Im Großen und Ganzen kann ich den Empfehlungen nur beipflichten. Ich setze in der Arbeit gefühlt 10 Tools ein, die alle andere Regeln für das Passwort und unterschiedliche Laufzeiten desselben haben.
Das Ganze läuft aber in einem geschützten Netzwerk, und wenn der Angreifer diese äußere Grenze überwunden hat, dann helfen viele Passwörter kein bisschen, denn man muss die Datenbanken mit meinen Rechten ja lesen können, sonst funktionieren die Tools nicht....
Hier helfen weder die Passwörter wirklich, noch die abgedrehten Regeln. Und um ehrlich zu sein muss ich mir die vielen Passwörter inzwischen aufschreiben. Und wo legt man das dann ab? In einem Ordner auf den ich Zugriff habe natürlich :-)
Wie im Artikel geschildert sind die Angriffe nicht mehr per Brute Force auf die Passwörter und falls es doch mal jemand versucht:
Jeder Programmierer kennt die Lösung hierfür: Der Passwortvalidierungs-Algorithmus braucht einfach eine Sekunde und er gibt Dir nur 10 Versuche. Schon war es das mit Brute Force . In den genannten Fällen war das Passwort entweder im Klartext oder mit einer schwachen Verschlüsselung gespeichert. Das ist aber gerade ein Argument gegen das häufige Ändern, denn hier wurde ja nicht der Login sondern das Backend-System angegriffen. Da hätte selbst monatliches Ändern nichts geholfen und auf die Idee täglich kann dann doch nur ein Admin kommen.