Ich hab da ein Familienmitglied, das mir erst kürzlich erzählt hat, wie es sich neue Passwörter ausdenkt: "Ich hab da so ne Liste mit Passwörtern von anderen Sachen, die gehe ich einfach durch". Tja, als Informatiker macht mich das nicht gerade glücklich
Kartoffel0, Kartoffel1, Kartoffel2, Kartoffel3, Kartoffel4, Kartoffel5, Kartoffel6, Kartoffel7, Kartoffel8, Kartoffel9.
Wissen wahrscheinlich die meisten hier, aber Passwörter zu wechseln ist gar nicht so eine gute Idee, wie man meint:
zl;ng: Regelmäßig gewechselte Passwörter sind in der Regel schwach und folgen einer vorhersehbaren Transformation. Besser ist es, das Passwort nur zu wechseln, wenn man glaubt, dass es kompromittiert ist und auf jeden Fall einen zweiten Faktor zu verwenden.
Noch besser ist es, beides zu tun, also zufällig generiertes Passwort im Verwalter mit zweitem Faktor
Ist doch eigentlich logisch. Bitte für den PW Verwalter ein gutes Passwort wählen und eine Schlüsseldatei auf jedem Gerät.
Wobei hier wahrscheinlich auch die Frage ist, was man als Threatmodel annimmt.
Die meisten Angriffe passieren ja eher ungezielt, es setzt sich also niemand hin und überlegt, welcher Teil des PW geändert worden sein könnte. Selbst wenn, verzehnfacht das mal eben die Länge der normalen Passwort-Listen. Von daher ist es wahrscheinlich schon nicht komplett abstrus.
Und nach 90 Tagen ist das Passwort auf einmal unsicher oder wie? Versteh den Gedankengang nicht.
Edit: nicht gegen OP gerichtet. Falls das so angekommen sein sollte, sorry. Es geht um das seltsame 90-tägige Passwort-Ritual. :)
Kommt drauf an, wenn man erhöhte rechte hat und sich regelmäßig mit Menschen die ein Interesse an dem PW haben einlogt, könnte es unsicher sein. Beispiel IT beauftragter an Schule/Uni. Ansonsten ist das eine dumme Regel wie die meisten bisher bemerkt haben. Selbst in dem speziellen Kontext würde ich da keine regelmäßigen Änderungen erzwingen
Der Gedanke war mal, dass man es nicht mitbekommt wenn das Passwort entwendet wurde. Also soll es regelmäßig gewechselt werden, zum einen um etwaige Schäden einzudämmen, zum anderen um bisherige Versuche das PW zu erraten nutzlos zu machen.
In der Realität sieht es aber anders aus, wie Unmutlaut hier in den Kommentaren bereits erwähnte.