Einer der häufigsten Ratschläge zur Kontosicherheit lautet, dass Benutzer ihre Passwörter regelmäßig ändern sollten. Der Grund für diesen Ansatz besteht darin, die Gültigkeitsdauer eines Passworts zu minimieren, falls es jemals kompromittiert wird. Diese gesamte Strategie basiert auf historischen Ratschlägen von führenden Cybersicherheitsgruppen wie dem amerikanischen NIST oder dem National Institute of Standards and Technology.
Jahrzehntelang folgten Regierungen und Unternehmen diesem Rat und zwangen ihre Benutzer dazu, ihre Passwörter regelmäßig zurückzusetzen, normalerweise alle 90 Tage. Im Laufe der Zeit zeigten jedoch Untersuchungen, dass dieser Ansatz nicht wie beabsichtigt funktionierte, und im Jahr 2017 änderten NIST zusammen mit dem britischen NCSC oder National Cyber Security Centre ihre Empfehlung, Passwortänderungen nur dann zu verlangen, wenn ein begründeter Verdacht auf eine Kompromittierung besteht.
Die Empfehlung, Passwörter regelmäßig zu ändern, wurde ursprünglich implementiert, um die Sicherheit zu erhöhen. Rein logisch ist der Ratschlag, Passwörter regelmäßig zu aktualisieren, sinnvoll. Die reale Erfahrung ist jedoch etwas anders. Untersuchungen haben gezeigt, dass die Wahrscheinlichkeit, dass Benutzer ein ähnliches Passwort verwenden, das sie einfach erhöhen können, erheblich wahrscheinlicher ist, wenn Benutzer gezwungen werden, ihre Passwörter regelmäßig zu ändern. Anstatt Passwörter wie „9L=Xk&2>“ auszuwählen, würden Benutzer beispielsweise Passwörter wie „Frühling2019!“ verwenden.
Es stellt sich heraus, dass die Leute, wenn sie gezwungen sind, sich mehrere Passwörter ausdenken und diese zu merken und sie dann regelmäßig zu ändern, ständig leicht zu merkende Passwörter verwenden, die unsicherer sind. Das Problem mit inkrementellen Passwörtern wie „Spring2019!“ ist, dass sie leicht zu erraten sind und es dann auch leicht macht, zukünftige Veränderungen vorherzusagen. Zusammengenommen bedeutet dies, dass das Erzwingen von Passwort-Resets die Benutzer dazu zwingt, sich leichter zu merkende und daher schwächere Passwörter zu wählen, die in der Regel den beabsichtigten Nutzen der Reduzierung zukünftiger Risiken aktiv untergraben.
Im schlimmsten Fall könnte ein Hacker beispielsweise das Passwort „Frühling2019!“ kompromittieren. innerhalb weniger Monate nach Gültigkeit. An dieser Stelle können sie Varianten mit „Fall“ anstelle von „Spring“ ausprobieren und erhalten wahrscheinlich Zugang. Wenn das Unternehmen diese Sicherheitsverletzung erkennt und die Benutzer dann zwingt, ihre Passwörter zu ändern, ist es ziemlich wahrscheinlich, dass der betroffene Benutzer einfach sein Passwort in „Winter2019!“ ändert. und denken, dass sie sicher sind. Der Hacker, der das Muster kennt, kann dies durchaus versuchen, wenn er wieder Zugriff erhält. Je nachdem, wie lange ein Benutzer an diesem Muster festhält, könnte ein Angreifer dies für den Zugriff über mehrere Jahre hinweg nutzen, während sich der Benutzer sicher fühlt, weil er regelmäßig sein Passwort ändert.
Um Benutzer zu ermutigen, formelhafte Passwörter zu vermeiden, wird jetzt empfohlen, Passwörter nur dann zurückzusetzen, wenn ein begründeter Verdacht besteht, dass sie kompromittiert wurden. Da Benutzer nicht gezwungen werden, sich regelmäßig ein neues Passwort zu merken, wählen sie eher ein sicheres Passwort.
Damit verbunden sind eine Reihe weiterer Empfehlungen, die darauf abzielen, die Erstellung stärkerer Passwörter zu fördern. Dazu gehört, sicherzustellen, dass alle Passwörter mindestens acht Zeichen lang sind und dass die maximale Zeichenanzahl mindestens 64 Zeichen beträgt. Es wurde auch empfohlen, dass Unternehmen beginnen, sich von Komplexitätsregeln zu bewegen und Blocklisten zu verwenden, die Wörterbücher mit schwachen Passwörtern wie „ChangeMe!“ verwenden. und „Password1“, die viele Komplexitätsanforderungen erfüllen.
Die Cybersecurity-Community ist sich fast einstimmig einig, dass Passwörter nicht automatisch ablaufen sollten.
Hinweis: In einigen Szenarien kann dies leider immer noch erforderlich sein, da einige Regierungen die Gesetze, die das Ablaufen von Passwörtern für sensible oder klassifizierte Systeme vorschreiben, noch ändern müssen.
Wenn nicht angeheftete Apps und Programme immer wieder in der Taskleiste erscheinen, können Sie die Layout-XML-Datei bearbeiten und die benutzerdefinierten Zeilen entfernen.
Entfernen Sie gespeicherte Informationen aus Firefox Autofill, indem Sie diese schnellen und einfachen Schritte für Windows- und Android-Geräte befolgen.
In diesem Tutorial zeigen wir Ihnen, wie Sie einen weichen oder harten Reset auf dem Apple iPod Shuffle durchführen können.
Es gibt so viele großartige Apps im Google Play, dass man einfach abonnieren muss. Nach einer Weile wird diese Liste länger und Sie müssen Ihre Google Play-Abonnements verwalten.
Das Suchen nach der richtigen Karte in Ihrer Tasche oder Geldbörse kann lästig sein. In den letzten Jahren haben verschiedene Unternehmen kontaktlose Zahlungsoptionen entwickelt und eingeführt.
Wenn Sie den Downloadverlauf von Android löschen, helfen Sie dabei, mehr Speicherplatz zu schaffen, unter anderem. Hier sind die Schritte, die Sie befolgen sollten.
Wir haben etwas Zeit mit dem Galaxy Tab S9 Ultra verbracht, und es ist das perfekte Tablet, um es mit Ihrem Windows-PC oder dem Galaxy S23 zu kombinieren.
Stummschalten von Gruppennachrichten in Android 11, um die Benachrichtigungen für die Nachrichten-App, WhatsApp und Telegram unter Kontrolle zu halten.
Löschen Sie den URL-Verlauf der Adressleiste in Firefox und behalten Sie Ihre Sitzungen privat, indem Sie diese schnellen und einfachen Schritte befolgen.
Um einen Betrüger auf Facebook zu melden, klicken Sie auf Weitere Optionen und wählen Sie Hilfe suchen oder Profil melden. Füllen Sie dann das Meldeformular aus.
