Die Zeit ist abgelaufen: Warum Sie Ihre Richtlinie zum Ablauf von Passwörtern ändern sollten

Best Practices fordern seit langem Richtlinien, die ein regelmäßiges Ablaufen von Kennwörtern erzwingen. Ich persönlich stand dem erzwungenen Ablaufprozess von Kennwörtern immer skeptisch gegenüber, aber die Praxis ist so tief in der IT-Kultur verwurzelt, dass ich dieses Problem nie umgehen wollte, indem ich von der Verwendung dieser Richtlinien abraten würde. Irgendwie schien es unverantwortlich. Allerdings hat Microsoft kürzlich eigene Sicherheitsregeln für die beiden Betriebssysteme veröffentlicht Windows-10 1903 und Windows Server 1903. In diesem Handbuch rät Microsoft davon ab, Richtlinien zum Ablauf von Kennwörtern zu verwenden. Die Frage ist warum.

Zeitüberschreitung: Warum Sie Ihre Passwortablaufrichtlinie ändern sollten – %categories

Um die Gründe für diesen etwas unerwarteten Schritt zu verstehen, müssen Sie an die Anfänge der Informationstechnologie zurückdenken. Damals war es sehr schwierig, die Verwendung gestohlener Zugangsdaten aufzudecken. Und in diesem Fall wurden Richtlinien zum Ablauf von Kennwörtern implementiert, um sicherzustellen, dass das gestohlene Kennwort nur für eine begrenzte Zeit verwendet werden kann, wenn es jemandem gelingt, ein Kennwort zu stehlen.

Nach heutigen Maßstäben ist diese Vorgehensweise lächerlich. Wenn es jemandem gelingt, ein Passwort zu stehlen, kann er innerhalb von Minuten unermesslichen Schaden anrichten. Ist es wirklich klug, dieser Person ein kostenloses Urteil über den gehackten Account zu geben, bis das Passwort in ein paar Wochen abläuft? Natürlich nicht. Sicherheitslücken müssen in Echtzeit behoben werden.

Schwache Sicherheit, nicht stärken

Auf der anderen Seite des Problems kann das Erfordernis regelmäßiger Kennwortänderungen die Sicherheit des Unternehmens sogar schwächen. Ich kann nicht anders, als an eine Organisation zurückzudenken, mit der ich zu Beginn meiner IT-Karriere zusammengearbeitet habe. Wie jede andere Organisation, die mir einfällt, hat diese spezielle Firma regelmäßige Passwort-Resets angefordert. Sie haben es jedoch auf eine ganz andere Weise gemacht als alles, was ich anderswo gesehen habe. Anstatt den Benutzer zur Eingabe seines Kennworts aufzufordern, weist das System den Benutzern Kennwörter zu. Diese Passwörter bestehen aus zwei zufälligen Wörtern (normalerweise ein Name oder zwei Silben), die durch ein Leerzeichen voneinander getrennt sind. Ein Beispiel für ein vom System generiertes Passwort könnte "Kirchenhotel" sein.

Lesen Sie auch:  2 Möglichkeiten, selbstverschwindende Nachrichten auf WhatsApp zu senden

Eine Sache, die Sie an dieser Passwortvorlage bemerken werden, ist ihre Einfachheit. Obwohl das Passwort 12 Zeichen lang ist, besteht es aus zwei Wörtern, einer Silbe, die beide im Wörterbuch enthalten sind. Ich kann mich jedoch gut daran erinnern, dass Leute Schwierigkeiten haben, sich an ihre Passwörter zu erinnern. Einmal musste ich das Passwort zurücksetzen, weil ich mich nicht mehr an das neue Passwort erinnern konnte, das mir das System zugewiesen hatte.

Zeitüberschreitung: Warum Sie Ihre Passwortablaufrichtlinie ändern sollten – %categories

Vergleichen Sie nun das einfache Passwort, das ich gerade erklärt habe, mit dem, was viele Unternehmen heute benötigen. Es ist nicht ungewöhnlich, dass ein modernes Passwort 12 Zeichen lang ist, genau wie mein vor langer Zeit. Der Unterschied besteht jedoch darin, dass moderne Passwörter in der Regel völlig zufällige Kombinationen aus Groß- und Kleinbuchstaben, Zahlen und Symbolen sind. Wenn Benutzer Schwierigkeiten haben, sich ein Paar einfacher einsilbiger Wörter zu merken, müssen Sie sich nur vorstellen, wie schwierig es für den Benutzer ist, sich eine komplexe Folge zufälliger Zeichen zu merken, insbesondere wenn sich das Benutzerpasswort alle paar Wochen ändert.

Meiner Meinung nach ist an komplexen und zufälligen Passwörtern nichts auszusetzen. Passwörter sollten komplex genug sein, um zu verhindern, dass sie während eines Wörterbuchangriffs gehackt werden. Die Aufforderung zur Verwendung langer und komplexer Passwörter sowie die Anforderung häufiger Passwortänderungen ist jedoch nur eine Aufforderung, ein Problem zu lösen. Die meisten Benutzer werden Probleme haben, sich an das aktuelle Passwort zu erinnern, was entweder zu einem harten Passwort-Reset, schlechten Passwortgewohnheiten oder beidem führt. Wenn Sie ein konkretes Beispiel brauchen, suchen Sie nicht weiter als die Hawaii Emergency Management Agency, die scharf kritisiert wurde, nachdem einer ihrer Mitarbeiter vor einem Computer mit dem Passwort des Benutzers auf einem Klebezettel abgebildet wurde.

Lesen Sie auch:  Google Sheets Offline: Alles, was Sie wissen müssen

Das gewagteste Beispiel für rücksichtslose Passwortverwendung, das ich persönlich gesehen habe, war eine Situation, in der ein Benutzer einen Windows-3D-Text-Bildschirmschoner verwendet, um sein Passwort anzuzeigen. Sie können diese Dinge nicht konfigurieren.

In jedem Fall sind die Richtlinien zur Passwortänderung ein Relikt vergangener Tage und sollten bestimmen, wie Angreifer Zugang zu einem gehackten Konto erhalten. Heute sind kennwortbezogene Sicherheitsverletzungen jedoch viel einfacher zu erkennen als früher. Wenn das Unternehmen sicher ist, dass es die Kontoverletzung erkennen kann, gibt es für den Benutzer keinen Grund, sein Passwort zu ändern, es sei denn, sein Konto wurde kompromittiert.

Die Zukunft der Passwörter

Der Gedanke, dass Richtlinien zum Ablauf von Kennwörtern veraltet sind, wirft einen wichtigen Punkt auf. Viele Leute halten die Passwörter selbst für veraltet. Laut den Words-Artikeln von Wired aus dem Jahr 2012 gehen seine Wurzeln auf ein MIT-Projekt aus den 1960er Jahren zurück. Einige Quellen spekulieren, dass die Verwendung von Passwörtern älter sein könnte.

Zeitüberschreitung: Warum Sie Ihre Passwortablaufrichtlinie ändern sollten – %categories

Unabhängig davon, wann Passwörter tatsächlich erfunden wurden, kann man sagen, dass Passwörter seit mehr als einem halben Jahrhundert existieren. Nur wenige IT-Technologien haben eine solche Langlebigkeit erlebt, doch das Konzept eines Passworts ist seit über fünfzig Jahren relativ unverändert geblieben. Während einige sagen würden, dass Passwörter den Test der Zeit bestanden haben, würden andere (mich eingeschlossen) sagen, dass Passwörter ihre Nützlichkeit überlebt haben.

Das Hauptproblem bei Passwörtern besteht darin, dass sie leicht gehackt werden können. Wir haben wahrscheinlich alle Geschichten über einen gestohlenen Passwort gehört, der von einem Schultersurfer (der hinter jemandem steht, während er sein Passwort eingibt) gestohlen wurde. Das einfache Beobachten einer Person bei der Eingabe ihres Passworts wird jedoch immer ausgeklügelter. Erst gestern hat mir jemand von einem Exploit erzählt, bei dem böswillige Schauspieler mit Wärmebildkameras nach Wärmesignaturen auf Tasten suchen, um zu sehen, welche Tasten gedrückt wurden. Soweit mir bekannt ist, wird dieser Exploit hauptsächlich an Geldautomaten verwendet, um PINs herauszufinden, aber das gleiche grundlegende Konzept kann leicht auf Passwortdiebstahl angewendet werden.

Lesen Sie auch:  Die besten kostenlosen Steam-Spiele

In den letzten Jahren hat uns die Technologie bessere, sicherere und weniger komplizierte Alternativen zur Verwendung eines Passworts geboten. Ihr Microsoft Surface Book 2-Laptop ist beispielsweise so konfiguriert, dass eine Authentifizierung basierend auf der Gesichtserkennung durchgeführt wird. Der Login-Prozess funktioniert überraschend gut, und Sie müssen sich keine Passwörter merken. Das Beste daran ist, dass die Wahrscheinlichkeit, dass jemand ein Passwort stiehlt, gering ist, da es kein Passwort gibt. Zugegeben, das Surface Book 2 verwendet eine numerische PIN als Backup-Authentifizierungsmechanismus, aber die PIN wird nur benötigt, wenn die Gesichtserkennung fehlschlägt, und der Gesichtserkennungsmechanismus funktioniert gut genug, dass Authentifizierungsfehler sehr selten sind.

Änderung der Ablaufrichtlinie: Eine Warnung

Meiner Meinung nach ist dieser Schritt zur Abschaffung der Kennwortablaufrichtlinien längst überfällig. Die Anforderung regelmäßiger Passwortänderungen führt in der modernen Welt nicht zu guten Ergebnissen und kann die Sicherheit sogar schwächen. Bevor Sie Ihre Richtlinie zur Kennwortänderung vollständig aufgeben, sollten Sie bedenken, dass die Aufgabe dieser Richtlinien in regulierten Organisationen möglicherweise keine Option ist. Einige behördliche Anforderungen können spezifische Anforderungen bezüglich der Häufigkeit haben, mit der Kennwörter geändert werden müssen.

Sie können auch mögen
führen

So erhalten Sie Dab-Emojis auf Android

führen

So finden Sie die IP-Adresse einer Person auf Facebook

führen

So schalten Sie Discord-Benachrichtigungen stumm

führen

So deaktivieren Sie Sterne auf Facebook

führen

So teilen Sie eine Unternehmensseite auf Facebook

führen

So laden Sie eine Audiodatei auf Facebook hoch