Passwörter regelmäßig ändern – Sinn oder Unsinn?
Es ist Bestandteil vieler IT-Richtlinien von Behörden oder Unternehmen, und sicher schwört auch der ein oder andere Privatnutzer auf diese Praktik: alle paar Monate das Passwort ändern.
Passwörter können schließlich von Menschen mit bösen Absichten gestohlen oder erraten werden. Anschließend vermag der Dieb viel Schabernack mit dem Zugang zu Mail-Postfächern, Social-Media-Accounts oder anderen Nutzerkonten zu treiben.
Aber: Das anlasslose Ändern von Passwörtern (z.B. monatlich oder quartalsweise) hat in der Tat Nachteile.
Warum hat häufiger Passwortwechsel wenig Nutzen?
Ändert man das Passwort für einen Account, ist das eigentlich nichts anderes als ein Misstrauensbeweis. Man nimmt an, dass das bisherige Passwort nicht (mehr) sicher oder gut genug ist. Natürlich sollten unsichere Passwörter, falls vorhanden, durch sichere ersetzt werden – und zwar sobald man sich des schwachen Passworts bewusst wird.
Einmal vergeben, wird ein starkes Passwort nicht mit der Zeit unsicherer. Schließlich tauscht man ja auch nicht alle paar Monate die Schlüssel oder Schlösser einer Wohnungstür aus.
Wählt eine Firma, Behörde o.ä. den aufwändigen Weg und verlangt eine regelmäßige Passwortänderung, hat das folgende Konsequenzen:
- Nutzer vergeben tendenziell simplere Passwörter. Sie hängen etwa ein oder mehrere Zeichen an das letzte Passwort (z.B. den aktuellen Monat) an. Viele können sich nichr an ständig wechselnde, komplett neue Passwörter erinnern.
- Das Passwort ist zwar konplex; als Gedächtnishilfe schreibt man es aber auf einen Zettel. Diesen bewahrt man an einem unsicheren Ort auf – ebenfalls keine sichere Lösung.
- Ein neu vergebenes Passwort vergisst man anfangs leicht. Die häufige Folge: Ein Nutzerkonto wird durch mehrmalig falsche Passworteingabe gesperrt. Das verzögert die eigene Arbeit und beschert der IT-Abteilung zusätzlichen Aufwand.
Diese Nebeneffekte wären halb so schlimm, wenn das häufige Passwortändern wenigstens Vorteile hätte. Dies ist allerdings nicht der Fall.
Kein Schutz gegen Passwortdiebstahl
Falls ein Passwort wirklich von Hackern, Spionen oder böswilligen Personen im Umfeld kompromittiert wurde, würden diese es vermutlich sofort einsetzen. Sie könnten sich Zugang zu geschützten Bereichen verschaffen, Daten stehlen oder dem eigentlichen Nutzer den Zugang zu versperren, indem sie das Passwort selbst ändern.
Anders sieht es natürlich aus, wenn eine Organisation Opfer eines Datendiebstahls oder Hacking-Angriffs wurde. Sofern sie dies an die Nutzer kommuniziert, ist höchste Eile geboten[1]https://de.wikipedia.org/wiki/Liste_von_Datendiebst%C3%A4hlen.
Mit einer umgehenden Änderung der betroffenen Passwörter kann man möglichen Schaden und Missbrauch verhindern.
Seit 2020 rät auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) von der Praktik ab, regelmäßig und ohne Anlass Passwörter zu ändern. Zusätzlich gibt das BSI Tipps für sichere Passwörter[2] … Weiterlesen[3]https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2022.pdf?__blob=publicationFile&v=3#download=1. Auch in den USA vertritt das National Institute of Standards and Technology (NIST) schon seit 2017 die gleiche Auffassung[4]https://pages.nist.gov/800-63-3/sp800-63b.html#memsecretver[5]https://www.dr-datenschutz.de/warum-das-passwort-nicht-mehr-staendig-geaendert-werden-muss/.
Besserwisser-Tips für sichere Passwörter
Wer ausreichend starke Passwörter verwendet, muss nicht befürchten, dass diese durch Erraten oder Ausprobieren geknackt werden. Wichtig ist, für verschiedene Accounts individuelle Passwörter vergeben.
Mehrere einzigartige und noch dazu sichere Passwörter im Gedächtnis zu behalten ist gar nicht so kompliziert. Hilfreich sind sogenannte Passphrasen:
- Eine Aneinanderreihung mehrerer Wörter/Ziffern/Sonderzeichen dient als Grundgerüst, z.B. auf-der-Kiste1Blume
- Je nach Konto (Mail, Facebook, privater PC…) baut man einen zusätzlichen Begriff ein: auf-der-Mail-Kiste1Blume, auf-der-FB-Kiste1Blume, auf-der-PC-Kiste1Blume usw.
- Optional: Variationen. Z. B. alle Vokale weglassen (f-dr-PC-Kst1PCBlm) oder durch ähnlich aussehende Ziffern ersetzen (auf-d3r-PC-K1ste1Blum3)
Solche Passphrasen kann man sich deutlich leichter merken als eine zufällige Zeichenkette. Und: J3-m3hr-Z31ch3n-d3st0-b3ss3r!
Eine alternative Gedächtnisstütze stellen Passwortmanager-Software[6]https://www.netzwelt.de/download/sicherheit/passwort/index.html oder Passwortkarten[7]https://www.datenschutz.org/passwortkarte/ (digital oder physisch) dar.
Man sollte Passwörter zudem niemals aufschreiben bzw. für Unbefugte zugänglich machen. Des Weiteren ist das Ändern eines Passworts nur dann sinnvoll, wenn man den konkreten Verdacht für einen Diebstahl oder Missbrauch hat (beispielsweise nach einem Datenleck).
Es bleibt zu hoffen, dass sich in Zukunft mehr Unternehmen, Behörden und Co. an den aktuellen Expertenempfehlungen orientieren. Da Passwörter oft die einzige Zugangshürde zu Informationen, Wirtschaftsgütern und digitalen Identitäten darstellen, ist der richtige Umgang mit ihnen heute wichtiger denn je.
Lesetipps
- So lange braucht ein Hacker, um dein Passwort zu knacken
- Passwörter Schritt-für-Schritt merken (BSI)
- Passwortideen: So erstellen Sie ein starkes Passwort (AVG /Avast)
- Unknackbar aber einfach zu merken! – Passwörter Einfach Erklärt (Youtube)
- Warum das Passwort nicht mehr ständig geändert werden muss (Dr. Datenschutz)
- Bundesamt hält regelmäßigen Passwortwechsel nicht mehr für notwendig (ZEIT ONLINE)
- Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht (heise online)
FAQ
Wenn man ein komplexes und sicheres Passwort festgelegt hat, gibt es keinen Grund, das Passwort zu ändern. Nur falls bekannt wird, dass sich Unbefugte Zugriff verschafft haben oder das Passwort in falsche Hände geraten ist, ist ein Passwortwechsel angebracht.
Ein sicheres Passwort sollte möglichst lang sein und eine zufällige Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Eine einfache Möglichkeit, besteht darin, ein Akronym für einen Satz zu erstellen und dann die Buchstaben durch Zahlen und Sonderzeichen zu ersetzen. Zum Beispiel kann der Satz „Ich liebe es, zwei Mal im Jahr mit der Familie ans Meer zu fahren in das Passwort „Ile,2MiJmdFaMzf“ umgewandelt werden.
Nein, es wird nicht empfohlen, dasselbe Passwort für jedes Konto zu verwenden. Wenn ein Konto kompromittiert wird, ist das Risiko höher, dass alle Ihre Konten betroffen sind. Verwenden Sie stattdessen für jedes Konto ein einzigartiges Passwort, um das Risiko eines erfolgreichen Angriffs zu minimieren.
Es ist empfehlenswert, ein Passwort-Manager-Programm zu verwenden. Dieses speichert mehrere Passwörter und hilft, sie zu verwalten und zu organisieren. Alternativ kann man sich auch ein Basis-Passwort überlegen, das man je nach Account oder Dienst leicht variiert, indem man z. B. für das Netflix-Passwort „_NF“ anhängt.
Verweise
| ⇡1 | https://de.wikipedia.org/wiki/Liste_von_Datendiebst%C3%A4hlen |
|---|---|
| ⇡2 | https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/Umgang-mit-Passwoertern/umgang-mit-passwoertern_node.html |
| ⇡3 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2022.pdf?__blob=publicationFile&v=3#download=1 |
| ⇡4 | https://pages.nist.gov/800-63-3/sp800-63b.html#memsecretver |
| ⇡5 | https://www.dr-datenschutz.de/warum-das-passwort-nicht-mehr-staendig-geaendert-werden-muss/ |
| ⇡6 | https://www.netzwelt.de/download/sicherheit/passwort/index.html |
| ⇡7 | https://www.datenschutz.org/passwortkarte/ |
