Wir alle verwenden immer noch Passwörter für viele, vielleicht sogar die meisten unserer Konten, weil wir alle immer noch viele Online-Dienste nutzen, die kein anderes Anmeldesystem bieten.
Gerade heute habe ich zum Beispiel Mitgliedsbeiträge an einen Radsportverein gezahlt, der nach meiner Postanschrift gefragt hat, damit er mir meine Mitgliedskarte zuschicken kann. Ich fand das eine herrlich einfache und altmodische Möglichkeit, meine Mitgliedsnummer abzurufen künftig auch unterwegs.
Bei dem kalten und feuchten Wetter, das man in England fast das ganze Jahr über hat, ein Mobiltelefon herauskramen, auf ein Signal warten, die Handschuhe ausziehen (im Winter macht es nicht viel Spaß, sie wieder anzuziehen). durchnässt) und herumspielen mit Apps, Websites, Passwörtern, 2FA-Codes und mehr …
… nun, es ist einfach nicht so einfach, eine wasserdichte, sturzsichere, batterielose Plastikkarte mit Ihren grundlegenden Daten darauf zu finden.
Aber zusammen mit meiner Zahlungsbestätigung, die mich darüber informierte, dass meine Mitgliedskarte unterwegs war, wurde ich daran erinnert, dass ich, falls ich jemals meine Mitgliedschaft erneuern oder eine wasserdichte, sturzsichere, batterielose Ersatzkarte aus Plastik anfordern wollte, ihn jemals erneuern wollte (leider sind sie nicht verlustsicher), ich müsste ein Konto auf der Gruppenwebsite erstellen, warum also nicht gleich ein Passwort wählen?
Einfach ausgedrückt: Um die Notwendigkeit eines Passworts von vornherein zu vermeiden, müsste ich zweitens eines erstellen.
Und wenn Passwörter auftauchen, taucht auch eine Dauerfrage auf:
Sollten Sie alle Ihre Passwörter ständig ändern, um sie zu schnelllebigen Zielen für Cyberkriminelle zu machen, oder sich zunächst wirklich komplexe Passwörter merken und diese dann in Ruhe lassen?
Tatsächlich war dies das Problem, mit dem ein langjähriger Leser von Naked Security heute Morgen konfrontiert war, dessen eigenes IT-Team genau in diesem Dilemma steckte, möglicherweise aufgrund einer Beinahe-Unsicherheit im Bereich Cybersicherheit, die es gerade aus erster Hand erlebt hatte.
Was ist besser?
Komplexe Passwörter oder Passphrasen, die möglicherweise nicht oft geändert werden, oder schlecht gewählte Passwörter, die regelmäßig geändert werden?
Gedanken und Überlegungen
Unsere Gedanken zu diesem Thema sind wie folgt:
- Das regelmäßige Ändern von Passwörtern ist keine Alternative zur Auswahl und Verwendung sicherer Passwörter. Wenn Sie Ihr Passwort jeden Monat ändern möchten, ist das Ihre Entscheidung, aber es ist keine Entschuldigung dafür, mit dem Namen Ihrer Katze zu beginnen und alle paar Wochen kleinere Varianten davon zu verwenden.
- Menschen dazu zu zwingen, ihre Passwörter regelmäßig zu ändern, kann dazu führen, dass sie sich schlechte Gewohnheiten aneignen. Viele Benutzer übernehmen einfach einen vorhersehbaren Mechanismus, wie das Hinzufügen von -01, -02, -03 usw., um den Buchstaben (aber nicht den Geist) Ihrer Regeln zum Ersetzen von Passwörtern zu erfüllen. Angreifer können ein solches Verhalten erkennen.
- Das Planen von Passwortänderungen kann die Notfallreaktion verzögern. Wenn Sie Ihr Passwort immer alle paar Wochen ändern, besteht weniger Anreiz, es sofort zu ändern, wenn Sie glauben, dass Sie Opfer eines Phishing-Angriffs geworden sind. Schließlich werden Sie es sowieso „bald“ ändern.
Das regelmäßige Ändern Ihres Passworts macht es nicht automatisch zu einem besseren Passwort.
Erst die Wahl eines besseren Passworts macht es zu einem besseren Passwort! (Das ist wo Passwort-Manager kann helfen.)
Mit anderen Worten: Wir schlagen vor, dass Sie sich zunächst mit dem Problem befassen, Ihren Benutzern bei der Auswahl angemessener Passwörter zu helfen, und sie dann dazu ermutigen, Fälle zu erkennen, in denen sie ihre Passwörter sofort ändern sollten, ohne dass ein Zeitplan erforderlich ist, der sie dazu auffordert …
…und erst dann sollten Sie sich Gedanken darüber machen, ob Sie wirklich auch eine Passwortrichtlinie „regelmäßige Änderungen unabhängig“ benötigen.
Die Risiken von Routineverhalten
Jeden Monat eine Passwortänderung zu fordern, obwohl dies einfach nicht nötig ist, lädt die Leute lediglich dazu ein, ihre neuen Passwörter unsicher zu speichern, neue Passwörter nachlässig auszuwählen, eine sich wiederholende Folge von N zugehörigen Passwörtern zu durchlaufen oder ihre Passwörter immer nur zu aktualisieren alle 30 Tage, auch in Notfällen.
Dennoch ist es eine gute Idee, Benutzer auszusperren, die über einen bestimmten Zeitraum hinweg nicht auf bestimmte Unternehmenskonten zugegriffen haben. (Dies schützt auch in gewissem Maße vor vergessenen Konten, da diese irgendwann automatisch ablaufen.)
Das Sperren von Benutzern wegen Inaktivität ist aufdringlicher, als sie einfach dazu zu zwingen, ihre Passwörter regelmäßig zurückzusetzen, und daher unbeliebt.
Aber wenn jemand über ein Firmenkonto-Login verfügt, das er nicht verwendet, warum drängen Sie ihn dann nicht, persönlich zu begründen, warum er es immer noch benötigt, nachdem er es beispielsweise sechs Monate oder ein Jahr lang nicht verwendet hat?
Denn wenn es sich um die Anmeldung für ein Produkt oder eine Dienstleistung handelt, für die eine Gebühr pro Benutzer erhoben wird, können Sie möglicherweise sogar die Kosten für deren Abonnement sparen.
Und wenn sie das Konto wirklich nicht mehr benötigen, helfen Sie ihnen, Ärger zu vermeiden, indem Sie Schurken und Cyberkriminelle daran hindern, in ihrem Namen böse Dinge zu tun.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- EVM-Finanzen. Einheitliche Schnittstelle für dezentrale Finanzen. Hier zugreifen.
- Quantum Media Group. IR/PR verstärkt. Hier zugreifen.
- PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://nakedsecurity.sophos.com/2023/06/09/thoughts-on-scheduled-password-changes-dont-call-them-rotations/
- :hast
- :Ist
- :nicht
- :Wo
- $UP
- 1
- 15%
- 25
- 2FA
- 30
- a
- Fähig
- Über Uns
- Absolute
- Zugriff
- Konto
- Trading Konten
- Hinzufügen
- Adresse
- adoptieren
- Nach der
- gegen
- Alle
- allein
- entlang
- ebenfalls
- Alternative
- immer
- an
- und
- jedem
- Apps
- SIND
- um
- AS
- Autor
- Auto
- Im Prinzip so, wie Sie es von Google Maps kennen.
- vermeiden
- ein Weg
- Zurück
- background-image
- Badewanne
- basic
- BE
- weil
- war
- Besser
- Grenze
- Boden
- aber
- by
- rufen Sie uns an!
- CAN
- Karte
- Fälle
- Center
- sicher
- Übernehmen
- geändert
- Änderungen
- Ändern
- Gebühren
- Wahl
- Auswählen
- Auswahl
- Codes
- Kälte
- Farbe
- wie die
- kommt
- Unternehmen
- Komplex
- Bestätigung
- Kosten
- könnte
- Abdeckung
- erstellen
- Cyber-Kriminelle
- Tage
- verzögern
- Details
- Display
- do
- Tut nicht
- Dabei
- Nicht
- Einfache
- Notfall
- ermutigen
- England
- Sogar
- schließlich
- ÜBERHAUPT
- Jedes
- erfahrensten
- zugewandt
- Schnell - bewegend
- Honorare
- wenige
- Abbildung
- Suche nach
- Vorname
- aus erster Hand
- folgt
- Aussichten für
- für
- Spaß
- Zukunft
- bekommen
- gut
- Gruppe an
- Pflege
- Haben
- Höhe
- Hilfe
- Unternehmen
- schweben
- HTTPS
- i
- Idee
- if
- in
- Incentive
- Instanz
- in
- einladend
- Problem
- IT
- SEINE
- nur
- Verlassen
- links
- weniger
- Brief
- Vermietung
- login
- langfristig
- um
- MACHT
- viele
- Marge
- Materie
- max-width
- Kann..
- Mechanismus
- Mitgliedschaft
- könnte
- Moll
- Mobil
- Handy
- Monat
- Monat
- mehr
- Morgen
- vor allem warme
- viel
- my
- Nackte Sicherheit
- Name
- Need
- benötigen
- Neu
- normal
- jetzt an
- Anzahl
- of
- WOW!
- bieten
- vorgenommen,
- on
- EINEM
- Einsen
- Online
- einzige
- or
- Andere
- UNSERE
- besitzen
- bezahlt
- Passwort
- Passwörter
- Alexander
- Zahlung
- Personen
- vielleicht
- person
- Telefon
- Ort
- Kunststoff
- Plato
- Datenintelligenz von Plato
- PlatoData
- Reichlich
- Datenschutzrichtlinien
- Position
- gegebenenfalls
- Post-
- BLOG-POSTS
- Vorhersagbar
- Verhütung
- Aufgabenstellung:
- Produkt
- Push
- setzen
- Frage
- Leser
- wirklich
- erkenne
- regelmäßig
- bezogene
- relativ
- Ersatz
- Anforderung
- Antworten
- Recht
- Risiken
- Straße
- regelmäßig
- Ohne eine erfahrene Medienplanung zur Festlegung von Regeln und Strategien beschleunigt der programmatische Medieneinkauf einfach die Rate der verschwenderischen Ausgaben.
- Said
- Speichern
- vorgesehen
- Zweite
- Sicherheitdienst
- senden
- Reihenfolge
- Lösungen
- sollte
- Signal
- Einfacher
- einfach
- SIX
- Halbjahr
- So
- solide
- Jemand,
- spezifisch
- Geist
- Anfang
- Beginnen Sie
- bleiben
- Immer noch
- stark
- Abonnement
- so
- vorschlagen
- SVG
- System
- Einnahme
- Ziele
- Team
- erzählen
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- dann
- deswegen
- vom Nutzer definierten
- think
- fehlen uns die Worte.
- dachte
- Durch
- Zeit
- Zeitplan
- zu
- heute
- auch
- Top
- Übergang
- transparent
- Ärger
- Aktualisierung
- URL
- benutzt
- Nutzer
- Verwendung von
- sehr
- Warten
- wollen
- wollte
- wurde
- Weg..
- we
- Wetter
- Webseite
- Webseiten
- Wochen
- GUT
- waren
- wann
- sobald
- ob
- welche
- während
- WHO
- deren
- warum
- Breite
- mit
- ohne
- Worte
- Sorgen
- Jahr
- Du
- Ihr
- Zephyrnet