PikoOah, ich bin so genervt von der Passwort-Policy meiner Hochschule. Beim nächsten Mal nehm ich einfach admin2026, aber wahrscheinlich komm ich damit in deren Admin-Account. Hat eins von Euch eine renommierte Quelle zu "forecd password rotation considered harmful"? Ich würde den Admins gerne auf die Nerven gehen.
Ihr seid wunderbar! (Und außerdem meiner Meinung :3)
In den Antworten gab es das BSI und das NIST, und inzwischen habe ich noch was vom CCC gefunden:
https://www.ccc.de/de/updates/2025/andere-dein-passwort-zum-letzten-mal
Ich hoffe, das reicht denen. Jetzt muss ich nur noch die richtige Stelle finden...
"Ich möchte Sie nachdrücklich darum bitten..."
... oder fällt Euch noch etwas ein?
industry standards einzuhalten
Ihren Job ordentlich zu machen
keine völlig veralteten Sicherheitskonzepte zu erz
raaaaaaaaaaaAAAAAAAAAAAaaaaaaa
Poll ended at .
pascoda
neon_mate
Hm, so langsam passt mein Bild von denen dazu, dass die letztens einen Datenreichtum hatten.
Ich hab sogar "mit freundlichen Grüßen" geschrieben! So sehr hab ich meine Emotionen im Griff!
Orrrrr und jetzt kann ich meine strongly worded Email nicht absenden, weil das alte Passwort nicht mehr tut, aber das neue noch nicht...
NicApicella@piko (Ich fave durch weil ich gleichzeitig so lache aber auch den Schmerz tief, ganz tief in mir mitfühle…)
@piko (Oh, oh! Neulich tootete jemand zurecht empört über das wohl sogar ernstgemeinte Konzept „LLM-generated passwords“. Ich kam bisher nicht zum Recherchieren, ob das nicht vielleicht nur eine Trollerei war … aber „LLM-generated passwords“ ist SO … abstrus? … das es noch nachwirkt und ich mich damit mindestens mit Recherche & Toot auseinandersetzen werden muss.
WTF, muss man sich auf der Zunge zergehen lassen: „LLM-generated passwords“. Bitte bitte lass das nicht ernst gemeint gewesen sein?!?)
WTF, muss man sich auf der Zunge zergehen lassen: „LLM-generated passwords“. Bitte bitte lass das nicht ernst gemeint gewesen sein?!?)
guenther
Ysegrim
momo
blue witch@piko
...all of the above
...all of the above
Odradek
Kevin Karhan 
@piko ich würde denen ne kryptographisch sichere Passworterstellung darlegen…
Drehumdiebolzeningenieur@piko da wäre ich auch dran interessiert…
Nieselregen | HH⚓️
dwardoric@piko
Stop it with password expiration. That was an old idea for an old way we used computers. Today, don’t make people change their passwords unless there’s indication of compromise.
Bruce Schneier und auch NIST
Hannah
Elmar Iachi@uncanny_static @piko entweder das NIST, oder das BSI:
"Regelmäßige, anlassunabhängige Passwortwechsel führen erfahrungsgemäß dazu, dass zunehmend schwächere Passwörter genutzt werden. Sie sollten auch durch Dritte, etwa durch Arbeitgeberinnen und Arbeitgeber, nicht gefordert oder technisch erzwungen"
Passwortwechseln war gestern: Wie Verbraucherinnen und Verbraucher ihre Benutzerkonten absichern können
Regelmäßige Passwortwechsel führen erfahrungsgemäß dazu, dass zunehmend schwächere Passwörter genutzt werden. Das BSI empfiehlt, die Zwei-Faktor-Authentisierung zu aktivieren oder auf Passkeys umzusteigen.
Quincy ⁂@piko Hier verweist Bruce Schneier auf neue Richtlinien des NIST:
https://www.schneier.com/blog/archives/2017/10/changes_in_pass.html
BSI rät IIRC auch nicht mehr dazu
Changes in Password Best Practices - Schneier on Security
NIST recently published its four-volume SP800-63b Digital Identity Guidelines. Among other things, it makes three important suggestions when it comes to passwords: Stop it with the annoying password complexity rules. They make passwords harder to remember. They increase errors because artificially complex passwords are harder to type in. And they don’t help that much. It’s better to allow people to use pass phrases. Stop it with password expiration. That was an old idea for an old way we used computers. Today, don’t make people change their passwords unless there’s indication of compromise. ...
flo
Elisa@piko das BSI ist dagegen: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/250131_Passwortwechsel_next-level.html
Passwortwechseln war gestern: Wie Verbraucherinnen und Verbraucher ihre Benutzerkonten absichern können
Regelmäßige Passwortwechsel führen erfahrungsgemäß dazu, dass zunehmend schwächere Passwörter genutzt werden. Das BSI empfiehlt, die Zwei-Faktor-Authentisierung zu aktivieren oder auf Passkeys umzusteigen.
Phogl@piko
https://media.ccc.de/v/36c3-11175-hirne_hacken
Den Vortrag von Linus kann ich dazu auch nur absolut ans Herz legen
Godmin