Vor etwas mehr als fünf Jahren habe ich im Blog von DeutschTweetor den Artikel veröffentlicht: „Regelmäßig Passwörter ändern … ist das wirklich sicherer?“ Da ich dort den Artikel bereits offline genommen habe, hier die leicht überarbeitete Version.
Ich nehme den Artikel „Bundesamt hält regelmäßigen Passwortwechsel nicht mehr für notwendig“ aus dem ZEIT-Magazin zum Anlass, meinen Artikel leicht zu überarbeiten und erneut zu veröffentlichen.
Das Titelbild übernehme ich vom alten Artikel, um an das Look & Feel von DeutschTweetor zu erinnern. Und natürlich auch, weil ich bequem bin und es für mich etwas weniger Aufwand bedeutet. Und nun der leicht überarbeitete Text, den ich im Januar 2015 veröffentlicht hatte.
Passwörter sind immer ein Thema. Regelmäßig lese ich Berichte, wie einfach man an die Passwörter der Leute kommen kann. Sehr viele machen es sich einfach und nehmen leicht zu erratende Begriffe oder Zahlenfolgen. Im Prinzip sollte aber langsam jeder Nutzer begriffen haben, dass ein Passwort auch heftigen Hacker-Attacken gewachsen sein muss.
Der Name einer Person, die einem nahesteht, oder der eines Haustieres, eventuell gekoppelt mit einer Jahreszahl, reicht als Passwort sicher nicht mehr aus. Außerdem sollte jeder Account im Web mit einem eigenen Passwort gesichert sein. Zu guter letzt wird immer wieder darauf hingewiesen, man solle seine Passwörter alle paar Monate ändern. Der zuletzt genannte Punkt ist mein heutiges Thema.
Zwang zur Änderung von Passwörtern
In vielen Firmen ist es inzwischen Pflicht oder besser gesagt ein per Programm gesteuerter Zwang, das Passwort alle zwei bis drei Monate zu erneuern. Dabei wird inzwischen oft sogar überprüft, ob sich auch genügend Zeichen verändert haben.
Durch die vielen unterschiedlichen Zugänge zu Programmen und Intranet-Seiten allein in einer Firma sehen sich viele Mitarbeiter bei der Vorstellung überfordert, sich alle Passwörter merken zu müssen. Daher gibt es inzwischen häufig Tools, mit denen die Passwörter verwaltet werden, und die sie automatisch einsetzen. Eine bequeme Sache, solange alles reibungsfrei läuft.
Mehr Sicherheit durch regelmäßige Änderungen der Passwörter?
Seit vielen Jahren ist es üblich, von den Anwendern regelmäßig eine Änderung der Passwörter zu verlangen beziehungsweise zu erzwingen. Jedesmal, wenn irgendwo Passwörter geklaut wurden, lese ich diese Empfehlung. Angeblich verschafft man sich dadurch mehr Sicherheit. Aber ist das wirklich so?
Ich will einmal die unterschiedlichen Methoden betrachten, wie Passwörter ausgespäht werden.
Die beste Methode, an Passwörter zu kommen ist sicherlich der virtuelle „Einbruch“ in ein großes Portal, das viele Mitglieder aufweist. Am lohnenswertesten wäre sicher Facebook.
Datendiebstahl bei großen Portalen
Wenn Ihr Passwort über einen solchen Diebstahl in die falschen Hände gelangt, ist es absolut gleichgültig, wie sicher das Passwort ausgedacht war. Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen, die das Passwort sicherer machen sollten, halten die Diebe nicht davon ab, es im Klartext lesen zu können.
Auch wenn aktuelle Supercomputer etwa 10.000 Jahre brauchen sollten, um es zu knacken, die Diebe kennen es jetzt und können Ihnen damit Schaden zufügen. Da ist es auch völlig unerheblich, ob Ihr Passwort seit 7 Jahren besteht oder ob sie es eine Stunde vor den Datenklau geändert haben. Die Änderung hat es nicht sicherer gemacht.
Phishing
Phishing ist eine weitere beliebte Methode, Ihnen Ihr Passwort abzuluchsen. Wären die Passwort-Phisher nicht erfolgreich, fände ich weit weniger Phishing-Mails in meinem elektronischen Briefkasten. Wenn ich auf eines der oft gut gefälschten Mails hereingefallen bin, ist mein Passwort in den falschen Händen.
Auch hier ist es völlig unerheblich, ob ich es einen Tag oder 10 Jahre vorher zuletzt erneuert habe. In eine ähnliche Kategorie fallen Passwörter, die unter die Tastatur oder gar an den Bildschirm geklebt wurden, weil man sich so schwer all die vielen Passwörter merken kann. Genauso steht es um die vom Kollegen über die Schulter ausgespähten oder ihm freiwillig überlassenen Passwörter. Ein regelmäßiges Ändern hilft hier absolut nichts.
Passwörter ändern nach Datendiebstahl
In welchen Fällen hilft das regelmäßige Auswechseln von Passwörtern? Um ehrlich zu sein, mir fällt kein Fall ein. Denkbar wäre für mich allenfalls eine Situation, in der jemand unsichere Passwörter verwendet, die sein soziales Umfeld vergleichsweise leicht erraten kann. Aber genau solche Passwörter sollte keiner mehr verwenden.
Natürlich sollten Sie ihr Passwort ändern, sobald Sie erfahren, dass in einem auch von Ihnen genutzten Portal eingebrochen wurde. Auf jeden Fall dann, wenn bei diesem Einbruch Passwörter erbeutet wurden. Darüber wird regelmäßig in den Social Media oder allgemein im Internet berichtet. Solche Diebstähle erfolgen jedoch kaum in einer festgelegten Abfolge von zwei oder drei Monaten.
Die Anwender schulen
Manche Firmen erlauben leider keine Sonderzeichen und begrenzen Passwörter auf die Länge von acht Zeichen. Eine Bruteforce-Attacke dürfte solche schlecht geschützten Zugänge recht schnell knacken. Auch da hilft das Wechseln der Passwörter wieder recht wenig.
Ich plädiere für Schulungsmaßnahmen, die den Leuten einerseits zeigen, wie anfällig einfach gestrickte Passwörter sein können. Andererseits sollten Methoden gelehrt und ihnen an die Hand gegeben werden, mit denen die „sichere“ Erstellung von Passwörtern ganz einfach geht.
Vor allem sollte auch das Bewusstsein geschaffen werden, wie gefährlich es ist, unsichere Passwörter zu verwenden oder sichere Passwörter auf einem Zettel unter der Tastatur zu verwahren.
Passwort-Generatoren und Passwort-Safes
Es gibt auch genügend Werkzeuge, die eine Generierung von komplexen Passwörtern unterstützen, die sie sicher speichern und bei Bedarf in die Eingabemaske einsetzen lassen können, etwa Keypass. Auch Internetgestützte Passwort-Generatoren und -Safes wie Lastpass kommen in Frage.
Große Firmen haben sich in der Regel eine eigene Lösung einfallen lassen und implementiert. Allen anderen empfehle ich Keypass, das auf dem eigenen Rechner installiert wird. Das kostenlose Programm ist auf Englisch, es gibt dazu jedoch deutsche Sprachdateien, die Sie sich installieren können. Es gibt weitere Lösungen, etwa den Stegano Passwort-Manager. Die 20 Euro sind sicherlich eine lohnende Investition.
Wer mit mehreren Rechnern, Tablets und Smartphones arbeitet, sollte sich überlegen, Lastpass zu nutzen. Für einen Dollar monatlich erhalten Sie die Möglichkeit von all Ihren Geräten sicher auf Ihre Passwörter zugreifen zu können. Auch hier gibt es Alternativen. Sehen Sie sich um.
Fazit
Regelmäßig Ihr Passwort zu ändern, bringt so gut wie keinen besseren Schutz und erhöht damit auch nicht die Sicherheit Ihrer Online-Zugänge. Sparen Sie sich das. Setzen Sie besser Passwort-Generatoren und Passwort-Safes ein. Die meisten Tools können beides.
Erstellen Sie Passwörter, die nur sehr schwer zu knacken sind. Damit sind Sie viel eher auf der sicheren Seite als mit dem regelmäßigen Ändern Ihrer Passwörter.
Vergessen Sie aber niemals, Ihre Passwörter zu ändern, sobald Sie erfahren, dass bei einem Anbieter eingebrochen wurde, bei dem auch Sie ein Konto haben.
Überlegen Sie auch, ob Sie nicht an einer 2-Wege Authentifizierung teilnehmen wollen. Das wird inzwischen von vielen Portalen – auch Twitter – angeboten und ist sehr zu empfehlen.