Re: su aus util-linux in Sid
Stefan K - 23.08.18, 09:00:
> > und Passworte ja auch regelmäßig (mindestens
> >
> > alle ein bis drei Monate) geándert werden sollten.
>
> Definitiv nicht!, dazu gibts mehr als genug beweise um das genau nicht
> zu tun, lieber ein richtig gutes als 10 schlechte. Dazu gibts auch
> einige Studien etc.
>
> um nur zwei zu nennen:
> https://www.stern.de/digital/online/passwort--darum-soll-man-nicht-regelmaessig-das-kennwort-wechseln-7541268.html
> https://www.sueddeutsche.de/digital/it-sicherheit-warum-es-falsch-ist-passwoerter-regelmaessig-zu-aendern-1.3106648
Ich halte auch nichts davon, regelmäßig das Passwort zu ändern. Auf keinen
Fall alle 90 Tage oder gar jeden Monat.
Insbesondere dann, wenn es auch noch einen SMS-basierten Passwort-Rücksetz-
Dienst gibt.
Hier ein paar weitere Quellen dazu, die zumindest teilweise sich auf dieselben
Studien beziehen, ich hab das nicht im einzelnen geprüft und verglichen:
The problems with forcing regular password expiry
https://www.ncsc.gov.uk/articles/problems-forcing-regular-password-expiry
Time to rethink mandatory password changes
https://www.ftc.gov/news-events/blogs/techftc/2016/03/time-rethink-mandatory-password-changes
Sehr ausführlich auch dies:
Paradigmenwechsel bei Passwortsicherheit
https://it-service.network/blog/2017/10/23/sichere-passwoerter-passwortsicherheit/
Natürlich lassen sich die letzten Passwort-Hashes im System speichern, damit
der Nutzer nicht einfach zwischen zwei oder drei Passwörter durchwechselt.
Das erhöht aber wieder die Daten-Menge und erlaubt einem erfolgreichen
Angreifer sogar noch besseren Einblick in die Gewohnheiten der Anwender.
Auch lassen sich Heuristiken implementieren, die schauen, ob die Anwenderin
ihr Passwort wirklich substantiell ändert. Ich vermute jedoch, dass dies nur
dazu führt, dass die Betroffenen die Passwörter einfach irgendwo
aufzuschreiben oder zu speichern. Und inwiefern sie einen guten, lokal
laufenden Passwort-Manager dafür nutzen?
Eine Passwort-Änderung einmal im Jahr… das könnte noch einen gewissen Sinn
ergeben. Aber nur bei Wahl eines ganz klar komplett anderen Passworts. So oder
so hilft eine solche Änderung nur, falls Passwort-Knacker nach einem
erfolgreichen Einbruch auf eine Passwort-Änderung warten. Das halte ich für
unrealistisch. Warum sollte ein Angreifer so lange damit warten? Und wenn er
einmal eingebrochen ist? Dann ist es eh zu spät. Eine Passwort-Änderung kann
einem späteren Bekanntwerden der erbeuten Passwörter oder Passwort-Hashes
aus einem Einbruch helfen. Da finde ich aber sinnvoller, die vorhandenen
Passwörter eben auf solche bekannt gewordenen Listen zu prüfen.
Wichtiger finde ich, Maßnahmen umzusetzen, die einen Einbruch von vorne
herein unwahrscheinlicher, schwieriger, aufwendiger machen.
Wichtiger finde ich ein sicheres Passwort zu wählen. Und eines, das nicht in
bereits bekannten Passwort-Listen enthalten ist:
Ich empfehle keine Nutzung von nicht selbst gehosteten Diensten, um diese
Frage zu klären.
Am ehesten würde ich noch lokal in
https://github.com/danielmiessler/SecLists.git
suchen.
In einer Organisation würde ich eher lokal regelmäßig Passwort-Knacker auf
die Passwort-Hashes laufen lassen, die unter anderen die obigen Listen
durchprobieren und was immer Passwort-Knacker sonst noch so machen. Je
nach Sicherheitsanforderung entweder Programme, die das tun, oder gar
ab und an Sicherheitsexperten drauf ansetzen.
Und dann verlangen, geknackte Passwörter zu ändern.
Ciao,
--
Martin
Reply to: