Passwortwechsel in Unternehmen, erzwungen oder nicht?

ichbindernikolaus
Goto Top
Moin.

Looser27 hat Recht, das ist in seinem Thread einfach offtopic, daher würde ich das hier gerne weiterführen.

Es gibt ja solche und solche Meinungen, welcher Weg der bessere ist.
Mich würde einfach interessieren, wie andere Admins das handhaben (gerade auch die, die vielleicht als Dienstleister für verschiedene Unternehmen mit verschiedenen Anforderungen (und festgefahrenen Routinen) tätig sind).

Um die Diskussion mal fortzuführen:


Zitat von @Bem0815:

Zitat von @ichbindernikolaus:

Moin.

Die "Alternative" dazu sind dann aber evtl. jahrelang nicht geänderte Kennwörter.
Und das kann/darf keine Alternative sein, da das ganz andere Risiken mit sich bringt.

Und diese wären bitte?

Solange Passwortlänge und Komplexität ausreichend sind und somit eine Bruteforce Attacke relativ unwahrscheinlich wird (oder noch besser der Account nach x falschen Passworteingaben gleich gesperrt wird) sehe ich hier keinen Grund warum auch ein Passwort dass mehrere Jahre alt ist nicht mehr sicher sein sollte.
- wird verloren, weil es aufgeschrieben wurde
- wird weitergegeben
- Login-Daten am PC werden über Malware abgegriffen

Und gerade der dritte Punkt ist in meinen Augen das größte Risiko, da WebApps mit AD-Authentifizierung immer weiter um sich greifen und auch immer mehr von extern erreichbar sind.
Hier wäre ein Passwort, welches "ewig" funktioniert, unter Umständen fatal.

Content-Key: 390303

Url: https://administrator.de/contentid/390303

Ausgedruckt am: 11.08.2022 um 19:08 Uhr

Mitglied: Kraemer
Kraemer 22.10.2018 um 13:48:40 Uhr
Goto Top
Mitglied: Looser27
Looser27 22.10.2018 um 13:50:27 Uhr
Goto Top
Hier bietet Microsoft bei der Standard-Installation ja auch schon eine Grundeinstellung, die meiner Meinung nach gar nicht so verkehrt ist.
Mit 42 Tagen Wechselintervall wird niemand gequält und es wird trotzdem oft genug gewechselt. Selbst wenn die MA hingehen und nur eine Ziffer ändern, so ist es doch ein anderes Passwort.

Passwortlänge und Komplexität kann jeder individuell einstellen. Auch hier sind die voreingestellten Werte nicht verkehrt.
Mitglied: ASP.NET.Core
ASP.NET.Core 22.10.2018 aktualisiert um 14:32:41 Uhr
Goto Top
Was sollen Passwortänderungen bei Schadsoftware bewirken? Ist das System bereits kompromittiert und konnte Passwort 1 abfangen, wird es Passwort 2 ebenfalls wieder abfangen. Und verlorene/weitergebene PWs damit zu "kompensieren" ist doch auch mehr als fragwürdig. Ich finde diese Zwänge nervig sowie unsinnig. Vor allem in geringen Intervallen wie alle 60/90 Tage.

Und nein, das ist eben kein komplett anderes Passwort. Wenn das Abcdefghi6 lautet, ist der Weg zu Abcdefghi7 nicht weit.
Mitglied: Looser27
Looser27 22.10.2018 um 14:42:53 Uhr
Goto Top
Wenn das Abcdefghi6 lautet, ist der Weg zu Abcdefghi7 nicht weit.

Meines Wissens nach wohl, denn eine Brute-Force-Attacke beginnt i.d.R. bei NULL und nicht beim letzten Treffer.
Mitglied: ipzipzap
ipzipzap 23.10.2018 aktualisiert um 10:30:58 Uhr
Goto Top
Moin,

dazu passt mal wieder gut der XKCD hier:

https://xkcd.com/936/

Und BTW bin ich strikt gegen regelmäßige Passwortwechsel. Genau deshalb kann sich keiner mehr die Passwörter merken und sie landen auf gelben Post-Its unter den Tastaturen.
Mitglied: Looser27
Looser27 23.10.2018 um 14:03:36 Uhr
Goto Top
sie landen auf gelben Post-Its unter den Tastaturen.

Das führt bei uns zur sofortigen Abmahnung. Hier funktioniert die Schreckensherrschaft der IT noch..... face-wink