Der 2. Mai ist Welt-Passwort-Tag, an dem Verbraucher und Unternehmen über das Thema „Passwort-Sicherheit" aufgeklärt werden sollen. Aber was soll ich euch darüber erzählen?
Anzeige
Von Veracode ist mir ein Text zum Welt-Passwort-Tag zugegangen, den ich nicht wirklich veröffentlichen kann. Da hieß es, dass Administratoren den Nutzern einen Passwortwechsel alle x Tage aufdrücken sollen. So was hat sich nicht wirklich bewährt – die Leute schreiben die Passwörter auf Zettel und legen die unter die Tastatur oder kleben sie auf den Monitor. Und beim Zwang zum Wechsel werden Monat und Jahr im Passwort ausgetauscht. Microsoft wird daher in den Security Baselines für Windows 10 V1903 auf Richtlinien zur Durchsetzung des Passwortwechsels alle 30 Tage verzichten – ich hatte hier darüber berichte.
Wie man als Privatanwender seine Kennwörter klug wählt und schützt, habe ich drüben im 50 Plus-Blog in diesem Beitrag angerissen. Ob man auf Passwort-Manager setzt, muss jeder selbst entscheiden. Ich habe so meine Bedenken, da diese Programme in der Vergangenheit oft durch Sicherheitslücken auffielen. Ich selbst bevorzuge immer noch eine Kladde und Bleistift samt Radiergummi.
Was künftig die Geschichte etwas einfacher machen könnte, sind Methoden zur Zweifakter-Authentifizierung (2FA), wo ggf. ein USB-Stift oder ein Smartphone mit App zum Einsatz kommen sollen. Und damit bin ich mir meinem Latein am Ende – ich denke, ihr wisst selbst am Besten, wie man seine Passwörter sicher handhabt. Ihr könnte ja die Tipps als Kommentare zum Besten geben. Aber bitte nicht 'Kannste dir hinter den Spiegel auf 'm Klo stecken'.
PS: Das 'Ischa' im Titel des Beitrag ist ein altes Relikt aus meiner Bremer Zeit, wo es irgendwann 'Ischa Freimaak' hieß – und die Belegschaften auf den Freimarkt pilgerten. Bin da aber nach 1,5 Jahren wieder weg, so was hältst Du ja im Kopp nicht aus – und außerdem wollte ich ein guter Mensch werden. Hat aber nicht geklappt. Trotzdem ist das 'Ischa Freimaak' bei mir hängen geblieben – hat aber nix mit Passwörter zu tun ;-).
Ähnliche Artikel:
EuroCloud: Datenschutz in der Cloud ist wichtig
Passwortlose Anmeldung: WebAuthn als Standard freigegeben
1. Februar: "Ändere-Dein-Passwort"-Tag
Passwortfreie FIDO2-Anmeldung bei Microsoft
Übrigens, heute ist World Passwort Day
Firefox patzt bei der Master-Passwort-Speicherung
Anzeige
Das er Titel des Blog-Beitrags lehnt sich vom 'ischa freimak' (ist Freimarkt in Bremen) ab.
Anzeige
Was hast du den gegen den Freimarkt? Ist meiner Meinung noch einer der netteren Jahrmärkte. Nicht zu klein, Publikum halbwegs gemischt, aber auch kein hemmungsloses Besäufnis wie bei der Wiesn.
"Ischa Freimaak 0519" ischa aber ein schönes Passwort. O:-)
Da hast Du was angerichtet – das war noch nicht pawned – hab's gerade getestet. Aber jetzt ist es verbrannt, da öffentlich gepostet. Dat Passwort hätte ich mir sogar merken können – muss ich jetzt 'Ischa Freimaak 0515' verwenden.
Ist jetzt auch verbrannt.
Aber jetzt nochmal im Ernst. Dass Microsoft die bisherigen Passwortrichtlinien in Frage stellt, ist ja nett. Netter wäre aber, wenn MS ins Betriebssystem auch gescheitere Richtlinien und eine intelligentere Passwortprüfung bei Festlegung des Passworts einbauen würde. Beim Privatrechner gibts quasi keine Richtlinie, da gehen auch simple Passwörter, oder garkeins, sollte man so eher nicht machen und den Benutzer besser auf die Gefahren hinweisen. In einer Domäne, die Standard 8-Zeichen-Regel, evtl. gespickt mit Sonderzeichen und Zahlen, da hätte ich auf jeden Fall ein schlechtes Gefühl dabei, wenn die nicht alle X Tage gewechselt werden müssten, insbesondere da man den Usernamen (Samaccount-Name) unter c:\users als Verzeichnisname und in der Registry findet. 8 Zeichen ist heutzutage per Bruteforce und frei verfügabren Listen gängiger Passwörter verhältnismäßig schnell erledigt. Auch die letzten 4-5 Passwörter nicht wieder verwenden, das ist nix. Aber das ist vielfach der Standard, in der Default Domain Policy festgelegt, und wird nicht verändert. Ein Zeichen am Passwort bei Fälligkeit ändern reicht Windows schon, um glücklich zu sein. aber ist "?Passwort" sicherer als "!Passwort" ??? Wie wärs denn z.B., wenn man die Domäne mit einer (sprachspezifischen) Passwort-Blacklist füttern könnte?
Hier sollten auch mal einige Anbieter von Diensten im Netz überlegen, ob die Länge der Passwörter ausreichend ist. Viele dieser Anbieter geben zwar eine Mindestlänge an aber nicht die Maximallänge.
So kann es dann mal vorkommen, wie bei PayPal früher, das man ein 24 Zeichen PW eingibt, was auch akzeptiert wird aber nur 20 Zeichen davon gespeichert werden.
@1ST1
"Wie wärs denn z.B., wenn man die Domäne mit einer (sprachspezifischen) Passwort-Blacklist füttern könnte?" – man kann, siehe https://www.experts-exchange.com/articles/33078/How-to-create-an-Intelligent-Password-Policy-for-Active-Directory.html
Dieser Artikel beschreibt, wie man auch ohne 3rd-party-tools die Kennwortsicherheit in Windows-Domänen erhöhen kann.
Der Grundgedanke lautet: wir prüfen regelmäßig und automatisiert die Hashes der Kennwörter auf dem DC und vergleichen diese mit einer Liste geknackter Hashes. Findet sich der Hash auf der Liste, wird eine Kennwortänderung binnen x Tagen erzwungen.
Das ist nett, bedeutet aber regelmäßig Handarbeit. Und der Benutzer erfährt nicht, warum er sein Passwort schon wieder wechseln muss. Sowas muss automatisch gehen, wenn der Benutzer das neue Passwort festlegen möchte.