it-swarm.com.de

Wie oft sollte ich meine Passwörter ändern?

Ich verwende einen Passwort-Manager und habe alle meine Passwörter so optimiert, dass sie komplex, lang und eindeutig sind.

Ich frage mich, ob es Richtlinien gibt, ob ich meine Passwörter von Zeit zu Zeit noch ändern sollte und wenn ja, wie oft.

18
Gideon Blinick

In den neuen NIST-Richtlinien (US National Institute of Standards and Technology) gibt es jetzt einige überraschende Umkehrungen der Leitlinien in mehreren Bereichen der Passwortverwaltung. Demnach Artikel aus Sophos 'Naked Security-Blog wird die automatische oder regelmäßige Kennwortalterung von den neuen Richtlinien nicht mehr empfohlen. Vielmehr heißt es in dem Artikel:

Passwörter sollten nur dann zurückgesetzt werden, wenn sie vergessen wurden, wenn sie gefälscht wurden oder wenn Sie glauben (oder wissen), dass Ihre Passwortdatenbank gestohlen wurde und daher einem Offline-Brute-Force-Angriff ausgesetzt sein könnte.

Der einzige andere Grund, Kennwörter nach einem Zeitplan zu ändern, besteht darin, veraltete Richtlinien einzuhalten, die nicht geändert werden können, z. B. die PCI DSS - Anforderungen in Bezug auf Kennwörter:

8.2.4 Ändern Sie Benutzerkennwörter/Passphrasen mindestens alle 90 Tage.

Dies ist kein Sicherheitsproblem, sondern ein Compliance-Problem. Bei einer Verordnung, die im Wesentlichen Gesetzeskraft hat, muss die Einhaltung leider die Sicherheit übertreffen.

23
Mike McManus

NIST-Sonderpublikation 800-63b: Richtlinien für die digitale Authentifizierung

Verifizierer sollten NICHT verlangen, dass gespeicherte Geheimnisse willkürlich (z. B. periodisch) geändert werden. Verifizierer MÜSSEN jedoch eine Änderung erzwingen, wenn Anzeichen für einen Kompromiss des Authentifikators vorliegen.

NCSC offizielle Anleitung :

Die NCSC empfiehlt jetzt, dass Organisationen keinen regulären Kennwortablauf erzwingen. Wir glauben, dass dies die Schwachstellen verringert, die mit regelmäßig ablaufenden Passwörtern verbunden sind (siehe oben), während das Risiko einer langfristigen Ausnutzung von Passwörtern nur wenig erhöht wird.

Das Problem besteht nicht darin, Passwörter für lange Zeit aufzubewahren, sondern darin, welche Schwachstellen beim Erstellen neuer Passwörter auftreten. Wenn Sie also eine zufällige Methode zur Kennwortgenerierung verwenden, können Sie könnte von der regelmäßigen Aktualisierung von Kennwörtern profitieren.

Es gibt jedoch keine offiziellen Richtlinien, wie oft dies sein sollte, wenn Sie maximal komplexe Passwörter erstellen, da die Risiken einfach zu gering sind. Wenn Sie 2FA hinzufügen, sind die Risiken noch geringer.

Die Richtlinien, die Sie dann benötigen, basieren auf den von Ihnen identifizierten Risiken . Wenn Sie der Meinung sind, dass der Dienst, für den Sie sich authentifizieren, Kennwörter im Klartext speichert, häufig gehackt wird und für Sie wichtige Daten speichert, möchten Sie Ihre Kennwörter möglicherweise häufig ändern, unabhängig davon, was in den offiziellen Richtlinien angegeben ist.

5
schroeder