Passwörter regelmässig ändern ist keine gute Idee

Dieser Thread ist Teil einer Diskussion zu einem Artikel:  Zum News-Artikel gehen

stebra

Stammgast
Diese Werbung für Kapersky ist schon etwas aufdringlich, wenn im ersten Moment auch noch gut versteckt. Als ich mich einloggen wollte, war doch wirklich das Kapersky-Fenster im Weg und liess sich nicht einfach verschieben oder wegklicken.
Dass oben das PCTipp-Logo immer wieder zuckt, ist auch sehr nervend.

Nun zur Sache: Es werden immer und überall die Passwortmanager gelobt. Einerseits ist da das Problem, dass wenn jemand dessen Master-Passwort hat, so liegen ihm ALLE Passwörter zu Füssen. Ich weiss nicht, ob dieses Risiko (Wahrscheinlichkeit x Schadensgrösse) unter Umständen grösser ist.
Der andere nicht so unwahrscheinliche Schaden ist, dass man selbst keinen Zugriff hat: Wenn man nämlich mal an einem fremden oder neuen Computer (Smartphone) auf ein Konto zugreifen will, hat man keine Chance.
 

ROGEZH

Mitglied
Ein Glück, dass der Kaspersky-Experte Christian Funk nicht die Köpfe von Usern hineinsieht! Ich empfinde Ihr Statement "Passwörter regelmässig ändern ist keine gute Idee", als eine höchst unseriöse, unverantwortliche und irreführende Aussage!

Ich hatte mehr als ein Jahrzehnt in einem internationalen Konzern in einem hochsensiblen Bereich gearbeitet, war Mil.-zertifiziert, musste regelmässig Sicherheits-Trainings absolvieren (von Social Engineering über IT bis zur Werksspionage), wurde regelmässig auditiert und habe deshalb ein ganz anderes Verständnis für sichere Passwörter, als es so mancher User und Herr Christian Funk vermutlich jemals haben werden. Ausserdem scheint Herr Funk nicht mehr so ganz uptodate zu sein, denn wir haben streckenweise längst die Drei-Faktor-Authentifizierung!

Deshalb hatte ich zu jenen Menschen gehört, welche alle 3 Monate ihre Passwörter gewechselt haben. Das hatte mich jedoch keineswegs dazu motiviert (so wie es Herr Funk fälschlicherweise darstellt), deswegen einfache, unsichere Passwörter zu verwenden. Im Gegenteil ich hatte 16-20 stellige komplexe und trotzdem leicht zu merkende Passwörter verwendet. Mit etwas Fantasie und System lässt sich das sehr leicht bewerkstelligen. Mit anschliessender Kontrolle unter dem Link des Datenschutzbeauftragten des Kantons Zürich (CH) lässt sich die Passwortstärke zudem leicht und kostenlos überprüfen. Dazu kann ich jedem User nur DRINGEND raten: https://www.passwortcheck.ch/passwortcheck/passwortcheck Und ganz wichtig: Passwörter sollten NIEMALS in einem Internet-Browser gespeichert werden, auch wenn es noch so bequem erscheint! Es ist schliesslich hinreichend bekannt (um es vornehm auszudrücken), welche Browser und Provider zu den wissensdurstigsten gehören.

Was ich aus o. g. Gründen jedoch NIEMALS tun würde, meine Passwörter einem KASPERSKY-Passwort-Manager (aber auch keinem anderen) anvertrauen, ausgerechnet einer Firma mit Sitz in Russland, einem Land, in welchem die hoch professionellsten und kriminellsten Hackerbanden sitzen, welche den letzten US-Wahlkampf negativ beeinflusst hatten. Das Resultat kennt ja nun wirklich jede/r. Ohne ausgiebig Googlen zu müssen ist mir aufgefallen, dass sich der CEO Jewgeni Kasperski in den letzten Jahren mehrfach gegen Vorwürfe der Softwarespionage wehren musste. Zitat Wickipedia: "Im Jahr 1987 erhielt er in Moskau seinen Abschluss an der KGB-Hochschule (im Jahr 1992 umbenannt in Institute für Kryptographie, Fernmeldewesen und Informatik der späteren FSB-Akademie, an der er Mathematik, Kryptographie und Computertechnologie studiert hatte." Zitat Ende. Doch auch ihm gebührt UNSER demokratischer Rechtsgrundsatz, bis zu einer Anklage und einer gerichtlichen Verurteilung gilt die "Unschuldsvermutung". Ich kann mir allerdings nur sehr schwer vorstellen, dass sich MOSSAD und NSA dabei vollständig irren. All das stimmt mich äusserst nachdenklich.

Auch wenn der Kaspersky-Experte Christian Funk in vielen Punkten das "teilweise blauäugige und dilettantische Verhalten von Passwort-Banausen" zurecht und korrekt anspricht, so empfinde ich diesen Artikel mit mehreren Links zu entsprechenden Produkten als einen reinen Kaspersky Werbefeldzug! Bedauerlich, dass dieser Werbefeldzug mit einem derart dummen und unseriösen Titel wie "Passwörter regelmässig ändern ist keine gute Idee" eingeleitet wird. Das lässt in mir zusätzlich ernste und erheblich Zweifel an der redaktionellen Seriosität von PCtipp aufkommen!
 

Geoffrey

Stammgast
Dass ein regelmässiger Passwortwechsel nichts bringt, ist seit einger Zeit bekannt und sollte Sicherheits-Interessierten eigentlich bekannt sein. Um das Gegenteil beweisen zu wollen hilft auch ein Posting mit vielen Schlagwörtern drin nicht.

Schaut man einmal die Statistik an, dann sieht man darin, dass Passwortklau zu 90% durch Abgriffe infolge gehackter Seiten erfolgt. Dabei spielt es keine Rolle wie oft das Passwort geändert wird und aus wievielen kryptischen Zeichen es besteht. Die Hacker greifen das aktuelle Passwort ab, egal wie lange und unleserlich das ist. Hacking durch Bruteforce ist sehr selten. Ein Passwortwechsel ist dann notwendig, wenn man vom Leck erfahren hat, vorher nicht.

Zu Kapersky:
Diese getarnte Reklame stört mich schon lange. Sowieso erscheint dieser Text schon seit Ewigkeiten und ist enifach nur noch lästig. Bezeichnet solche Artikel unmissverständlich als Reklame und erfindet nicht immer wieder neue verwirrende Bezeichnungen dafür. (Publireportage, Partnerzone, Freundeblog etc.) Etwas mehr Seriosität wäre angebracht. Es ist ganz einfach mit dem Newsletter. Ist mehr Werbung als News, wird abgemeldet.

Und dass bei einem neuen Thread der Bot als Themenstarter angegeben wird, verstehe wer will.
In allen andern Foren die ich regelmässig besuche, habe ich noch nie so einen bescheuerten Bot gesehen wie bei Pctipp.

geoffrey
 

Gaby Salvisberg

Super-Moderator
Hallo ROGEZH und Geoffrey
Auch wenn der Kaspersky-Experte Christian Funk in vielen Punkten das "teilweise blauäugige und dilettantische Verhalten von Passwort-Banausen" zurecht und korrekt anspricht, so empfinde ich diesen Artikel mit mehreren Links zu entsprechenden Produkten als einen reinen Kaspersky Werbefeldzug! Bedauerlich, dass dieser Werbefeldzug mit einem derart dummen und unseriösen Titel wie "Passwörter regelmässig ändern ist keine gute Idee" eingeleitet wird. Das lässt in mir zusätzlich ernste und erheblich Zweifel an der redaktionellen Seriosität von PCtipp aufkommen!

Du kommentierst hier keinen redaktionellen Artikel, sondern eine Werbeanzeige, wie Geoffrey (s. unten) richtig erkannt hat. Artikel mit Begriff "Partnerzone" sind immer nur Deals der Anzeigenabteilung und der Text stammt in diesem Fall vom Unternehmen Kaspersky selbst.

Dass ein regelmässiger Passwortwechsel nichts bringt, ist seit einger Zeit bekannt und sollte Sicherheits-Interessierten eigentlich bekannt sein. Um das Gegenteil beweisen zu wollen hilft auch ein Posting mit vielen Schlagwörtern drin nicht.
Das ist mir auch durch den Kopf gegangen ;)
Schaut man einmal die Statistik an, dann sieht man darin, dass Passwortklau zu 90% durch Abgriffe infolge gehackter Seiten erfolgt. Dabei spielt es keine Rolle wie oft das Passwort geändert wird und aus wievielen kryptischen Zeichen es besteht. Die Hacker greifen das aktuelle Passwort ab, egal wie lange und unleserlich das ist. Hacking durch Bruteforce ist sehr selten. Ein Passwortwechsel ist dann notwendig, wenn man vom Leck erfahren hat, vorher nicht.
Von welcher Statistik sprichst du? Ich gehe davon aus, dass Passwortklau zum überwiegenden Anteil via Phishing erfolgt. Da spielt es ebenfalls keine Rolle, wie kompliziert das Passwort ist. Wenn der abgephishte User dasselbe Passwort dann aber auch noch für 20 andere Dienste verwendet, hat der Angreifer nicht nur ein Passwort in den Händen, sondern noch 20 mehr.

Zu Kapersky:
Diese getarnte Reklame stört mich schon lange. Sowieso erscheint dieser Text schon seit Ewigkeiten und ist enifach nur noch lästig. Bezeichnet solche Artikel unmissverständlich als Reklame und erfindet nicht immer wieder neue verwirrende Bezeichnungen dafür. (Publireportage, Partnerzone, Freundeblog etc.) Etwas mehr Seriosität wäre angebracht. Es ist ganz einfach mit dem Newsletter. Ist mehr Werbung als News, wird abgemeldet.
Das werde ich intern sehr gerne weiterleiten.

Und dass bei einem neuen Thread der Bot als Themenstarter angegeben wird, verstehe wer will.
In allen andern Foren die ich regelmässig besuche, habe ich noch nie so einen bescheuerten Bot gesehen wie bei Pctipp.
Damit bei einem Online-Artikel beim Klick auf den Kommentieren-Knopf ein neuer Thread im Forum entsteht, braucht es ein Skript, das dies erledigt. Offenbar war es dem Webentwickler-Team bis zum Relaunch-Termin nicht möglich, ein Skript zu bauen, das zum Zeitpunkt des Klicks den aktuell eingelogten User als Themenstarter ausliest. Darum hat man sich offenbar für den Bot entschieden. Ich bin auch nicht sehr glücklich mit dem Bot, aber im Moment müssen wir damit leben. Leite ich aber ebenfalls gerne weiter.

Herzliche Grüsse
Gaby
 

Geoffrey

Stammgast
Ok, danke für die ausführlichen sachlichen Erklärungen.

Zur angesprochenen Statistik. Ich kann keine entsprechende Links oder Dokumente nennen. Ich lese einfach viel über diese Themen und merke mir die Inhalte aber eine eigene Link- und Dokumentensammlung lege ich nicht an. Es wurde sehr viel zu diesem Thema geschrieben in letzter Zeit, auch von anerkannten Fachleuten. Vor etwa einem Jahr wurde ein langes Dokument plubliziert indem zu sehen war, dass füer die meisten vergangenen Hackerangriffe eben solche erbeuteten Daten verwendet wurden und nicht Bruteforce zur Anwendung kam. Das Thema Bruteforce gewinnt aber wieder an Bedeutung weil viel zu viele Router und IOT und Smart Home Gadgets mit den Default Einstellungen betrieben werden. Das ist bedenklich und wird in nächster Zeit sicher Spam- und Hacker- Wellen geben.

geoffrey
 
Oben