Was ist die Passwortrotation und wie geht das richtig?

Wir haben darüber gesprochen, wie schwierig es ist, eine gute Kennwortrichtlinie zu erstellen. Ein Teil des Problems liegt in der Tatsache, dass dies keine Set-and-Forget-Aufgabe ist. Unternehmen müssen sich kontinuierlich an die Veränderungen in der Online-Bedrohungslandschaft anpassen, und ihre Kennwortrichtlinien sollten entsprechend den neuesten Trends und Änderungen geändert werden. Passiert das in der Realität?

Nun, im Jahr 2016 riet das National Institute of Standards and Technology (NIST), eine Nichtregulierungsbehörde, die Teil der US-Regierung ist, Unternehmen, ihre Mitarbeiter nicht alle paar Monate zu zwingen, ihre Passwörter zu ändern. Dies war genau das Gegenteil von dem, was Unternehmen zuvor empfohlen worden waren, aber NIST sagte, dass es zahlreiche Beweise dafür gibt, dass die obligatorische Kennwortänderung die Online-Sicherheit der Menschen nachteilig beeinflusst. Viele Experten begrüßten das Gutachten von NIST und unterstützen es weiterhin. Trotzdem zwingen einige Organisationen ihre Mitarbeiter auch jetzt, fast vier Jahre später, ihre Passwörter regelmäßig zu ändern.

Häufige Kennwortänderungen führen zu einer Kennwortrotation

Das Hauptproblem, wenn Personen gezwungen werden, ihre Passwörter häufig zu ändern, besteht darin, dass die Belastung, die Sie ihnen auferlegen, zu Fehlern führt, die schwerwiegende Folgen für ihre Online-Sicherheit haben können. Sie alle wissen, wie schwierig es ist, ein sicheres Passwort zu erstellen, und Sie können sich nur vorstellen, wie schwierig es sein könnte, wenn Sie es regelmäßig tun müssen.

Aufgrund dieser Belastung entscheiden sich Personen, die ihre Kennwörter ändern müssen, häufig dafür, sich die Mühe zu ersparen und einfache Änderungen an ihren vorhandenen Kennwörtern vorzunehmen (z. B. "Kennwort1" gegen "Kennwort2" auszutauschen). Eine andere Strategie, die Menschen gewählt haben, besteht darin, eine begrenzte Liste von drei oder vier Passwörtern zu erstellen, die sie regelmäßig wechseln.

Sicherheitsexperten können mehrere Gründe auflisten, warum die Kennwortrotation eine schlechte Idee ist. Der Benutzer versucht normalerweise, sich die drei oder vier Passwörter zu merken, weshalb die Anmeldeinformationen nicht sehr stark sind. Ein weiteres Problem ergibt sich aus der Tatsache, dass die Passwörter von Zeit zu Zeit gültig werden. Wenn ein Hacker eines der von Ihnen gedrehten Passwörter hat, kann er es theoretisch regelmäßig mit Ihrem Konto testen. Schließlich wird das richtige Timing erreicht und es wird erfolgreich eingebrochen.

Der allgemeine Fall gegen regelmäßige Kennwortänderungen beruht auf der Tatsache, dass Cyberkriminelle nicht darauf warten, dass Sie Ihr Kennwort ändern, bevor sie versuchen, Ihr Konto zu gefährden, sondern dass sich die Anmeldeinformationen in einem Szenario mit Kennwortrotation wiederholen Diese Strategie ist besonders anfällig. Leider sind, wie bereits erwähnt, die anderen Optionen manchmal begrenzt.

Was können Sie tun, wenn die Kennwortrotation die einzige Option ist?

Einige Organisationen erzwingen immer noch regelmäßige Kennwortänderungen, was bedeutet, dass die Kennwortrotation sehr lebendig und aufregend ist. Schlimmer noch, es gibt Unternehmen, die die Verwendung eines Passwort-Managers nicht zulassen, wodurch die Notwendigkeit, Passwörter vollständig zu drehen, entfällt.

Wenn Sie kaum eine andere Wahl haben, als eine Liste von Passwörtern zu drehen, können Sie zumindest versuchen, die Risiken so weit wie möglich zu minimieren. Verwenden Sie eine Vielzahl von Zeichen und machen Sie die Passwörter so zufällig wie möglich. Durch das Erstellen einer größeren Anzahl von Kennwörtern wird die Wahrscheinlichkeit eines erfolgreichen Kompromisses weiter eingeschränkt. Sie müssen jedoch sicherstellen, dass sie sich erheblich voneinander unterscheiden. Wenden Sie sich zu guter Letzt an die Person, die für die Erstellung der Kennwortrichtlinie in Ihrem Unternehmen verantwortlich ist, und teilen Sie ihnen mit, dass ihre Vorstellungen von einem sicheren Framework völlig veraltet sind.