Das Für und Wider des Passwortwechsels
Mails oder Hinweise mit dem Inhalt „Ihr Passwort ist älter als 90 Tage. Bitte ändern Sie es.“ sind bekannt, aber ist das wirklich hilfreich? Rund um den „Ändere-Dein-Passwort-Tag“, der in jedem Jahr am 1. Februar stattfindet, gibt es eine intensive Diskussion. Schwerpunkt: Wie sinnvoll ist es, sein Passwort regelmäßig zu wechseln? Erhöht dies die Sicherheit meines Accounts oder ist es sogar eine Gefahr? Sogar das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich klar positioniert: Die Experten des Bundesamtes rudern von ihrer bisherigen Empfehlung zurück, Passwörter häufig zu wechseln. Demnach könnte ein Passwort auch jahrelang genutzt werden, wenn es die richtigen Kriterien erfüllt.
Eine Zusammenfassung der Diskussion, was macht ein starkes Passwort aus und die fachliche Einschätzung von UIMC erfahren sie hier:
Die Position des BSI zum Passwort-Wechsel
Das BSI rückte von seiner bisherigen Position ab, Passwörter regelmäßig zu ändern. In der aktuellen Ausgabe des BSI-Grundschutz-Kompendiums wurde die entsprechende Textpassage gestrichen. Passwortänderungen sind aus BSI-Sicht nur noch für folgende Fälle angeraten:
- Ein Passwort sollte auf jeden Fall geändert werden, wenn es einen Hinweis gibt, dass es tatsächlich in die Hände von unbefugten Dritten gelangt ist.
- Wenn festgestellt wird, dass das eigene Gerät mit einem Schadprogramm infiziert ist.
- Wenn Cyber-Kriminelle bei Anbietern oder direkt bei Nutzerinnen und Nutzern vertrauliche personenbezogene Daten (inklusive Passwörtern) abgegriffen haben.
Die BSI-Experten raten im Kapitel zur Regelung des Passwortgebrauchs nur für den Fall, dass ein Passwort in fremde Hände geraten sein könnte, das Kennwort zu ändern.
Erhöht dies die Sicherheit?
Klar ist, dass Passwortänderungen, die über Jahre hinweg nur aus der Addierung der Zahl bestehen, eine Scheinsicherheit suggerieren. Beispiel: Das bestehende Passwort KleineMaus15% wird auf KleineMaus16% verändert. Angreifer können solche Passwörter oftmals schnell erraten und knacken. Gerade bei kritischen und hochsensiblen Systemen sollte aber weiterhin ein regelmäßiger, aber echter Passwortwechsel vorgenommen werden.
Ein großer Knackpunkt der im Rahmen der Debatte um die Abschaffung des Passwortswechselzwangs immer wieder vergessen wird, ist das Social Engineering. Zum einen könnten umstehende Personen einen immer mal wieder beim Eintippen eines Passworts beobachten und so mit der Zeit das entsprechende Passwort erraten, ohne dass man selbst es merkt. Zum anderen kann durch den stetigen Passwortwechsel ein Dritter, der die Zugangsdaten entwendet hat, wieder aus einen Benutzerkonto ausgesperrt werden.
Die Nutzung von Passwort-Managern
Zum einen kann der Einsatz von Passwort-Managern auf dem Rechner die Kennwörter speichern und deren Einsatz vereinfachen. Zum anderen sollten unterschiedliche Passwörter verwandt werden. Konkret: Für das Online-Banking sollte ein völlig anderes Passwort verwandt werden als für den Amazon-Prime- oder gar E-Mail-Account. Oftmals setzen viele Nutzer dasselbe Passwort bei mehreren Diensten ein. Die Gefahr: Gelangt ein Angreifer etwa an das E-Mail-Passwort, könnte er sich damit auch gleich in das Amazon-Prime-Konto einloggen. Daher sollte jeder Dienst mit einem unterschiedlichen Kennwort geschützt werden. Jeder sollte bei seinen Passwörtern vorsichtig und aufmerksam vorgehen, um sich vor kriminellen Machenschaften zu schützen. Die Abschaffung des regelmäßigen Passwortwechsels kann dabei nicht das richtige Mittel sein.
Fazit zum Passwort-Wechsel
So ist summarisch betrachtet das pauschale Abrücken von der Forderung nach einem Passwortwechselzwang vor allem unter dem Gesichtspunkt der Informationssicherheit nicht zu empfehlen, da davon ausgegangen werden muss, dass die Offenlegung eines Passwortes häufig unbemerkt bleibt. Jedoch könnte aber eine Ausdehnung des Gültigkeitszeitraums in unkritischen Bereichen eines Unternehmens in Betracht gezogen werden.
Bild von Kris auf Pixabay
