Editorial: Wechseln oder nicht wechseln?
Schwache Passwörter sind in Deutschland immer noch beliebt.
(c) dpa
Über Jahre hat das Bundesamt für Sicherheit in der Informationstechnik,
kurz BSI, den regelmäßigen Wechsel von Passwörtern empfohlen. Von dieser
Sichtweise ist das Amt jedoch nun
abgerückt. Ein Grund dafür ist sicherlich,
dass sich Nutzer Passwörter eh schon schlecht merken können, und bei
der Pflicht zum regelmäßigen Passwort-Tausch dazu tendieren, einen
Zettel mit dem gerade aktuellen Passwort zum Beispiel an die
Unterseite der Tastatur zu kleben. Dort findet sie dann aber auch
die Putzfrau, die nebenberuflich zwar tatsächlich saubermacht, hauptberuflich
aber als Spionin arbeitet und fremde Firmennetzwerke kompromittiert.
Auch die oft anzutreffende Methode, rotierende Passwörter aus einem festen Bestandteil samt angehängter Ziffer (also "geheim1", "geheim2" usw.) zu bilden, dient kaum der Sicherheit. Ist bei einem Webdienst die Login-Datenbank mit den Passwort-Hashes geklaut worden und wurde das zum Zeitpunkt des Diebstahls aktuelle Passwort erfolgreich dekodiert, probieren die Angreifer auch selbständig "tI8-4w55" und "tI8-4w56" , wenn das geknackte Passwort "tI8-4w54" war. In diesem Fall schadet die Passwort-Rotation zwar nicht, sie führt aber auch nicht zu der erwünschten höheren Sicherheit.
Passwort-Hygiene dennoch ratsam!
Schwache Passwörter sind in Deutschland immer noch beliebt.
(c) dpa
Anderseits bleiben die anderen Ratschläge zur Passwort-Sicherheit
weiterhin gültig: Für verschiedene Anmeldungen jeweils verschiedene
Passwörter verwenden und auf ausreichende Passwortlänge von mindestens
ca. 12 Zeichen bei Zufallscodes (wie "tI8-4w55=?lz") oder mindestens
ca. 30 Zeichen bei Kombinationen aus normalen Wörtern achten. Warum
letztere Passwörter sogar vorteilhaft sein können, hat Randall Munroe
auf xkcd.com in einem kurzen Comic
sehr gut erläutert.
Da man sich kaum mehr als die am häufigsten verwendeten 5 bis 10 Passwörter merken kann, dürften die meisten User daher nicht umhinkommen, sich eine verschlüsselte Passwortdatenbank anzulegen. Wichtig ist dann vor allem, das "Masterpasswort" der Passwortdatenbank wirklich geheim zu halten. Das ist aber alles andere als einfach, wenn man den Zugriff auf die Passwortdatenbank auch in der Öffentlichkeit benötigt, weil man beispielsweise beim Warten auf einen Flug am Gate schnell noch ein Hotel bucht, das Passwort der Hotelbuchungs-Website aber noch nicht auswendig kann.
Auch, wenn man Passwörter nicht mehr wechselt, ist es aber dennoch wichtig, sich in regelmäßigen Abständen klarzumachen, wie sicher die eigenen Passwörter noch sind: Wo schwirren alte Accounts mit möglicherweise noch unsicheren Passwörtern herum? Diese Accounts entsorgt man dann am besten gleich ganz. Wo hat man Passwörter als ganzes oder auch nur in Teilen wiederverwendet? Dann sollte man demnächst doch mal auf unterschiedliche Passwörter upgraden. Welche Passwörter haben nur geringe Sicherheit, weil man sie immer auch mal in der Öffentlichkeit eintippt? Zumindest letztere sollte man regelmäßig ändern, um Mitleser zumindest nach einiger Zeit wieder auszusperren.
Ebenfalls wichtig: Welche Passwörter sind besonders verwundbar, weil sie zu Websites führen, auf denen man Werte hinterlegt hat, wie beispielsweise Bankkonten, Kreditkartendaten oder Brokerzugänge? Politiker, Prominente und Influencer sollten sich wiederum darum sorgen, dass niemand das Passwort ihrer Social-Media-Accounts ausspioniert und anschließend missbraucht und in ihrem Namen Unfug postet. Je mehr Wert ein Account hat, desto nützlicher ist es, dieses durch eine 2-Faktor-Authentifizierung abzusichern. Nur: Man muss dann auch sicherstellen, dass der 2. Faktor zuverlässig funktioniert. Wird der 2. Faktor zum Beispiel via SMS versendet, dann verhindert ein Fehler beim Netzbetreiber oder eine aus Versehen verlorene SIM-Karte bereits den Zugriff.
Das Thema "Passwort-Sicherheit" bleibt also kompliziert. Eine einfache Lösung ist nicht in Sicht.