it-swarm.com.de

Sollten Passwörter ablaufen?

Ich habe einen Streit mit meinem Partner. Er kommt aus der Finanzsoftware, aber ich nicht. Er empfiehlt, dass unsere Web-App die Benutzerpasswörter nach 6 Monaten abläuft (und jedes Mal eindeutig sein muss). Unsere Zielgruppe wird sich jedoch im Aufbau befinden. Ich denke, es wird die Benutzer ärgern und nicht genug Sicherheit bieten, um den Ärger zu rechtfertigen.

Denken Sie, dass Passwörter ablaufen sollten?

101
jrjensen

Ein Kompromiss besteht darin, dass ein Benutzer, der nach 6 Monaten (oder einem beliebigen Zeitraum) auf die Website zurückkehrt, möglicherweise hilfreich empfehlen darüber nachdenkt, sein Kennwort zu ändern - zusammen mit einem Link, warum dies hilfreich sein kann Ding für sie.

Auf diese Weise können Sie auch ein Framework einrichten, in dem Sie möglicherweise das Datum, an dem dies geschieht, auf ein bestimmtes Datum für alle Benutzer vorverlegen möchten - z. B. aufgrund einer Sicherheitslücke, einer Korrektur eines Systemsicherheits-Exploits oder aus einem anderen guten Grund.

Ich denke nicht, dass Passwörter ablaufen sollten ohne guten Grund, und weil 6 Monate vergangen sind, ist dies kein wirklicher guter Grund. Es ist eine Art Finger-in-the-Air-Zeit. Warum 6, warum nicht 7 oder 8.

Wenn Sie Kennwörter jedes Mal eindeutig machen, wird das offensichtliche Problem aufgeworfen, dass alle vorherigen Kennwörter des Benutzers im System gespeichert sind und obwohl dies hoffentlich gehasht/verschlüsselt ist, ist dies von jedermanns Punkt aus nicht wirklich gut der Ansicht!


Siehe auch:

Ich empfehle dringend, die Antworten auf diese Fragen im Information Security Stack Exchange zu lesen:

Wie erhöht das Ändern Ihres Passworts alle 90 Tage die Sicherheit?

Regelmäßige Passwortänderung erforderlich, aber vorherige Passwörter speichern?


Point of Interest:

Instanzen ablaufender Passwörter sind nicht auf Banken und andere Finanzinstitute beschränkt. Dieses Beispiel stammt von Northern Virginia Community College

enter image description here


Anekdote:

Ich habe einmal in einem Unternehmen gearbeitet, in dem wir Arbeitszeittabellen- und Projektstatusinformationen in ein internes zentrales System eingeben mussten.

Dies sollte wöchentlich erfolgen, aber die Hauptanforderung bestand darin, dass dies monatlich durchgeführt wurde - vor dem monatlichen Abrechnungszeitraum. Darüber hinaus sind Kennwörter für die Anmeldung am System nach 30 Tagen abgelaufen. Ein vorheriges Passwort konnte nicht wiederverwendet werden.

Monatliche Nutzung. Monatlicher Ablauf. Neues monatliches Passwort. Zuerst wurde die Unterstützung von Menschen überschwemmt, die ihre Passwörter vergaßen und zurücksetzen mussten.

Es war also nicht überraschend, dass wir alle in die Routine gerieten, ein Passwort zu verwenden, das auf dem aktuellen Monat und Jahr basiert, da dies der einfachste Weg war, sich das aktuelle Passwort zu merken und sicherzugehen, dass es zuvor nicht verwendet wurde.

Dieses System läuft nicht mehr.

Die Moral ist, dass Menschen nur Menschen sind. Nicht jeder ist ein Sicherheitsevangelist. Wir vergessen die Dinge leicht und versuchen, es uns leichter zu machen. Wir schreiben Dinge auf oder wenn es viele Einschränkungen gibt, machen wir Muster, um uns selbst zu helfen. Und Muster bedeuten weniger Sicherheit, was genau die Gründe ungültig macht, warum versucht wurde, die Sicherheit überhaupt zu verbessern.

104
Roger Attrill

Nein.

Alles, was Sie tun, ist, die Sicherheitsanforderungen in die Domäne des Benutzers zu verschieben, wenn es wirklich Ihr Anliegen ist, wenn die von Ihnen geschützten Daten ernst sind. In diesem Fall spielt es keine Rolle, was Sie mit Passwörtern tun. Sie müssen sekundäre Maßnahmen anwenden, z. B. die Bestätigung in zwei Schritten (GMail, Github), das Löschen von Sitzungen (GMail, Github, Facebook), die Benachrichtigung über ungewöhnliche Kontoaktivitäten (GMail) oder anspruchsvollere Maßnahmen, wie sie beispielsweise bei tatsächlichen Online-Finanzdienstleistungen angewendet werden.

Passwörter sind bestenfalls eine Möglichkeit, den Zugriff auf opportunistische Konten zu stoppen, d. H. Zu verhindern, dass jemand Ihren Profillink besucht und Ihr Profil bearbeitet.

Das Ergebnis übermäßig komplizierter Kennwortrichtlinien, unabhängig davon, ob dies abläuft oder aus anderen Gründen, führt dazu, dass Benutzer nur schwer auf Konten zugreifen können. Anekdotisch ist, dass ich jetzt Konten habe, bei denen ich so weit von nicht einprägsamen Passwörtern entfernt wurde, dass ich standardmäßig das Zurücksetzen von Passwörtern für den Zugriff auf das Konto verwendet habe.

Was erreicht es tatsächlich in Bezug auf die Sicherheit?

Ich überlasse es Ihnen, this im Detail zu lesen, um die beiden wichtigsten Antworten zusammenzufassen: Es hat keine Auswirkungen auf Brute-Force-Angriffe - unabhängig davon, wie oft Ihr Benutzer sein Passwort geändert hat, werden sie es dennoch tun leiden unter this und this ; Es hilft bei möglichen alten Sicherheitsverletzungen bei der Datensicherung. aber Dies ist eine UX-Frage, und ich würde sagen, dass die Sicherheit der Sicherung zu 100% in Ihrer Verantwortung als Systemadministrator liegt. Daher verweise ich auf meinen ersten Punkt über das Verschieben der Sicherheit in die Domäne des Benutzers.

Beispiele für tatsächliche Finanzdienstleistungen

Es ist interessant zu sehen, wie Online-Finanzdienstleistungen tatsächlich mit der Kontosicherheit umgehen: Sie verlassen sich so wenig auf Passwörter, dass sie anscheinend recht lockere Regeln haben.

Nehmen wir als Beispiel Paypal. Melden Sie sich an, Sie benötigen nur 8 Zeichen mit einer Nummer und einem Symbol. Nicht sehr sicher, besonders wenn man bedenkt, dass die meisten Leute nur "1" und "!" am Ende eines Wörterbuchs Word. Ich kann die folgenden Informationen nicht mit einem Link versehen, aber aufgrund einer beruflichen Situation, in die ich verwickelt war, wurde uns direkt von Paypal erklärt, dass sie über eine Reihe von Metriken verfügen, mit denen sie auch über Hacks informiert werden, z. B. wie Schnell geben Sie Ihr Passwort ein und von wo aus Sie darauf zugreifen.

Alternativ können Sie meine Bank (Nationwide) als Beispiel nehmen. Sie verwenden drei einfache Codes, um einzusteigen, die alle leicht brutal erzwungen werden können. Wenn ich jedoch versuche, Geld auf ein neues Konto zu überweisen, muss ich ein Hardware-Pin-Eingabegerät mit meiner Chip-and-PIN-Karte und meiner Karten-PIN verwenden. Darüber hinaus analysiert meine Bank jeden Einkauf und wenn er nicht zu meiner Kaufhistorie passt, blockieren sie die Transaktion. Dies ist zweimal passiert, und in beiden Fällen musste ich anrufen und das Konto entsperren lassen.

Der Punkt, den ich hier ansprechen möchte, ist, dass etwas Ernstes wie eine Bank nicht nur auf Passwörtern angewiesen ist, um ein Konto zu sichern, und obwohl es den Anschein hat, dass Sicherheit und Benutzerfreundlichkeit in Konflikt geraten, beweisen einige der größten Unternehmen im Web, dass die Zwei können auch bei sehr sensiblen Daten gut funktionieren.

44
Toni Leigh

Die schnelle Antwort: Amazon, Google und meine Bank lassen mich mein Passwort nicht alle sechs Monate oder jemals ändern. Was tun Sie, das mehr Sicherheit * erfordert als sie?

Hoffen wir für Ihre Benutzer, dass dies ein überzeugendes Argument ist **, und Sie entscheiden sich, dies nicht zu tun. Der ergänzende Diskussionspunkt lautet: Warum müssen Sie ihr Passwort speichern? Könnten Sie OpenID oder OAuth, um sie anzumelden, z. B. sich bei Google anzumelden?). Der Grund dafür ist, dass es sicherer ist, Google ihr Passwort speichern zu lassen, als es selbst zu versuchen.

Und viel Glück! Ich hoffe es hebt ab :)

* diejenigen in der Unternehmenswelt denken oft, dass bestimmte Passwortpraktiken nützlicher sind als sie tatsächlich sind. Es ist sehr wahrscheinlich, dass in einem Raum voller Finanzleute, von denen keiner ein Experte für Sicherheit ist, niemand dies tun würde bereit, Bull ... Zeug zu nennen, wenn Praktiken wie diese zur Sprache gebracht werden, weil niemand Verantwortung übernehmen will, nur für den Fall, dass etwas, das er nicht versteht, schief geht.

** wenn nicht, siehe auch :

  1. Leute werden sich über Ihr System ärgern, da sie es selten benutzen und warum ist nur Ihr System das?
  2. Leute dazu zu bringen, ihr Passwort zu ändern, bedeutet nur, dass sie sehr ähnliche oder solche auswählen, die sie irgendwo aufschreiben; an diesem Verhalten führt kein Weg vorbei
25
Robert Grant

Akzeptierte Weisheit unter Sicherheitsexperten ist, dass Kennwortablauf/erzwungene Änderungen die Sicherheit im Allgemeinen nicht erhöhen und häufig verringern. Häufige Änderungen erschweren das Erraten des Kennworts nicht, fördern jedoch unsichere Aktionen von Benutzern (z. B. das Aufschreiben von Kennwörtern oder das Verwenden von leicht zu erratenden Mustern zum Generieren dieser Kennwörter) und bieten nur in seltenen Fällen Vorteile, in denen ein Angreifer tätig ist Wer ein Passwort lernt, kann dieses Wissen nicht sofort nutzen.

12
Mark

Nein, wenn Sie Ihre Passwörter alle sechs Monate ändern, werden die Konten nicht sicherer. Sie verwenden immer noch dieselben Passwortregeln (einen Großbuchstaben, eine Zahl, ein Symbol, ein Gangzeichen, eine Hieroglyphe und das Blut einer Jungfrau). Wenn Sie eine Änderung benötigen, ist es umso wahrscheinlicher, dass der Benutzer sie ungesichert aufschreibt.

Wichtiger als das Ändern von Passwörtern auf einer Website ist die Wiederverwendung von Passwörtern und Benutzernamen in Ihrer gesamten Online-Präsenz. Wenn Sie Kennwörter wiederverwenden, ist nur eine Website erforderlich, um Ihr Kennwort in lesbarem Text zu speichern, und Ihr gesamtes digitales Leben ist gefährdet.

Das einzige Problem ist, dass wir nicht überprüfen können, ob der Benutzer dieses Passwort zuvor verwendet hat oder nicht. Und damit erreichen wir die einzige verfügbare Sicherheitsaktion, die wir noch haben: das Intervall zur Kennwortänderung. Empfehlen Sie Ihrem Benutzer jedoch, eine App zum Speichern von Passwörtern auf dem Smartphone/Tablet/Desktop zu verwenden und für jede Site ein neues Passwort zu generieren.

Dann und nur dann sind Sie sicherer als das Kennwortänderungsintervall.

10
Benny Skogberg

Es kommt darauf an.

Was macht Ihre Website? Was sind die tatsächlichen Folgen eines kompromittierten Kontos? Ärger oder gestohlene Identität?

Auslagern.

Haben Sie einen guten Grund, OpenID, Google, Facebook, Twitter und Yahoo nicht mit der Benutzeridentität und -authentifizierung zu beauftragen?

Sicherheit hat Kosten. Wiegen Sie sie.

Warum müssen sich Ihre Benutzer nicht über eine Smartcard in Verbindung mit einem Fingerabdruckscanner, einem kryptografischen Token und einer Passphrase mit mindestens 128 Zeichen anmelden, die alle fünf Stunden geändert werden muss? Sie müssen die Kosten und den Nutzen der Sicherheit in Einklang bringen.

Denken Sie über den Tellerrand hinaus.

Passwörter saugen. Verwenden Sie sie nicht nur, weil es alle anderen sind. Wie wäre es mit etwas Coolem wie Clef ?

7
Dane

Für eine Website mit Kunden lautet die Antwort immer nein.

Das hat nichts mit Sicherheit zu tun.

Dies liegt daran, dass Sie alle sechs Monate einen erheblichen Prozentsatz der Benutzer verlieren, die sich einfach nicht die Mühe machen müssen, ein neues Passwort zu erstellen, es irgendwo aufzuzeichnen usw.

Erzwungene Kennwortänderungen sind für Mitarbeiter und andere Zielgruppen akzeptabel, für Kunden jedoch schrecklich.

5
Dewi Morgan

Der Ablauf des Kennworts ist eine Einschränkung für Benutzer. Daher sollte es für Benutzer sinnvoll sein; Andernfalls wird es zu einer schlechten Erfahrung.

Daher denke ich, dass eine Schlüsselfrage lautet: Wie wichtig ist es für Ihre Benutzer, ihren Zugriff auf Ihre Web-App zu sichern?

Wenn Sie Finanztransaktionen oder nur zu lesende Inhalte bereitstellen, ist dies nicht dasselbe ....

4
Florent Goumy

Mein Passwort für das Bankkonto läuft meines Wissens nicht ab. Aus UX-Sicht befinden Sie sich in einer der folgenden Situationen:

  • Sie vertrauen Ihren Benutzern nicht, dass sie ihr Passwort sicher aufbewahren
    • Sie schreiben es auf ihre Elektrowerkzeuge oder prahlen ihren Freunden damit, wie sehr sie Ovaltine lieben
  • Sie verfügen nicht über die richtige Infrastruktur für die Erkennung von Eindringlingen.
    • Hey, Sie haben sich noch nicht von diesem Computer aus angemeldet. Wir haben Ihnen einen Text/eine E-Mail gesendet. Bitte geben Sie den Bestätigungscode ein.
  • Ihr System ist von Natur aus unsicher und Brute-Force-Versuche werden nicht gemildert.
    • Wird das Konto nach 3-5 falschen Versuchen gesperrt?

Wenn Sie Schwierigkeiten haben, einen beliebigen Passwortablauf durchzuführen, würde meine persönliche Empfehlung darin bestehen, dass sie sich einmal mit dem alten Passwort anmelden und einen Bildschirm mit der Aufschrift "Dieses Passwort ist älter als 6 Monate, schließen Sie nicht" anzeigen dieses Fenster und bitte ändern Sie Ihr Passwort jetzt oder es wird eine vollständige PITA sein, um es später zu ändern, haben Sie einen schönen Tag. "

Gesamtkennwörter sollten nicht ablaufen, da alle Möglichkeiten zur Eindämmung von Eindringversuchen möglich sind.

Wenn Sie nichts von diesem Setup haben, läuft das Passwort auf jeden Fall jede Woche ab.

4
MonkeyZeus

Wir verwenden Passwörter, die nicht jeden Tag ablaufen - sie werden als Fingerabdrücke bezeichnet. Was sie zum Funktionieren bringt, ist die Dual- oder sogar Tri-Faktor-Authentifizierung (muss eine PIN haben, muss das aktivierte Smartphone vorhanden sein). Zugegeben, das Problem ist, dass ein Blue-Collar-Publikum Smartphones benötigt, und darauf kann man sich nicht immer verlassen.

Wie sensibel sind Ihre Daten? Können Sie sich teilweise anmelden? Schauen Sie sich Amazon an - Sie können stöbern, Ihre Einstellungen verwenden, Ihre Empfehlungen anzeigen und sogar Dinge in den Warenkorb legen, ohne sich erneut anmelden zu müssen. Ich würde auch beachten, dass Amazon kein rotierendes Passwort benötigt.

Es ist eine gute Praxis, aber wenn Sie sich nicht an die Finanz- oder HIPAA-Gesetze halten, sollten Sie sich daran erinnern, dass Sicherheit der Fluch der Benutzerfreundlichkeit ist.

2
Imperative

Sollten Passwörter ablaufen?

Ich habe eine zweiteilige Antwort, da es sich um User Experience und handelt. Sicherheit, aber das Wichtigste zuerst:

Die Antwort lautet: ja !


Ich werde zuerst die User Experience Seite der Dinge machen, da dies die Seite ist, auf der wir uns befinden. Dies wurde durch ein sehr beliebtes Webcomic von xkcd demonstriert, das wahrscheinlich jeder erkennen wird:

(xkcd Password Strength

Jetzt testen wir correct horse battery staple on HowSecureIsMyPassword:

Auf einem normalen Desktop-PC mit 4 Milliarden Berechnungen pro Sekunde erhalten Sie:

desktop pc results

Ich weiß, Sie sagen, "Ja, aber das ist nur ein normaler Desktop-PC. Was ist mit etwas schnellerem?"

OK. Was ist mit dem schnellsten Supercomputer der Welt, der 33.860 Billionen Berechnungen pro Sekunde ausführt?

fastest supercomputer in the world results

Das ist eine sehr lange Zeit! Unmöglich !

Sie müssen sagen, "Nun warte! Warte eine Minute! Was ist mit dem anderen Tr0ub4for&3 Passwort im Comic? Sicherlich würde es auch lange dauern, das zu knacken, oder? "

Ok, mal sehen, was China damit macht!

enter image description here

Nur 4 Stunden!?!?!

Jep! Denk dran :

Länge und leicht zu merken> Komplexität !

Nun ist es wahr, Sie müssen auch daran denken, dass die Zwei-Faktor-Authentifizierung heutzutage der richtige Weg ist und Notenschlüssel) hat ein tolles Setup in diese Richtung.


Soweit Sicherheit Seite davon, wurde diese spezifische Frage bereits gestellt (anderer Wortlaut, aber Kreisverkehr das gleiche) von Bill the Lizard ♦ on Security.SE:

Wie erhöht das Ändern Ihres Passworts alle 90 Tage die Sicherheit?

Es könnte bemerkenswert sein, dass er es in seiner Frage so bearbeitet hat, dass es heißt:

Diese Frage war IT-Sicherheitsfrage der Woche.
Lesen Sie den 15. Juli 2011 Blogeintrag für weitere Details ....

Dies war die akzeptierte Antwort von = Justin Cave dass Bill the Lizard ♦ = wählte:

Der Grund, warum Richtlinien zum Ablaufen von Kennwörtern existieren, besteht darin, die Probleme zu verringern, die auftreten würden, wenn ein Angreifer die Kennwort-Hashes Ihres Systems erwerben und diese beschädigen würde. Diese Richtlinien tragen auch dazu bei, das Risiko zu minimieren, das mit dem Verlust älterer Sicherungen an einen Angreifer verbunden ist.

Wenn beispielsweise ein Angreifer einbricht und Ihre Schattenkennwortdatei abruft, kann er die Kennwörter brutal erzwingen, ohne weiter auf das System zuzugreifen. Sobald sie Ihr Passwort kennen, können sie auf das System zugreifen und die gewünschten Hintertüren installieren, es sei denn, Sie haben Ihr Passwort in der Zeit zwischen dem Erwerb der Schattenpasswortdatei durch den Angreifer und dem brutalen Erzwingen des Passwort-Hash geändert. Wenn der Kennwort-Hash-Algorithmus sicher genug ist, um den Angreifer 90 Tage lang abzuhalten, stellt der Ablauf des Kennworts sicher, dass der Angreifer mit Ausnahme der bereits erhaltenen Liste der Benutzerkonten keinen weiteren Wert aus der Schattenkennwortdatei erhält.

Während kompetente Administratoren die eigentliche Schattenkennwortdatei sichern, neigen Organisationen insgesamt dazu, bei Backups, insbesondere bei älteren Backups, nachlässiger zu sein. Im Idealfall würde natürlich jeder mit dem Band, auf dem sich das Backup von vor 6 Monaten befindet, genauso vorsichtig sein wie mit den Produktionsdaten. In der Realität werden jedoch einige ältere Bänder in großen Organisationen unweigerlich verlegt, falsch abgelegt und gehen ansonsten verloren. Richtlinien zum Ablaufen von Kennwörtern begrenzen den Schaden, der entsteht, wenn eine ältere Sicherung aus demselben Grund verloren geht, aus dem die Gefährdung der Kennwort-Hashes vom Live-System verringert wird. Wenn Sie eine 6 Monate alte Sicherung verlieren, die vertraulichen Informationen verschlüsseln und alle Kennwörter seit der Sicherung abgelaufen sind, haben Sie wahrscheinlich nur die Liste der Benutzerkonten verloren.

Aber für mich war das beste Antwort und das, für das ich gestimmt habe von Hendrik Brummermann ♦:

Bevor Sie antworten, ob es hilft oder nicht, ist es sinnvoll, bestimmte Szenarien zu betrachten. (Das ist oft eine gute Idee, wenn es um Sicherheitsmessungen geht)

In welchen Situationen mindert eine erzwungene Kennwortänderung die Auswirkungen?

Der Angreifer kennt das Passwort eines Benutzers, hat aber keine Hintertür. Er möchte nicht entdeckt werden und ändert das Passwort nicht selbst.

Mal sehen, ob dieses Szenario wahrscheinlich ist:

Wie könnte er das Passwort erfahren haben?

  • Das Opfer könnte es ihm gesagt haben (z. B. ein neuer Praktikant, der anfangen sollte zu arbeiten, bevor er sein eigenes Konto eingerichtet hat, eine andere Person, die ein Konto in einem Online-Spiel einrichten sollte
  • Der Angreifer hat möglicherweise das Schlüsselwort beobachtet
  • Der Angreifer hatte möglicherweise Zugriff auf eine andere Kennwortdatenbank, in der der Benutzer dasselbe Kennwort verwendet hat
  • Eine einmalige Anmeldung mit einem Computer, der einem Angreifer gehört (vorbereitet).

Was könnte ihn daran gehindert haben, eine Hintertür einzurichten?

  • Der betreffende Dienst bietet möglicherweise keine Möglichkeit für Hintertüren, z. B. einen E-Mail-Posteingang oder allgemeine Webanwendungen
  • Die Berechtigungen des Benutzers verfügen möglicherweise nicht über ausreichende Berechtigungen zum Installieren einer Hintertür
  • Der Angreifer könnte das erforderliche Wissen vermissen (im Online-Spiel Stendhal werden die meisten "Hacks" von wütenden Geschwistern ausgeführt, die nur ein Spielzeug zerstören wollen).
  • Der Angreifer ist vielleicht noch nicht böse geworden. (z. B. ein Mitarbeiter, der nächsten Monat entlassen wird, aber im Moment nichts vermutet).

Warum nicht das erzwungene Ablaufen des Passworts verwenden?

Es kann für Benutzer sehr ärgerlich sein, wenn sie am Ende nur einen Zähler hinzufügen. Dies kann die Entropie von Passwörtern verringern. Nach meiner Erfahrung entstehen zusätzliche Supportkosten, da die Benutzer ihr neues Passwort häufiger als gewöhnlich vergessen. Ich denke, das liegt an der Änderung des Passworts. Die Eingabeaufforderung überrascht sie, während sie über etwas anderes nachdenken.

Schlussfolgern

Es ist alles andere als ein Allheilmittel und wirkt sich negativ auf die Benutzerfreundlichkeit aus. Es ist jedoch sinnvoll, dies gegen die Wahrscheinlichkeit und die Auswirkungen von Szenarien abzuwägen, die den oben beschriebenen ähnlich sind.

2
Code Maverick

Ich bin kein Sicherheitsexperte, aber ich stimme den meisten Antworten zu, die besagen, dass Sie Benutzer nicht zwingen sollten, ihre Passwörter regelmäßig zu ändern.

Wie oben erwähnt, ist alles, was es tut, es für den Benutzer schwieriger zu machen. Dies gilt insbesondere dann, wenn sehr strenge Kennwortanforderungen bestehen. Passwörter sind keine wirksame Sicherheit gegen viele Arten von Angriffen. Sie werden den gelegentlichen Eindringling im Allgemeinen abschrecken, aber ein hochqualifizierter und entschlossener Hacker könnte nahezu jede Form von Sicherheit verletzen.

Es gibt eine Reihe von Websites wie Facebook, die die IP-Adresse protokollieren, mit der sich ihre Benutzer anmelden, und eine E-Mail an den Kontoinhaber senden, wenn ein unbekanntes Gerät darauf zugegriffen hat. Dies gibt zumindest eine Chance, den Betrug oder versuchten Betrug früher als später zu fangen. Außerdem sollten Kontoänderungen auch eine Warnung senden, z. B. Kennwortänderungen usw.

Was Brute-Force-Hacking betrifft, könnte eine Kennwortsperrrichtlinie effektiv sein. Wenn jemand mehr als x Mal versucht, ein ungültiges Kennwort für einen bestimmten Benutzer einzugeben, sollte das Konto gesperrt werden. Diese Nummer sollte von einem Sicherheitsexperten ermittelt werden. Wie Mark bemerkte, könnte ein automatisches Zurücksetzen des Passworts mithilfe von Social Engineering ausgenutzt werden. Dies würde jedoch auch erfordern, dass der Angreifer Zugriff auf das E-Mail-Konto hat, um das Rücksetzkennwort abzufangen.

1

Ja, in einer perfekten Welt sollten Passwörter ablaufen und Benutzer sollten neue erfinden und auswendig lernen.

Warum?

Nur aus Sicherheitsgründen. Durch das Ablaufen wird sichergestellt, dass sich das Kennwort regelmäßig ändert. Dadurch wird verhindert, dass jemand gehackte/durchgesickerte/gestohlene Kontoanmeldeinformationen verwendet. Es ist gut für die Überprüfung und Authentifizierung der Benutzeridentität (niedrige Ebene, nicht in Echtzeit).

Das Ablaufen des Passworts sollte nicht als automatische Sicherheitsmaßnahme in Echtzeit angesehen werden, da es genau dem Ablaufdatum der Kreditkarte entspricht. Beides hindert einen nicht autorisierten Benutzer nicht daran, sie zu verwenden, während das Ablaufdatum in der Zukunft liegt. Wenn Ihre Kreditkarte gestohlen wird/verloren geht, sollten Sie Ihre Bank anrufen, um die Karte zu schließen. Gleiches sollte für Ihr Passwort gelten. Wenn der Verdacht besteht, dass es gestohlen wurde oder verloren geht, sollten Sie es ändern.

  • Wenn jemand Ihre abgelaufene Kreditkarte findet, ist sie nutzlos.

  • Wenn jemand Ihr Passwort findet, hoffen Sie besser, dass es abgelaufen ist -> nutzlos.

Als Sicherheitsmaßnahme in Echtzeit sollten Sie bei Bedarf andere Arten der Überprüfung/Autorisierung der Benutzeridentität mit dem Kennwort verwenden.

Ein Blog oder ein SOME-Konto benötigt wahrscheinlich nicht zu viel Autorisierung. Zum Beispiel kann ich mich bei meiner Bank mit meinen Anmeldeinformationen anmelden, ohne jemals ein Passwort ändern zu müssen. Um jedoch Details zu meinen Konten oder zum Überweisungsgeld anzuzeigen, muss ich meine Identität bei jeder Überweisung mit einer physischen Liste von Schlüsseln überprüfen. Es ist nicht die beste Benutzererfahrung, aber es ist eine sichere Erfahrung, solange die Liste der Schlüssel in meinem Safe gesperrt bleibt. ;-);

Die zu entscheidende Sache ist die Häufigkeit. In der Finanzbranche ist es wichtiger, eine kurze Zeit zum Zurücksetzen Ihres Passworts zu haben, als bei etwas, das keine finanziell oder persönlich kritischen Daten enthält, vielleicht nicht so oft.

Aber andererseits habe ich im wirklichen Leben gesehen, dass Benutzer bei zu engen Kennwortablaufhäufigkeiten frustriert wurden, was normalerweise zu einer noch schlechteren Sicherheit (physisch) führt, da Benutzer ihr schwer zu merkendes Kennwort auf einem POST IT-Aufkleber unter der Tastatur ...

0
Samuel M