Immer noch? Da den Leuten bei so kurzen Laufzeiten wie 3 Monaten die Ideen ausgehen, werden die Passwörter immer einfacher. Deshalb geht der Trend zu längeren Laufzeiten bei komplexeren Passwörtern.
Wenn es nicht um einen bestimmten Account geht, werden auch gern die Usernamen mit einfachem Passwort gesucht. Das geht schneller und wird seltener unterbunden (3x falsches Passwort wird gesperrt, aber 1000 verschiedene User mit je 2 Fehleingaben nicht, erst recht nicht, wenn es von "verschiedenen" Anschlüssen aus erfolgt).
Das ist richtig. Auch ein Wechsel angenommen von ca. alle 100 Tage ist aus meiner Sicht ein regelmäßiger Passwortwechsel. Die Komplexitäts- anforderungen (Groß- und Kleinschreibung, Zahlen und Sonderzeichen) und die Länge des Passwortes spielen eine wichtige Rolle. Es ist nicht unüblich eine Paswortlänge von mind. 10 bis 16 Zeichen zu wählen. Für die einen sind die Wechselzeiträume zu kurz für die anderen schon wieder die Passwortlänge zu lang.
Aber jeder kann auf der Homepage des BSI / Bürger-CERT sich diesbezüglich dort einlesen.
Die ganze Materie unterliegt auch ständig dem Wandel der Zeit, welche Maßnahmen gerade sicherer sind.
In den letzten 20 Jahren hat es schon einige Philosophiewechsel gegeben.
Ja und der 2. Absatz von dir ist auch richtig. Beispiel gefällig: Es werden durch Bots (z.b. aus Rumänien) die externen Zugangsdaten bei Fritzboxen mit Brute-Force-Angriffen erkundet, so wie du schon geschrieben hast. Dort erkennt man das die Angriffe Scriptbasiert sind. Man weiß auch wie lange bei einer FritzBox die Sperrzeiten sind, ab wann man weiter machen kann "falsche Passwörter" einzugeben. Die Wartezeit wird in den Scripten ausdrücklich berücksichtigt. Habe ich in den Logfiles solcher Fritzboxen selbst lesen können. Logisch, das die Logfiles übereinander gelegt identisch aussahen, weil ja das selbe Script ablief. Hier brauchte es noch nicht einmal verschiedene Anschlüsse für die Angriffe, sondern nur Geduld.
Der BSI hat sich 2020 gegen den regelmäßigen Passwortwechsel ausgesprochen. Weil die Passwörter dadurch zu schwächeren tendieren. Starke und komplexere können über Jahre hinweg genutzt werden.
Glaubt oder weiß man, dass das Passwort in falsche Hände gekommen ist, ist es durch ein neues zu ersetzen.
Ja, kenne ich auch. ich habe vorhin schon geschrieben, dass es diesbezüglich in den letzten 20 Jahren schon einige Philosophiewechsel gegeben hat. Ich pachte nicht für mich den Grundsatz im Besitz der ultimativen Wahrheit zu sein. Aber mit Blick auf die erfolgten Philosophiewechsel in der Vergangenheit - es gab ja stets diverse Anlässe dazu - ist ein Mix aus allen Maßnahmen nie verkehrt. Das sind alles nur Empfehlungen, Jeder muss wissen wie er damit umgeht. Meine Anmerkungen haben das Ziel hier für eine gewisse Grundsensibilität zu sorgen, weil erfahrungsgemäß das Thema "sichere Passwörter" unter dem Radar der bisherigen Aufmerksamkeit schwebt. Eine Diskussion hierüber, jenseits der üblichen Fachmedien, kann nie verkehrt sein.
