79
ich_iel (feddit.org)
all 31 comments
sorted by: hot top controversial new old
[-] aaaaaaaaargh@feddit.org 49 points 1 month ago

Wissen wahrscheinlich die meisten hier, aber Passwörter zu wechseln ist gar nicht so eine gute Idee, wie man meint:

https://www.ftc.gov/policy/advocacy-research/tech-at-ftc/2016/03/time-rethink-mandatory-password-changes

zl;ng: Regelmäßig gewechselte Passwörter sind in der Regel schwach und folgen einer vorhersehbaren Transformation. Besser ist es, das Passwort nur zu wechseln, wenn man glaubt, dass es kompromittiert ist und auf jeden Fall einen zweiten Faktor zu verwenden.

[-] 30p87@feddit.org 27 points 1 month ago

Besser ist es, einen PW Verwalter zu benutzen.

[-] Successful_Try543@feddit.org 18 points 1 month ago

Ist das sowas wie die Liste unter der Schreibtischunterlage?

[-] aaaaaaaaargh@feddit.org 6 points 1 month ago

Nein, ein MastEs am Monitor

[-] Successful_Try543@feddit.org 5 points 1 month ago

Das aktuelle Passwort steht doch auf dem Monitor: Belinea2024

[-] EherVielleicht@feddit.org 4 points 1 month ago

Da wo Kamera, oder? Oder?

[-] aaaaaaaaargh@feddit.org 8 points 1 month ago

Noch besser ist es, beides zu tun, also zufällig generiertes Passwort im Verwalter mit zweitem Faktor

[-] 30p87@feddit.org 9 points 1 month ago

Ist doch eigentlich logisch. Bitte für den PW Verwalter ein gutes Passwort wählen und eine Schlüsseldatei auf jedem Gerät.

[-] leisesprecher@feddit.org 0 points 1 month ago

Wobei hier wahrscheinlich auch die Frage ist, was man als Threatmodel annimmt.

Die meisten Angriffe passieren ja eher ungezielt, es setzt sich also niemand hin und überlegt, welcher Teil des PW geändert worden sein könnte. Selbst wenn, verzehnfacht das mal eben die Länge der normalen Passwort-Listen. Von daher ist es wahrscheinlich schon nicht komplett abstrus.

[-] Dekkia@this.doesnotcut.it 34 points 1 month ago

Ist die Empfehlung, regelmäßig Passwörter zu ändern, nicht eh veraltet?

[-] luckystarr@feddit.org 26 points 1 month ago

Ja, weil dann Passwörter mit geringerer Entropie verwendet werden.

[-] EherVielleicht@feddit.org 17 points 1 month ago

Kartoffel0, Kartoffel1, Kartoffel2, Kartoffel3, Kartoffel4, Kartoffel5, Kartoffel6, Kartoffel7, Kartoffel8, Kartoffel9.

[-] eunieisthebus@feddit.org 3 points 1 month ago

Quatsch Kartoffel0, Kartoffel1, Kart0ffel, Kart1ffel, Kartoffel0, ...

[-] TecCheck@feddit.org 5 points 1 month ago

Ich hab da ein Familienmitglied, das mir erst kürzlich erzählt hat, wie es sich neue Passwörter ausdenkt: "Ich hab da so ne Liste mit Passwörtern von anderen Sachen, die gehe ich einfach durch". Tja, als Informatiker macht mich das nicht gerade glücklich

[-] Gladaed@feddit.org 4 points 1 month ago

Nein, sie ist falsch. Sie ist nicht nur veraltet sondern sogar schadhaft, da sie gutes Verhalten bestraft.

[-] instantnudel@feddit.org 21 points 1 month ago

Ein glück gibt es hier auf ich_iel keinerlei IT menschen. :)

[-] EherVielleicht@feddit.org 6 points 1 month ago

Kein Risiko, kein Fiesiko!

[-] hsdkfr734r@feddit.nl 9 points 1 month ago* (last edited 1 month ago)

Und nach 90 Tagen ist das Passwort auf einmal unsicher oder wie? Versteh den Gedankengang nicht.

Edit: nicht gegen OP gerichtet. Falls das so angekommen sein sollte, sorry. Es geht um das seltsame 90-tägige Passwort-Ritual. :)

Der Gedanke war mal, dass man es nicht mitbekommt wenn das Passwort entwendet wurde. Also soll es regelmäßig gewechselt werden, zum einen um etwaige Schäden einzudämmen, zum anderen um bisherige Versuche das PW zu erraten nutzlos zu machen.

In der Realität sieht es aber anders aus, wie Unmutlaut hier in den Kommentaren bereits erwähnte.

[-] froh42@lemmy.world 3 points 1 month ago* (last edited 1 month ago)

In diesem Falle hat ein Angreifer im Durchschnitt nur 45 Tage Zeit, das Passwort zu nutzen. Ich bin sicher, 45 Tage sind viel zu wenig für einen Angreifer um eine wirkungsvolle Backdoor zu installieren.

Come on. Das Ganze ist nur Sicherheitstheater weil es nix kostet. Wenn ein Passwort vor Diebstahl geschützt werden soll, dann braucht es sowieso One Time Paaswords, da hilft auch der Schmarrn mit den 90 Tagen gar nix.

Es ist ja auch nicht so, dass es keine Lösungen für solche Probleme gäbe, wie div. 2FA Software oder Hardware Devices, 4 Augen Login usw.

Aber die 90 Tage Regelung - da kann man dem Management sagen "Jaja, wir haben was getan", ohne dass das Management Budget dafür raus rücken muss.

Es ist einfach Security Theater.

[-] fantawurstwasser@feddit.org 2 points 1 month ago

Das sehe ich anders. Wir wissen, dass viele User bei verschiedenen Diensten immer die gleichen Passwörter nutzen. Und daher ist die Wahrscheinlichkeit, dass die User auch das Firmenpasswort dann für GMX oder irgendeinen Trotteldienst, der dann die Passwörter verschlampt, nutzen, recht groß. Das kannst du als IT nicht verhindern. Mit so einer 90 Tage-Regel verbrennst du so die Standard-Passwörter deiner User. Sie setzen ihr Standard-PW und dann müssen sie es ändern. Verkackt Kokstaxi.de das mit der IT-Sicherheit, dann ist halt das CRM-Passwort vom Vertriebsleiter halt nach 90 Tagen nicht das dortige. Das ist nicht perfekt, aber verhindert schon einiges an automatisierten Attacken.

Es bringt etwas, aber ist kein Allheilmittel. Ob es Securitytheater ist kommt auf die Implementierung an. Meistens ist es das, weil es, wie du sagst, eher als Ausrede genutzt wird um nichts zu tun.

[-] pulsey@feddit.org 3 points 1 month ago

Bedingt. Ist meistens eher eine Schuldverlagerung vom Unternehmen auf den User. Stichwort SMS oder E-Mail als zweiten Faktor/OTP Versand. Auch bringt dir das weniger wenn du den zweiten Faktor auf demselben Gerät hast mit dem du den ersten Faktor verifizierst.

[-] UxyIVrljPeRl@lemmy.world 2 points 1 month ago

Kommt drauf an, wenn man erhöhte rechte hat und sich regelmäßig mit Menschen die ein Interesse an dem PW haben einlogt, könnte es unsicher sein. Beispiel IT beauftragter an Schule/Uni. Ansonsten ist das eine dumme Regel wie die meisten bisher bemerkt haben. Selbst in dem speziellen Kontext würde ich da keine regelmäßigen Änderungen erzwingen

[-] EherVielleicht@feddit.org 1 points 1 month ago

90 Tage dann muss PW geändert werden.

[-] hsdkfr734r@feddit.nl 3 points 1 month ago

Na dann nehm ich jetzt hunter3.

[-] lugal@sopuli.xyz 9 points 1 month ago

"Ja, aber sag uns das nicht."

[-] EherVielleicht@feddit.org 4 points 1 month ago

10 Stück....

[-] doktormerlin@feddit.org 2 points 1 month ago

Passwort.1

Passwort.2

Passwort.3

Passwort.4

Passwort.5

Passwort.6

this post was submitted on 19 Sep 2024
79 points (97.6% liked)

ich_iel

2059 readers
544 users here now

Die offizielle Zweigstelle von ich_iel im Fediversum.

Alle Pfosten müssen den Titel 'ich_iel' haben, der Unterstrich darf durch ein beliebiges Symbol oder Bildschriftzeichen ersetzt werden. Ihr dürft euch frei entfalten!


Matrix


📱 Empfohlene Schlaufon-Applikationen für Lassmich


Befreundete Kommunen:


Regeln:

1. Seid nett zueinander

Diskriminierung anderer Benutzer, Beleidigungen und Provokationen sind verboten.

2. Pfosten müssen den Titel 'ich_iel' oder 'ich iel' haben

Nur Pfosten mit dem Titel 'ich_iel' oder 'ich iel' sind zugelassen. Alle anderen werden automatisch entfernt.

Unterstrich oder Abstand dürfen durch ein beliebiges Textsymbol oder bis zu drei beliebige Emojis ersetzt werden.

3. Keine Hochwähl-Maimais oder (Eigen)werbung

Alle Pfosten, die um Hochwählis bitten oder Werbung beinhalten werden entfernt. Hiermit ist auch Eigenwerbung gemeint, z.b. für andere Gemeinschaften.

4. Keine Bildschirmschüsse von Unterhaltungen

Alle Pfosten, die Bildschirmschüsse von Unterhaltungen, wie beispielsweise aus WasistApplikaton oder Zwietracht zeigen, sind nicht erlaubt. Hierzu zählen auch Unterhaltungen mit KIs.

5. Keine kantigen Beiträge oder Meta-Beiträge

ich_iel ist kein kantiges Maimai-Brett. Meta-Beiträge, insbesondere über gelöschte oder gesperrte Beiträge, sind nicht erlaubt.

6. Keine Überfälle

Wer einen Überfall auf eine andere Gemeinschaft plant, muss diesen zuerst mit den Mods abklären. Brigadieren ist strengstens verboten.

7. Keine Ü40-Maimais

Maimais, die es bereits in die WasistApplikation-Familienplauderei geschafft haben oder von Rüdiger beim letzten Stammtisch herumgezeigt wurden, sind besser auf /c/ichbin40undlustig aufgehoben.

8. ich_iel ist eine humoristische Plattform

Alle Pfosten auf ich_iel müssen humorvoll gestaltet sein. Humor ist subjektiv, aber ein Pfosten muss zumindest einen humoristischen Anspruch haben. Die Atmosphäre auf ich_iel soll humorvoll und locker gehalten werden.

9. Keine Polemik, keine Köderbeiträge, keine Falschmeldungen

Beiträge, die wegen Polemik negativ auffallen, sind nicht gestattet. Desweiteren sind Pfosten nicht gestattet, die primär Empörung, Aufregung, Wut o.Ä. über ein (insbesonders, aber nicht nur) politisches Thema hervorrufen sollen. Die Verbreitung von Falschmeldungen ist bei uns nicht erlaubt.


Bitte beachtet auch die Regeln von Feddit.org

founded 4 months ago
MODERATORS