Skip to content

Wider den Zwang zur Passwort-Änderung

Gestern hat Heise geschrieben, was die Communications Electronics Security Group (CESG), eine Abteilung des britischen Nachrichtendiensts GCHQ, empfiehlt, und was ich schon seit gefühlt 1847 predige: Der Zwang zur regelmäßigen Änderung von Passworten erweist der IT-Sicherheit nicht selten einen Bärendienst.

Nutzer, die einerseits zu immer komplexeren Passworten gezwungen werden, und diese andererseits dreimal in der Woche ändern müssen, neigen - für viele IT-Abteilungen völlig überrschend - dazu, diese Passworte aufzuschreiben, sie überall zu verwenden und sie bei erzwungenen Änderungen nur minimal zu ändern. So findet sich in meinen AD-Passwörtern diesen Monat die Zeichenkette 416, man darf raten woher sie kommt.

Ich bin ja ein großer Fan von Systemen, die den Benutzer für ein komplexes Passwort loben ("Dieses Passwort bekommt auf einer Skala von 1 bis 10 eine 8, wobei die Ähnlichkeit zum alten Passwort zur Abwertung geführt hat") und ihn vielleicht sogar dafür belohnen ("Dieses Passwort ist so herrlich komplex und unterscheidet sich so signifikant von Deinem alten Passwort, dass Du es jetzt 18 Monate behalten darfst"). Ich frage mich, warum sowas heutzutage so selten implementiert wird. Ich hab sowas zwar schonmal gesehen, aber das ist fünfzehn Jahre her, und seitdem nie wieder. Dabei ist diese Idee so nahe liegend.

Ach ja, das Blog gibt es noch. Ich plane seit Monaten, es auf einen neuen Server zu migrieren und dann auch wieder mit Inhalten zu bestücken. Nachdem wir jetzt auch schon bald zwei Jahre in unserem Haus leben, könnte ich langsam mal anfangen, die Baustellen-Highlights zu verbloggen.

Trackbacks

No Trackbacks

Comments

Display comments as Linear | Threaded

-thh on :

Ja, kein Single-Signon und regelmäßige Passwortwechsel. ggf. kombiniert mit einem Verbot, selbst Software zu installieren (Passwortmanager!), bringen selbst informierte und guteillige Benutzer an die Grenzen ihrer Bereitwilligkeit.

Von "Jahreszeit+Jahr" für einen vorgeschriebenen Passwortwechsel alle 90 Tage hatte ich schonmal berichtet, oder?

"Ach ja, das Blog gibt es noch. Ich plane seit Monaten, es auf einen neuen Server zu migrieren und dann auch wieder mit Inhalten zu bestücken."

Woher kenne ich das bloß? :-)

Ist das schon ein s9y 2.x? Falls nicht: unbedingt updaten. Die neue Version ist richtig angenehm zu bedienen und hat ein schönes, "responsives" Template, dass man leicht für eigene Zwecke anpassen kann. Mich hat das 2014 motiviert, wieder häufiger etwas zu schreiben, weil's einfach wieder Spaß macht.

"Nachdem wir jetzt auch schon bald zwei Jahre in unserem Haus leben, könnte ich langsam mal anfangen, die Baustellen-Highlights zu verbloggen."

Oh ja! Das wäre sicher spannend (so lange man es nicht selbst durchleiden muss ...).

Johannes on :

Hallo. Warum es das mit der Ähnlichkeit zum alten Passwort nicht mehr gibt, ist doch klar: das System hat das Passwort hat nicht zu kennen, nur den Hash.

Marc 'Zugschlus' Haber on :

Praktischerweise gibt man ja das alte Passwort bei der Änderung nochmal ein.

Add Comment

Markdown format allowed
Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
Form options