Tut es not sichere Passwörter regelmäßig zu ändern?

[Benzol]

Guten Morgen,

vorhin laß ich folgenden Artikel: Die meisten Deutschen ändern ihr E-Mail-Passwort nur selten | TarifeTarife Er beklagt, dass die Deutschen ihre Passwörter zu selten ändern würden. 50% der Deutschen würden das Pw ihres E-Mail Kontos seltener als 1x pro Jahr ändern wird mahnend berichtet.

Ich habe darüber nachgedacht und kann nicht nachvollziehen, weshalb man ein sicheres Passwort häufig ändern sollte? Für meinen E-Mail Account verwende ich ein Pw mit 15 Zeichen länge (Großbuchstaben, Kleinbuchstaben und 2 Sonderzeichen) das nicht erraten werden kann weil es nach außen hin eine sinnfreie Kombination darstellt wie M2sAqmcxY4!&öPl beispielsweise (nein ihr braucht es nicht probieren, das habe ich mir gerade ausgedacht ). Es ist ein Deutscher Anbieter und die Logindaten werden verschlüsselt übertragen (https).

Was für eine Möglichkeit bleibt Hackern an mein Pw zu kommen? Https ist verschlüsselt, ich habe mein Lesezeichen für meine eMails und klicke nicht auf Phishing E-Mails. Mir fällt nichts anderes ein als ein Keylogger. ABER: Wenn ich einen Keylogger habe, was bringt es mir dann mein Pw jede Woche zu ändern? Der Hacker hätte es dann sowieso gleich wieder wenn ich es ändere. Ich sehe daher keinen Sinn wieso man sein Pw oft ändern soll. Es tut nicht not und macht Arbeit.

Hat tarifetarife.de zu viel gekokst oder habe ich was wichtiges außer acht gelassen?

[patlux]

Man soll es auch nicht übertreiben und jede Woche das Passwort ändern, sondern in regelmäßigen Abständen. Wer es schafft, einen Keylogger selbst nach einem Jahr noch auf dem Rechner zu haben, verdient sowieso nichts anderes als bestraft zu werden.

HTTPS ist nicht 100% sicher.
Woher weißt du dass du nie auf Phising reinfällst? Das kann jederzeit passieren. Dass ist ja gerade das Gefährliche an Phising.

Deswegen ist eine zweite Authentifizierung am Sichersten. Bspw. mit Google Authenticator.

[qmiq]

Du sollst auch nicht überall das selbe Passwort nutzen, denn das Problem könnte ein ganz anderes sein. Durch Hackerangriffe auf Webseiten oder Unternehmen kommen Hacker ggf. an Passwortlisten ran.

Beispiel: du hast das gleiche PW bei deinem E-Mail Dienst und bei nem online Games. Das Game wurde nun angegriffen und das PW ist bekannt, ggf. sogar direkt mit der zugehörigen E-Mail und schon bringt es dir nichts mehr, dass es besonders sicher ist.

Anderer Grund, PW wird im Browser gespeichert, du lädst dir nen Trojaner der das abgreift und selbes Problem.

Deswegen überall ein anderes PW nutzen und/oder das PW regelmäßig ändern.

Ich hatte selber über 10 Jahre das gleiche PW für fast alle Dienste und man hätte es vermutlich auch leicht erraten können. Dann hab ich einfach umgestellt und überall verschiedene PW gesetzt und mir auch vorgenommen die bei Gelegenheit zu ändern.

Ich würde mich freuen, wenn man beim Account erstellen selber wählen könnte, wie oft ein PW geändert werden muss und wenn alle Seiten mal ein einheitlichen PW Standard hätten. Bei einigen Anbietern MUSS ich ein Großbuchstaben und eine Zahl haben, dafür sind manche Sonderzeichen nicht erlaubt usw. (z.B. Zeichenzahl, keine aufeinanderfolgenden Ziffern)

[Sky.NET]

In Kombination mit 2-Factor-Auth sorgt das was ich hier geschrieben habe dafür, dass über diesen Kanal keiner mehr an deine Accounts heran kommt.

Man muss seine Passwörter ja nicht mal kennen (bis auf eines).
Für den absoluten Notfall kann man sich diese dann auch Ausdrucken und wegschließen.
Ich bezweifle aber dass sowas jemals benötigt wird, nach einem Atomkrieg ist mir mein E-Mail Passwort reichlich egal xD

Bis dahin macht es eher Sinn, ein ausreichend langes Masterpasswort zu nehmen (40-60 Zeichen) und die Kdb ausreichend gut zu sichern (Mehrfachbackups vom aktuellen Stand), was man eh schon automatisch macht, wenn man KeePass auch aufm Smartphone nutzt.
Auch macht die Authentifizierung mittels Zertifikaten oft mehr Sinn als ein Passwort zu benutzen, leider ist diese Möglichkeit ja nur selten gegeben.
Im Grunde wäre eine 4-Faktor Auth mit biometrischem Anteil das sinnvollste.

Das kann z.B. sein:
1x Auth durch Username + Passwort
1x Auth durch Code auf Mobiltelefon
1x Auth durch Zertifikat (läuft automatisch im Hintergrund ab)
1x Auth durch Herzschlagsignatur/Irisscan/Fingerabdruck (mit Vorsicht zu genießen)

Damit könnte kein Hacker mehr auf Userseite irgendwas bewirken, wenn er nicht erst nach der Authentifizierung einsteigt, was bei hochverschlüsselten (TLS mit AES, nicht RSA!!!) Verbindungen eher unwahrscheinlich ist.
Würden auf Diensteseite ebenfalls diese Maßnahmen ergriffen, so wäre die Möglichkeit, einen Dienst zu kompromittieren, nur noch auf Software oder Hardware-Ebene möglich, das ist die Krux an der IT, das sicherste Auth-Verfahren nützt dir am Ende nichts, wenn der Hacker den Provider gefickt hat, sei es nun durch eine Lücke in dessen Software oder weil er physikalisch mitten in seinem Netz hängt.
Damit ergibt sich am Ende wieder meine Grundaussage: "Absolute Sicherheit in der IT ist ein Trugschluss und wird es niemals geben."

[Benzol]

Man soll es auch nicht übertreiben und jede Woche das Passwort ändern, sondern in regelmäßigen Abständen.

Und warum? Keiner eurer Beiträge hat leider meine eigentliche Frage beantwortet ob das überhaupt Sinn macht und wenn ja wieso, ich sehe nämlich keinen Grund wieso ein 2 Jahre altes Passwort unsicherer sein soll als eines von gestern nur weil es schon 2 Jahre alt ist.
Ein 2 Jahre altes Türschloss ist doch auch nicht unsicherer als ein neues wenn mit dem Schlüssel sorgsam umgegangen wird und kein unbefuter einen besitzt.

HTTPS ist nicht 100% sicher.

Was meinst du damit? Mir ist klar dass nichts 100% sicher ist so lange nicht der ganze Programmiercode aller benutzten Systeme geprüft hat (selbst dann könnte man was übersehen haben :S)
Aber selbst banken setzen auf https, daher denke ich, dass ich als Normalo ziemlich gut damit geschützt bin.
Mein email Anbieter verwendet auch kein RC4.

Woher weißt du dass du nie auf Phising reinfällst? Das kann jederzeit passieren. Dass ist ja gerade das Gefährliche an Phising.

Ne wieso? Ist mir noch nie passiert und wird es auch nicht weil ich Acht gebe. Wie gesagt: Ich lade nur Sachen aus bekannten und seriösen Quellen runter wie chip.de (wobei ich die seit ihrem Schrott-Downloader mit Adware und sonstigen lustigen Überraschungen nicht mehr als so ganz seriös sehe), unseriöse emails lese ich gar nicht erst, geschweige denn würd ich nie auf die Idee kommen eine Telekom-Rechnung.pdf.exe zu öffnen.
Ich weiss auch dass meine Bank mir nie eine email schicken wird in der ich meinen Pin zu Prüfungszwecken eingeben soll.

[Sky.NET]

Keiner eurer Beiträge hat leider meine eigentliche Frage beantwortet ob das überhaupt Sinn macht

Im Grunde macht es schon Sinn jeden Tag oder alle 12 Stunden alle seine Passwörter auszutauschen.
Im Gegensatz zu den Medien, die behaupten 1x im Jahr wäre ausreichend, sehe ich hier das genaue Gegenteil.

Wieso? Deshalb:
Wenn man sein Passwort unabsichtlich einem böswilligen Dritten preisgibt, dann geschieht dies meist über automatisierte Wege, sprich: dein Pw/Username Krams landet in irgendeiner Datenbank.
Je nachdem, wie viele Daten da täglich oder stündlich rein kommen, wird dein Passwort also durchaus erst 1-30 Tage später überhaupt erst verwendet, um dir Schaden zuzufügen, denn da wird wohl kaum einer sitzen und die Logs in Echtzeit verfolgen und sofort alles auswerten.

Wenn du aber jetzt hingehst, und dein Passwort alle 12 Stunden änderst, kann Derjenige mit deinem vorigen Passwort nichts mehr anfangen.
Änderst du es 1x im Jahr, bist du so oder so gefickt, weil innerhalb von 365 Tagen GARANTIERT irgendwer den Krams überprüfen wird.

Es macht also schon Sinn, sein Passwort regelmäßig zu ändern.
Der Aufwand ist aber viel zu groß, bei der Vielfalt an Accounts, die wir heutzutage in der Regel haben.

Ob sich der Aufwand mit dem NUTZEN rechnet, muss jeder Mensch für sich selbst entscheiden.
Ich jedenfalls werde mir irgendwann einen Scheduled-PW-Changer für die wichtigsten Dienste coden, der vollautomatisch meine Passwörter ändert (die ich ja eh nicht kenne), und zwar alle 6-12 Stunden, ohne dass ich auch nur 1 Finger krumm machen muss.

Ich nutze halt die Technik in einem sinnvollen Rahmen, das macht sonst keiner so, aber 'Alle' beschweren sich, wie unsicher 'alles' doch ist und werden 'gehackt', 'gephisht' usw....

[Benzol]

So wie ich dich verstanden habe gehst auch du aber von vorne herein davon aus dass das Pw gehackt wird. Dann macht es Sinn. Aber wieso sollte es bei entsprechender Vorsicht dazu kommen?
Meine Pws sind einzigartig, niemand kennt sie, sie stehen auf keinem Zettel, ich weiß denke ich das wichtigste um mich vor Gefahren schützen zu können. Updates werden automatisch installiert. Gefährliche Plugins wie Java hab ich gleich ganz aus.
Ich sehe keinen weg wie jemand meine Pw überhaupt bekommen sollte, und wenn das nicht der Fall ist macht häufiges Ändern ja keinen Sinn, das war meine Meinung und die hast du anscheinend auch.
Vielleicht ist jetzt verständlicher warum ich mit den Antworten bisher eher unzufrieden bin... ^^

[Sky.NET]

Haha, sweet wie naiv du an die Sache heran gehst...
Darf ich mal deine Kernaussage extrahieren und allgemeiner formulieren? Okay:

"Ich weiß nicht wie man mich hacken könnte, also können es ANDERE AUCH NICHT WISSEN!"

Merkst du was? So lange du kein IT-Sicherheitsexperte bist, der z.B. die IT-Security einer Multimilliarden-€ Bank schmeißt, sind solche Aussagen deinerseits nur noch als naiv zu bezeichnen (Jemand mit dieser Tätigkeit würde diese Aussagen gar nicht erst tätigen, metaphorisches paradoxon).

Es ist eine GRUNDREGEL in der IT-Sicherheit, dass man davon ausgeht dass JEDES System, ALLE Daten, JEDE Verschlüsselung und JEDES Protokoll umgangen, manipuliert, gebrochen, gestohlen und infiltriert werden können.
IMMER
EGAL welche Sicherheitsvorkehrungen man trifft!

Daraus resultiert ein weiterer Grundsatz, der lautet:
"Mache dein System so sicher, wie es dir nur möglich ist, um die Kosten für einen erfolgreichen Angriff so weit zu erhöhen, dass es für den anderen entweder wegen Mittellosigkeit oder Zeitmangel ein zu hoher Aufwand wird, dich zu schädigen."

Dazu gehört NICHT einfach Paradigma A anzuwenden, und dann zu sagen "Ach ich hab jetzt A gemacht, dann brauche ich B, C, D und E, ja nicht mehr, ich verstehe die Anderen eh nicht, brauch ich also nicht".
Genau diese Denkweise führt zu Sachen wie dem Sony-Hack, was uns auch zeigt, dass dies nicht nur ein Problem vom Otto-Normalbürger ist, sondern auch eines von teilweise riesigen Firmen.

Den ANFANG muss aber der Bürger machen, denn aus ihnen bestehen Firmen, und so lange die Mitarbeiter als privatbürger kein ausreichendes Sicherheitsbewusstsein haben, werden wir noch viele Firmen wegen so etwas kaputt gehen sehen in den nächsten Jahren, wegen genau dieser Einstellung die du in deinem Post dargelegt hast.

[patlux]

Ne wieso? Ist mir noch nie passiert und wird es auch nicht weil ich Acht gebe.

Merkst du nicht wie naiv dieser Gedanke ist? Jeder andere würde doch von sich aus dasselbe behaupten, wie du gerade. Phisihing ist, wie gesagt, deshaalb so gefährlich, weil man es nicht merkt, wenn es passiert. Woher weißt du also nun, dass es dir noch nie passiert ist? Weil es keinen Schaden gab? DannGlück gehabt oder der Dieb wartet einfach ab bis er damit Schaden anrichten kann, weil er irgendwann dein Passwort nutzen kann, um etwas zu stehlen, weil du nie dein Passwort geändert hast.

Ja, ich weiß. Du denkst nun, es ist völlig unwahrscheinlich, aber es könnte passieren und du weißt nichts davon. Bei einem Virus merkst du (hoffentlich) irgendwann, dass dein Passwort vermutlich gestohlen wurde und du musst es ändern. Bei Phishing? Keine Chance. Du merkst es erst wenn es zu spät ist. Deshalb - unter anderem - ändert man sein Passwort in regelmäßigen Abständen.

[Backfire]

An sich kann ich deinen Argumenten nur zustimmen Benzol, du hast ein sicheres Passwort und gehst keine Risiken wie Java und so ein, daher glaubst du auch nicht gehackt zy werden, wenn es denn so einfach wäre ...
Wie alle meine Vorgänger schon gesagt haben, kann man Phishing-Emails ja fast nicht durchschauen ?!, da genau das ja der Sinn einer Phishing-Email ist, du weißt nicht dass es eine ist ...
Du widersprichst dir in dieser Hinsicht also selbst, wenn du sagst dass du sie nicht öffnest, du gehst also davon aus zu wissen wann es eine ist und wann nicht ...
Das mit Computer wird gehackt, es gibt so viele Seiten im Internet wie hoch ist die Wahrscheinlichkeit sich dort was einzufangen ?, auch wenn du Sicherheitsmaßnahmen wie Java ausschalten triffst, die helfen dir auch nicht weiter, wenn du dir Viren einfängst ...

Deswegen ist es schon logisch sein Passwort zu ändern, je öfter desto besser, jedoch will das natürlich keiner, also einfach in regelmäßigen Abständen.
Wenn du der Meinung bist, dass das Ganze Schwachsinn, musst du es ja nicht machen, aber sicherer, ist es einfach ohne hin, egal was du sagst, sonst müsste es ja keiner machen, wenn jeder Mensch auf der Erde mit deiner Naivität gesegnet wäre.