nicht so einfach, eine wasserdichte, sturzsichere, batterielose Plastikkarte mit Ihren grundlegenden Daten darauf zu finden.
Aber zusammen mit meiner Zahlungsbestätigung, die mich darüber informierte, dass meine Mitgliedskarte unterwegs war, wurde ich daran erinnert, dass ich meine Mitgliedschaft jemals verlängern oder eine wasserdichte, sturzsichere, batterielose Ersatzkarte aus Plastik anfordern wollte (leider sind sie nicht verlustsicher), ich müsste ein Konto auf der Gruppenwebsite erstellen, warum also nicht gleich ein Passwort wählen?
Einfach ausgedrückt: Um die Notwendigkeit eines Passworts von vornherein zu vermeiden, müsste ich zweitens eines erstellen.
Und wenn Passwörter auftauchen, taucht auch eine Dauerfrage auf:
Sollten Sie ständig alle Ihre Passwörter ändern, um sie zu schnelllebigen Zielen für Cyberkriminelle zu machen, oder sich zunächst wirklich komplexe Passwörter merken und diese dann lieber in Ruhe lassen?
Tatsächlich war dies das Problem, mit dem ein langjähriger Leser von Naked Security heute Morgen konfrontiert war, dessen eigenes IT-Team genau in diesem Dilemma steckte, möglicherweise aufgrund einer Beinahe-Unsicherheit im Bereich Cybersicherheit, die es gerade aus erster Hand erlebt hatte.
Welches ist besser?
Komplexe Passwörter oder Passphrasen, die möglicherweise nicht oft geändert werden, oder schlecht gewählte Passwörter, die regelmäßig geändert werden?
Unsere Gedanken zu diesem Thema sind wie folgt:
Das regelmäßige Ändern Ihres Passworts macht es nicht automatisch zu einem besseren Passwort.
Erst die Wahl eines besseren Passworts macht es zu einem besseren Passwort! (Hier können Passwortmanager helfen.)
Naked Security Live – Was passiert, wenn mein Passwort-Manager gehackt wird?
Mit anderen Worten: Wir schlagen vor, dass Sie sich zunächst mit dem Problem befassen, Ihren Benutzern bei der Auswahl angemessener Passwörter zu helfen, und sie dann dazu ermutigen, Fälle zu erkennen, in denen sie ihre Passwörter sofort ändern sollten, ohne dass ein Zeitplan erforderlich ist, der sie dazu auffordert …
…und erst dann sollten Sie sich Gedanken darüber machen, ob Sie wirklich auch eine „Regelmäßige Änderungen unabhängig“-Passwortrichtlinie benötigen.
Jeden Monat eine Passwortänderung zu fordern, obwohl dies einfach nicht nötig ist, lädt die Leute lediglich dazu ein, ihre neuen Passwörter unsicher zu speichern, neue Passwörter nachlässig auszuwählen, eine sich wiederholende Folge von N zugehörigen Passwörtern zu durchlaufen oder ihre Passwörter immer nur zu aktualisieren alle 30 Tage, auch in Notfällen.
Dennoch ist es eine gute Idee, Benutzer auszusperren, die über einen bestimmten Zeitraum hinweg nicht auf bestimmte Unternehmenskonten zugegriffen haben. (Dies schützt auch in gewissem Maße vor vergessenen Konten, da diese irgendwann automatisch ablaufen.)
Das Sperren von Benutzern wegen Inaktivität ist aufdringlicher, als sie einfach dazu zu zwingen, ihre Passwörter regelmäßig zurückzusetzen, und daher unbeliebt.
Aber wenn jemand über ein Firmenkonto-Login verfügt, das er nicht verwendet, warum drängen Sie ihn dann nicht, persönlich zu begründen, warum er es immer noch benötigt, nachdem er es beispielsweise sechs Monate oder ein Jahr lang nicht verwendet hat?
Denn wenn es sich um die Anmeldung für ein Produkt oder eine Dienstleistung handelt, für die eine Gebühr pro Benutzer erhoben wird, können Sie möglicherweise sogar die Kosten für deren Abonnement sparen.
Und wenn sie das Konto tatsächlich nicht mehr benötigen, helfen Sie ihnen, Ärger zu vermeiden, indem Sie Schurken und Cyberkriminelle daran hindern, in ihrem Namen böse Dinge zu tun.
Folgen@NakedSecurity auf Twitterfür die neuesten Nachrichten zur Computersicherheit.
Folgen@NakedSecurity auf Instagramfür exklusive Bilder, Gifs, Videos und LOLs!
Sollten Sie ständig alle Ihre Passwörter ändern, um sie zu schnelllebigen Zielen für Cyberkriminelle zu machen, oder sich zunächst wirklich komplexe Passwörter merken und diese dann lieber in Ruhe lassen? Das regelmäßige Ändern von Passwörtern ist keine Alternative zur Auswahl und Verwendung sicherer Passwörter. Menschen dazu zu zwingen, ihre Passwörter regelmäßig zu ändern, kann dazu führen, dass sie sich schlechte Gewohnheiten aneignen. Das Planen von Passwortänderungen kann die Notfallreaktion verzögern. @NakedSecurity auf Twitter @NakedSecurity auf Instagram