Sicherheit: Sollte man sein Passwort noch regelmäßig ändern, wenn 2FA nicht verfügbar ist?

[CyborgBeta]

Nabend,

wie ist da der Stand der Dinge oder wie handhabt ihr es: wenn man ein starkes, eindeutiges Passwort und nicht den Verdacht hat, es sei kompromittiert, sollte man dies dennoch regelmäßig ändern?

Beispiel: Social-Media-Account oder E-Mail usw.

Über google finde ich sowohl Pro als auch Contra Meinungen. Beispiel: https://themessaging.co/blog/do-i-need-to-change-my-email-password/ oder https://www.proactive-info.com/blog/change-your-password

 

[Blutomen]

sollte man dies dennoch regelmäßig ändern?

Ja .. so wie alle anderen auch.
Einmal im Jahr sind bei mir alle Passwörter dran.

 

[00Julius]

Solange du hinreichend lang und komplexe Passwörter verwendet, ist es mMn nicht mehr nötig das Passwort öfter zu ändern.
Wenn du natürlich "1234" verwendest, solltest du spätestens nach 2 Tagen auf "0000" wechseln.

 

[coasterblog]

finde ich sowohl Pro als auch Contra Meinungen.

So ist dasa eben mit Meinungen. Auch wenn du eigentlich damit einen ausreichenden Schutz hast kann dem ein oder Anderen das nicht genug sein.

 

[tollertyp]

Ja .. so wie alle anderen auch.

Ich werde nie verstehen warum Menschen glauben, dass grundlose Passwortwechsel die Sicherheit erhöhen würden.

 

[BFF]

man ein starkes, eindeutiges Passwort und nicht den Verdacht hat, es sei kompromittiert

Ganz ehrlich hab ich meine Passwörter seit mehr als 10 Jahren nicht gewechselt.

Ausnahme sind nur Dienste von United Internet aka GMX und Microsoft wo aufgrund von externen Angriffen der Account zugemacht und ein neues PW verlangt wurde. Welches einen Tag später auch wieder hinfällig war.

Generell für mich.
Ändern nur wenn gezwungen oder Verdacht.

 

[Fujiyama]

Warum sollte das die Sicherheit erhöhen? Die Logik dahinter würde mich interessieren

 

[BeBur]

Wogegen sollte das schützen?

 

[Lynacchi]

Wenn du überall das gleiche Passwort nutzt, dann ja
Meiner Meinung nach sollte es aber ausreichen, ein starkes und vor allem langes Passwort einmal zu setzen und damit gut zu leben.

 

[Micha-]

Die Experten raten schon lange davon ab.
Warum? Weil ständiger Wechsel zu einfachen Passwörtern führt. Auf der Arbeit müssen wir alle 4 Wochen das Passwort ändern. Ich zähle einfach immer eine Ziffer weiter. Bin jetzt bei 31415923456. Scherz.

Besser ein richtig gutes ausdenken, das darfst du dann auch lange nutzen.

 

[Mickey Mouse]

wie soll ich es sagen?
es ist wesentlicher wichtiger, solch ein "sicheres" Passwort nicht auf mehreren Plattformen einzusetzen, statt es ständig zu ändern.

sehen wir es mal ganz nüchtern oder ich frage andersherum: welche ZUSÄTZLICHE Sicherheit bietet dir denn der Wechsel des Passworts?!?
klar, wenn jemand seinen Super-Computer vor einem Jahr damit programmiert hat, genau dein Passwort zu knacken, dann kommst du ihm vielleicht zuvor, wenn du es änderst, bevor er es geknackt hat.
in einem solchen Fall wäre ich stolz darauf, eine so wichtige Person zu sein

 

[kartoffelpü]

Microsoft und die NIST empfehlen in Kombination mit MFA inzwischen keine Passwortwechsel mehr, aber natürlich nur unter bestimmten Voraussetzungen (Komplexität, Passwortlänge, für jeden Account ein anderes PW etc).
So haben wir es inzwischen auch bei den betreuten Firmen umgesetzt, sofern sie es wollten.

 

[Blende Up]

Solange du hinreichend lang und komplexe Passwörter verwendet, ist es mMn nicht mehr nötig

Dito!
Ich denke, dass die meisten Accounts nicht "gehackt" sondern geleakt sind, da hilft es Dir auch nicht das Passwort zu ändern.... Und wenn der Account erstmal übernommen ist, dann merkst Du das eh, wenn auch zu spät.

Nichts was im Duden oder Lexika zu finden.
Ich bin ein Fan von Merksätzen, von denen man den 1ten oder den Xten Buchstaben nimmt, Zahlworte in Zahlen und ein paar Sonderzeichen einstreut... fertig... Da kann man auch gut Systempassworte drauß machen, in dem man Hauptwort entsprechend austauscht.
Als Beispiel (das eh zu kurz ist) Alle meine Entchen schwimmen auf dem See.

-> AmEsadS
Und daraus würde ich dann ein *mEsadS! machen. Bei einem Passwort für den "Eisenhandel Karl" Account, kann man dann ein Alle meine Karls schwimmen auf dem Eisenhandel daraus machen. Gern auch noch mit Tastaturverschiebungen kombinieren, also EK wird "D;". Halt irgendeine Systematik die man selbst erstellt.
Da brauch ich keinen Passwortmanager oder sonstwas zu (wobei der natürlich auch funktioniert)
Aber das hier funktioniert erstaunlich gut auch ohne Manager oder Zettel.

 

[Vexz]

Ich ändere meine Passwörter nie, wenn es nicht irgendeinen guten Grund gibt (z. B. Website wurde gehackt und Passwörter davon geleakt). Meine Passwörter sind aber alle mindestens 20 Zeichen lang und wirre Zeichenketten aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen und dazu natürlich noch individuell. Dank einem Passwortmanager muss man sich eben nur noch ein sehr langes und starkes Passwort merken. Gehackt wurde noch nie einer meiner Accounts.

 

[00Julius]

Hier noch eine Grafik zum Schema von @Blende Up :

 

[Blende Up]

Hier noch eine Grafik zum Schema von

Wobei ich die unter 1 Sekunde bei dem langen Passwort aus nur Ziffern nur glaube, wenn vorher das Alphabet bekannt bekannt ist, was es normalerweise nicht ist. Aber vlt. fängt der "normale" Hacker tatsächlich mit einfachen Alphabeten(?) an, keine Ahnung....

Der Tip dazu kam damals meine ich von der c't, nicht von mir ;-)
Aber ich fand das sehr eingänglich und praktikabel.

 

[Smily]

Ich denke, dass die meisten Accounts nicht "gehackt" sondern geleakt sind

In den Augen vieler User werden Passwörter von einem gehackt. Es sitzt jemand mit Kapuzen Pulli im Halbdunkeln und tippt in der Konsole. Ist nur völliger Unsinn.

Passwörter gibt es heute zu kaufen. Nicht 1 oder 2, sondern ne Excel Liste mit 10.000 zum Preis von X $. Und die kommen ... von Leuten die auf Spam reinfallen.
Erst diese Woche kam eine Meldung von einer Spedition, ein Account eines Mitarbeiters wurde übernommen, und hat 10 Minuten lang Spam verschickt.
"Sehr geehrter Kunde, hier Ihre Rechnung > Link zur Rechnung"
Und dahinter natürlich eine Fishing Seite, die in dem Fall das Microsoft / Office365 Passwort haben wollte.
Und so simpel hat man das Passwort.
Oder man hackt wirklich einen Seitenbetreiber und kopiert alle Zugangsdaten.

Die wollen auch Geld verdienen. Jeden einzeln hacken ist einfach zu teuer. Besser die Leute das selbst eingeben lassen, oder gleich einen ganzen Betreiber mit tausenden Accounts hops nehmen.

Ich hab meine Passwörter auch schon immer. So lange ich das nirgends eingebe, und kein Seitenbetreiber angegriffen wird, passiert nichts.
Sollte das mal so sein, muss ich es halt sofort ändern.
Wenn ich heute mein Passwort ändere, und morgen gebe ich das Passwort in eine Fishing Seite ein, haben die Gauner 364 Tage Zeit das Passwort zu nutzen.

Daher halte ich regelmäßiges ändern für Unsinn.

 

[BFF]

Microsoft und die NIST empfehlen in Kombination mit MFA inzwischen keine Passwortwechsel mehr, aber natürlich nur unter bestimmten Voraussetzungen

Das Empfehlen der Beiden ist zwar ok aber nicht wirklich ziehlführend. Zumal selbst denen in der nahen Vergangenheit mehr als nur Passwörter verlustig gingen. 😎

Ich für mich persönlich glaube das auch die MFA nicht wirklich hilft wenn die nicht auf irgendwas Biometrischem basiert. Und das Biometrische wird der Wochen durch AI/KI ausgehebelt werden können. Wozu eigentlich noch Passwörter? Das kein Passwort verwendet wurde weiss doch die KI/AI nicht weil die das nicht weiss. 😉

 

[Berlinrider]

Die Komplexität oder eher der Umfang der Thematik besteht ja darin nicht nur komplexe Passwörter zu haben, sondern diese regelmäßig zu ändern.

Und bei vielen Accounts heißt das Arbeit und Disziplin.

Jedes noch so tolle Passwort bringt nichts mehr, wenn es erst einmal in einem Leak in die Hände Krimineller kommt.

 

[|Moppel|]

Hier noch eine Grafik zum Schema von @Blende Up :

Finde ich nicht gut weil:

Quelle: xkcd.com


Ich finde es spannend, dass bis zum 19. Post mal nüchtern an das Thema herangeganen wurde.

Angenommen ich habe ein starkes, 20-stelliges Passwort, welches ich sonst nirgens benutze.
Wenn ich es zu einem beliebigen Zeitpunkt in an anderes 20-stelliges Passwort ändere, habe ich nichts gewonnen.

Und wenn das Passwort kompromittiert wird durch z.B. einen unsicheren Server auf Seiten des Betreibers?

Dann müsste mein Passwortwechsel genau in die Zeit zwischen Leak und Ausnutzung fallen.
Um diesen Punkt mit abzudecken wäre es also nötig, das Passwort deutlich öfter als 1x pro Jahr zu wechseln umd diesen Zeitpunkt zu erwischen.