Sind häufige Passwortänderungen tatsächlich gut für Ihre Sicherheit?

Werbung

Wie oft machst du Ändern Sie Ihr Passwort So ändern Sie Ihr Passwort auf einem beliebigen Desktop oder MobilgerätIhr Passwort ist das einzige, was zwischen einem Fremden und Ihren privatesten Daten steht. Wann haben Sie Ihr Gerätekennwort das letzte Mal aktualisiert? Wir zeigen Ihnen, wie Sie es jetzt ändern können. Weiterlesen ? Wir wetten, dass einige Ihrer Anmeldeinformationen mehr als ein Jahrzehnt alt sind.

Tatsächlich ändern die meisten von uns ihre Passwörter nur, wenn eine Situation uns dazu zwingt. In der Regel können Sie sich dann nicht daran erinnern, oder eine App oder Ihr Unternehmen zwingt Sie, alle paar Monate eine neue zu erstellen.

Welcher Ansatz ist also richtig? Sollten Sie Ihr Passwort jahrelang unberührt lassen oder sollten Sie es so oft wie die Jahreszeiten ändern? Hier sind die Vor- und Nachteile einer zu häufigen Änderung Ihres Passworts.

Es macht Ihr Konto (ein kleines bisschen) sicherer

Die allgemein verbreitete Weisheit ist, dass Sie Ihr Passwort häufig ändern

macht Ihr Konto sicherer Ist Ihr Yahoo Mail-Konto sicher? 10 Möglichkeiten, um sicher zu bleibenWenn Sie ein Yahoo-Benutzer sind, sollten Sie sicherstellen, dass Ihr Konto sicher ist. Hier sind 10 Punkte, die Sie überprüfen müssen, um sicherzustellen, dass Ihre Kontosicherheit in Ordnung ist. Weiterlesen .

Das Argument legt nahe, dass, wenn Sie der sind unwissendes Opfer eines Lecks Überprüfen Sie jetzt, ob Ihre Passwörter jemals durchgesickert sindMit diesem raffinierten Tool können Sie jedes Passwort überprüfen, um festzustellen, ob es jemals Teil eines Datenlecks war. Weiterlesen Wenn Sie Ihr Passwort regelmäßig ändern, können Sie die Details, die ein potenzieller Hacker gespeichert hat, schnell negieren.

Wenn jemand ohne Ihr Wissen Zugriff auf Ihr Passwort erhält, wird verhindert, dass die Person Sie über einen längeren Zeitraum hinweg beschnüffelt. Aus diesem Grund sind IT-Manager im ganzen Land so besessen davon, Ihnen alle paar Wochen erzwungene Resets aufzuzwingen.

Ist das Argument gültig? Ja, aber es ist nicht so eindeutig, wie Sie es vielleicht erwarten. Selbst unter der Annahme, dass Ihre neuen Passwörter genauso sicher sind wie die vorherigen (mehr dazu in Kürze), hat die Praxis nur minimalen Nutzen.

In einem Papier der Carleton UniversityDie Forscher erklärten, dass Angreifer, die Zugriff auf eine Hash-Passwortdatei haben, offline Angriffe ausführen können. Sie können daher in kurzer Zeit eine große Anzahl von Passwörtern testen. Schwache und mittelschwere Passwörter sind gefährdet.

Das Papier geht weiter, um mathematisch zu beweisen, dass selbst häufige starke Passwortänderungen die Angriffe nur in vernachlässigbarem Maße behinderten. Der Vorteil ist mit ziemlicher Sicherheit die Unannehmlichkeiten für die Benutzer nicht wert.

Stattdessen wird in diesem Dokument empfohlen, dass Systemadministratoren langsame Hash-Funktionen wie bcrypt verwenden sollten. Benutzer würden nicht belästigt, und der Prozess erschwert es Angreifern, eine große Anzahl von Passwörtern schnell zu erraten.

Ihr neues Passwort ist wahrscheinlich unsicher

Ich bin sicher, wir müssen es Ihnen nicht sagen wie man ein sicheres Passwort erstellt, aber die Informationen sind immer eine Wiederholung wert:

• Ihr Passwort sollte eine Mischung aus Buchstaben und Zahlen enthalten.
• Es sollten einige Groß- und Kleinbuchstaben verwendet werden.
• Idealerweise sollte es Sonderzeichen enthalten.
• Es sollte länger als 12 Zeichen sein.

Diese vier Punkte sind leichter gesagt als getan. Das Erstellen von Passwörtern, die alle Anforderungen erfüllen - und sich dann daran erinnern - erfordert viel mentale Energie.

Was passiert also, wenn Personen ihre Anmeldeinformationen zu häufig ändern? Kurz gesagt, sie werden faul.

Mir gingen die Ideen für Passwörter aus, sodass ich den Job wechseln musste.

- Busty Rusty (@RaylaRimpson) 30. Januar 2018

Auch hier handelt es sich um ein wissenschaftlich nachgewiesenes Phänomen. Im Jahr 2010 veröffentlichten Forscher der University of North Carolina einen Artikel mit dem Titel „Die Sicherheit des Ablaufs moderner Passwörter: Ein algorithmischer Rahmen und eine empirische Analyse. ” Darin studierten sie Passwortverläufe von nicht mehr existierenden Konten an der Universität.

Die Studie untersuchte mehr als 10.000 alte Konten und 51.141 Passwörter. Die Forscher führten einen Offline-Hash-Angriff durch und knackten schließlich 60 Prozent der Anmeldeinformationen. Von den 60 Prozent waren 7.752 Passwörter nicht das endgültige Passwort, das für das Konto verwendet wurde.

Anschließend verwendeten sie diesen Datensatz, um zu prüfen, ob sie andere mit dem Konto verbundene Kennwörter extrapolieren konnten. Die Ergebnisse waren erstaunlich. In 17 Prozent der Fälle konnte das nächste für das Konto verwendete Passwort in weniger als fünf Sekunden erraten werden.

Aber wieso? Die Studie kam zu dem Schluss, dass Personen häufig Änderungen vornehmen, wenn sie häufig ein Passwort ändern. Zum Beispiel, Wurst123 könnte werden $ ausage123, hellocheese! würde werden hellocheese !!, und so weiter.

Wann sollten Sie Ihr Passwort ändern?

Am Anfang habe ich gescherzt, dass Sie wahrscheinlich einige Passwörter haben, die sich ihrem zehnten Geburtstag nähern. Aber ist das ein Witz?

Die Beweise, die wir uns bisher angesehen haben, scheinen darauf hinzudeuten, dass langjährige Passwörter tatsächlich eine gute Sache sein könnten. Was ist die Wahrheit? Sie brauchen nur ein bisschen gesunden Menschenverstand.

Natürlich, wenn Sie vermuten jemand greift auf Ihr Konto zu So überprüfen Sie, ob jemand anderes auf Ihr Facebook-Konto zugreiftEs ist sowohl unheimlich als auch besorgniserregend, wenn jemand ohne Ihr Wissen Zugriff auf Ihr Facebook-Konto hat. Hier erfahren Sie, ob Sie verletzt wurden. Weiterlesen Ohne Ihre Genehmigung sollten Sie Ihr Passwort ändern. Wenn Sie glauben, dass jemand bei der Eingabe Ihrer Online-Banking-Anmeldeinformationen zugesehen hat, sollten Sie Ihr Passwort ändern. Wenn Sie Ihr Passwort an jemanden „ausleihen“ mussten, sollten Sie es ändern.

Und wenn Sie denken, dass Sie versehentlich zum Opfer eines Phishing-Betrugs Seien Sie kein Opfer dieser häufigen Phishing-Angriffe Weiterlesen sollten Sie Ihr Passwort ändern.

In jedem Fall müssen Sie sicherstellen, dass Ihr neues Passwort nicht mit dem alten übereinstimmt. Verwenden Sie nicht dasselbe Kernwort. Platzieren Sie nicht dieselben Sonderzeichen an denselben Positionen. Versuchen Sie nicht, Ihr altes Passwort rückwärts zu schreiben.

Denken Sie auch daran, dass Sie Ihr Kennwort auch für andere Konten mit ähnlichen Anmeldeinformationen ändern sollten. Wenn Ihr Facebook-Passwort beispielsweise bloodpot1 und Ihr Twitter-Passwort 1flowerpot lautet, sollten Sie beide ändern.

Wenn Sie sich nicht sicher sind, befolgen Sie einfach die vier grundlegenden Richtlinien, die wir weiter oben in diesem Artikel besprochen haben, wenn Sie ein neues Passwort erstellen.

Was ist mit erzwungenem Zurücksetzen von Passwörtern?

Aber was ist mit erzwungenen Zurücksetzen des Passworts? Ist es eine gute Idee für eine App oder Ihren Arbeitgeber, Ihnen ein neues Passwort aufzuzwingen? Wahrscheinlich nicht.

In 2009, Das Nationale Institut für Standards und Technologie Die regelmäßigen Kennwortänderungen seien "vorteilhaft, um die Auswirkungen einiger Kennwortkompromisse zu verringern". aber waren "unwirksam für andere." Und natürlich waren die Benutzer häufig von den Zwangsarbeitern frustriert Veränderung. Unternehmen müssen einen Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit erzielen.

Das Fazit

Die Argumente mögen komplex klingen, lassen sich aber leicht zusammenfassen.

• Vom Benutzer initiierte häufige Kennwortänderungen können die Sicherheit der Benutzer geringfügig erhöhen, sofern das neue Kennwort äußerst robust ist.
• Erzwungene häufige Kennwortänderungen wirken sich häufig negativ aus, da Benutzer weniger sichere Anmeldeinformationen auswählen.

Jetzt möchten wir Ihre Gedanken zur Debatte hören. Sind Sie sicher, dass Sie regelmäßig ein sicheres Passwort auswählen können? Oder verwenden Sie gerne ein zehn Jahre altes Passwort für alle Ihre Konten?

Denken Sie daran, dass Sie, wenn Sie häufig komplizierte neue Kennwörter erstellen, eine Kennwortmanager-App wie LastPass verwenden. Sie müssen die Passwörter nicht selbst abrufen.