hier muss ich jetzt mal etwas widersprechen
Persönliche Passwörter sollten eigentlich nur noch bei Verdacht auf Kompromittierung geändert werden. Regelmässiger Passwortwechsel kommt zwar immer noch in vielen Ratgebern drin vor, und wird im Bereich der Enterprise meisten eh erzwungen, die einschlägigen Standards wie NIST gehen neu aber klar in die andere Richtung. Dass das nun bei "normalen" Benutzern zu noch mehr Verwirrung als Klarheit führen wird, ist eine halt eine andere Sache. Wird immer mehr zur Philosophie-Frage.
Komplexität und vor allem Länge sind und bleiben aber wichtig. Sowie Einmaligkeit. Ich habe mir letztes Jahr mal auf die Schnelle in der Amazon-Cloud einen Cracking-Cluster mit GPU'S gebastelt. Resultat: 25 Milliarden Passwörter resp. Hashwerte pro Sekunde! Und ich habe dabei nicht mal die beste Konfiguration gewählt weil ich zu geizig war. Bin nicht mehr ganz sicher aber ich glaube der Betrieb kostete so gegen 50 $ für ca. 2-3 Tage. Trotzden ist man damit immer noch völlig chancenlos wenn die Passwörter vernünftig gewählt sind.
Der Kollege mit seinem Paypal Vorfall hat sicher mal einen guten Schritt vorwärts gemacht mit der Aktivierung von 2FA.
netzpolitik.org