Passwörter

Editorial: Wechseln oder nicht wechseln?

Was dient der best­mögli­chen Pass­wort-Sicher­heit? Und was ist neben Pass­wort-Rota­tion noch wichtig?
AAA
Teilen (2)

Über Jahre hat das Bundesamt für Sicher­heit in der Infor­mati­onstechnik, kurz BSI, den regel­mäßigen Wechsel von Pass­wörtern empfohlen. Von dieser Sicht­weise ist das Amt jedoch nun abge­rückt. Ein Grund dafür ist sicher­lich, dass sich Nutzer Pass­wörter eh schon schlecht merken können, und bei der Pflicht zum regel­mäßigen Pass­wort-Tausch dazu tendieren, einen Zettel mit dem gerade aktu­ellen Pass­wort zum Beispiel an die Unter­seite der Tastatur zu kleben. Dort findet sie dann aber auch die Putz­frau, die neben­beruf­lich zwar tatsäch­lich sauber­macht, haupt­beruf­lich aber als Spionin arbeitet und fremde Firmen­netz­werke kompro­mittiert.

Auch die oft anzu­tref­fende Methode, rotie­rende Pass­wörter aus einem festen Bestand­teil samt ange­hängter Ziffer (also "geheim1", "geheim2" usw.) zu bilden, dient kaum der Sicher­heit. Ist bei einem Webdienst die Login-Daten­bank mit den Pass­wort-Hashes geklaut worden und wurde das zum Zeit­punkt des Dieb­stahls aktu­elle Pass­wort erfolg­reich deko­diert, probieren die Angreifer auch selb­ständig "tI8-4w55" und "tI8-4w56" , wenn das geknackte Pass­wort "tI8-4w54" war. In diesem Fall schadet die Pass­wort-Rota­tion zwar nicht, sie führt aber auch nicht zu der erwünschten höheren Sicher­heit.

Pass­wort-Hygiene dennoch ratsam!

Schwache Passwörter sind in Deutschland immer noch beliebt.Schwache Passwörter sind in Deutschland immer noch beliebt. Ander­seits bleiben die anderen Ratschläge zur Pass­wort-Sicher­heit weiterhin gültig: Für verschie­dene Anmel­dungen jeweils verschie­dene Pass­wörter verwenden und auf ausrei­chende Pass­wort­länge von mindes­tens ca. 12 Zeichen bei Zufalls­codes (wie "tI8-4w55=?lz") oder mindes­tens ca. 30 Zeichen bei Kombi­nationen aus normalen Wörtern achten. Warum letz­tere Pass­wörter sogar vorteil­haft sein können, hat Randall Munroe auf xkcd.com in einem kurzen Comic sehr gut erläu­tert.

Da man sich kaum mehr als die am häufigsten verwen­deten 5 bis 10 Pass­wörter merken kann, dürften die meisten User daher nicht umhin­kommen, sich eine verschlüs­selte Pass­wort­daten­bank anzu­legen. Wichtig ist dann vor allem, das "Master­pass­wort" der Pass­wort­daten­bank wirk­lich geheim zu halten. Das ist aber alles andere als einfach, wenn man den Zugriff auf die Pass­wort­daten­bank auch in der Öffent­lich­keit benö­tigt, weil man beispiels­weise beim Warten auf einen Flug am Gate schnell noch ein Hotel bucht, das Pass­wort der Hotel­buchungs-Website aber noch nicht auswendig kann.

Auch, wenn man Pass­wörter nicht mehr wech­selt, ist es aber dennoch wichtig, sich in regel­mäßigen Abständen klar­zuma­chen, wie sicher die eigenen Pass­wörter noch sind: Wo schwirren alte Accounts mit mögli­cher­weise noch unsi­cheren Pass­wörtern herum? Diese Accounts entsorgt man dann am besten gleich ganz. Wo hat man Pass­wörter als ganzes oder auch nur in Teilen wieder­verwendet? Dann sollte man demnächst doch mal auf unter­schied­liche Pass­wörter upgraden. Welche Pass­wörter haben nur geringe Sicher­heit, weil man sie immer auch mal in der Öffent­lich­keit eintippt? Zumin­dest letz­tere sollte man regel­mäßig ändern, um Mitleser zumin­dest nach einiger Zeit wieder auszu­sperren.

Eben­falls wichtig: Welche Pass­wörter sind beson­ders verwundbar, weil sie zu Websites führen, auf denen man Werte hinter­legt hat, wie beispiels­weise Bank­konten, Kredit­karten­daten oder Broker­zugänge? Poli­tiker, Promi­nente und Influ­encer sollten sich wiederum darum sorgen, dass niemand das Pass­wort ihrer Social-Media-Accounts ausspio­niert und anschlie­ßend miss­braucht und in ihrem Namen Unfug postet. Je mehr Wert ein Account hat, desto nütz­licher ist es, dieses durch eine 2-Faktor-Authen­tifi­zierung abzu­sichern. Nur: Man muss dann auch sicher­stellen, dass der 2. Faktor zuver­lässig funk­tioniert. Wird der 2. Faktor zum Beispiel via SMS versendet, dann verhin­dert ein Fehler beim Netz­betreiber oder eine aus Versehen verlo­rene SIM-Karte bereits den Zugriff.

Das Thema "Pass­wort-Sicher­heit" bleibt also kompli­ziert. Eine einfache Lösung ist nicht in Sicht.

Teilen (2)

Weitere Edito­rials