Ischa Welt-Passwort-Tag heute …

Der 2. Mai ist Welt-Passwort-Tag, an dem Verbraucher und Unternehmen über das Thema „Passwort-Sicherheit" aufgeklärt werden sollen. Aber was soll ich euch darüber erzählen?


Anzeige

Von Veracode ist mir ein Text zum Welt-Passwort-Tag zugegangen, den ich nicht wirklich veröffentlichen kann. Da hieß es, dass Administratoren den Nutzern einen Passwortwechsel alle x Tage aufdrücken sollen. So was hat sich nicht wirklich bewährt – die Leute schreiben die Passwörter auf Zettel und legen die unter die Tastatur oder kleben sie auf den Monitor. Und beim Zwang zum Wechsel werden Monat und Jahr im Passwort ausgetauscht. Microsoft wird daher in den Security Baselines für Windows 10 V1903 auf Richtlinien zur Durchsetzung des Passwortwechsels alle 30 Tage verzichten – ich hatte hier darüber berichte.

Wie man als Privatanwender seine Kennwörter klug wählt und schützt, habe ich drüben im 50 Plus-Blog in diesem Beitrag angerissen. Ob man auf Passwort-Manager setzt, muss jeder selbst entscheiden. Ich habe so meine Bedenken, da diese Programme in der Vergangenheit oft durch Sicherheitslücken auffielen. Ich selbst bevorzuge immer noch eine Kladde und Bleistift samt Radiergummi.

Was künftig die Geschichte etwas einfacher machen könnte, sind Methoden zur Zweifakter-Authentifizierung (2FA), wo ggf. ein USB-Stift oder ein Smartphone mit App zum Einsatz kommen sollen. Und damit bin ich mir meinem Latein am Ende – ich denke, ihr wisst selbst am Besten, wie man seine Passwörter sicher handhabt. Ihr könnte ja die Tipps als Kommentare zum Besten geben. Aber bitte nicht 'Kannste dir hinter den Spiegel auf 'm Klo stecken'.

PS: Das 'Ischa' im Titel des Beitrag ist ein altes Relikt aus meiner Bremer Zeit, wo es irgendwann 'Ischa Freimaak' hieß – und die Belegschaften auf den Freimarkt pilgerten. Bin da aber nach 1,5 Jahren wieder weg, so was hältst Du ja im Kopp nicht aus – und außerdem wollte ich ein guter Mensch werden. Hat aber nicht geklappt. Trotzdem ist das 'Ischa Freimaak' bei mir hängen geblieben – hat aber nix mit Passwörter zu tun ;-).

Ähnliche Artikel:
EuroCloud: Datenschutz in der Cloud ist wichtig
Passwortlose Anmeldung: WebAuthn als Standard freigegeben
1. Februar: "Ändere-Dein-Passwort"-Tag
Passwortfreie FIDO2-Anmeldung bei Microsoft
Übrigens, heute ist World Passwort Day
Firefox patzt bei der Master-Passwort-Speicherung


Anzeige

 

 

 

Das er Titel des Blog-Beitrags lehnt sich vom 'ischa freimak' (ist Freimarkt in Bremen) ab.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Ischa Welt-Passwort-Tag heute …

  1. N. Westram sagt:

    Was hast du den gegen den Freimarkt? Ist meiner Meinung noch einer der netteren Jahrmärkte. Nicht zu klein, Publikum halbwegs gemischt, aber auch kein hemmungsloses Besäufnis wie bei der Wiesn.

  2. 1ST1 sagt:

    "Ischa Freimaak 0519" ischa aber ein schönes Passwort. O:-)

  3. 1ST1 sagt:

    Aber jetzt nochmal im Ernst. Dass Microsoft die bisherigen Passwortrichtlinien in Frage stellt, ist ja nett. Netter wäre aber, wenn MS ins Betriebssystem auch gescheitere Richtlinien und eine intelligentere Passwortprüfung bei Festlegung des Passworts einbauen würde. Beim Privatrechner gibts quasi keine Richtlinie, da gehen auch simple Passwörter, oder garkeins, sollte man so eher nicht machen und den Benutzer besser auf die Gefahren hinweisen. In einer Domäne, die Standard 8-Zeichen-Regel, evtl. gespickt mit Sonderzeichen und Zahlen, da hätte ich auf jeden Fall ein schlechtes Gefühl dabei, wenn die nicht alle X Tage gewechselt werden müssten, insbesondere da man den Usernamen (Samaccount-Name) unter c:\users als Verzeichnisname und in der Registry findet. 8 Zeichen ist heutzutage per Bruteforce und frei verfügabren Listen gängiger Passwörter verhältnismäßig schnell erledigt. Auch die letzten 4-5 Passwörter nicht wieder verwenden, das ist nix. Aber das ist vielfach der Standard, in der Default Domain Policy festgelegt, und wird nicht verändert. Ein Zeichen am Passwort bei Fälligkeit ändern reicht Windows schon, um glücklich zu sein. aber ist "?Passwort" sicherer als "!Passwort" ??? Wie wärs denn z.B., wenn man die Domäne mit einer (sprachspezifischen) Passwort-Blacklist füttern könnte?

  4. Alfred Neumann sagt:

    Hier sollten auch mal einige Anbieter von Diensten im Netz überlegen, ob die Länge der Passwörter ausreichend ist. Viele dieser Anbieter geben zwar eine Mindestlänge an aber nicht die Maximallänge.

    So kann es dann mal vorkommen, wie bei PayPal früher, das man ein 24 Zeichen PW eingibt, was auch akzeptiert wird aber nur 20 Zeichen davon gespeichert werden.

  5. Bernhard Diener sagt:

    @1ST1
    "Wie wärs denn z.B., wenn man die Domäne mit einer (sprachspezifischen) Passwort-Blacklist füttern könnte?" – man kann, siehe https://www.experts-exchange.com/articles/33078/How-to-create-an-Intelligent-Password-Policy-for-Active-Directory.html
    Dieser Artikel beschreibt, wie man auch ohne 3rd-party-tools die Kennwortsicherheit in Windows-Domänen erhöhen kann.
    Der Grundgedanke lautet: wir prüfen regelmäßig und automatisiert die Hashes der Kennwörter auf dem DC und vergleichen diese mit einer Liste geknackter Hashes. Findet sich der Hash auf der Liste, wird eine Kennwortänderung binnen x Tagen erzwungen.

    • 1ST1 sagt:

      Das ist nett, bedeutet aber regelmäßig Handarbeit. Und der Benutzer erfährt nicht, warum er sein Passwort schon wieder wechseln muss. Sowas muss automatisch gehen, wenn der Benutzer das neue Passwort festlegen möchte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.