Regelmäßig Passwörter ändern … ist das wirklich sicherer?

Passwörter sind immer ein Thema. Regelmäßig lese ich Berichte, wie einfach man an die Passwörter der Leute kommen kann. Sehr viele machen es sich einfach und nehmen leicht zu erratende Begriffe oder Zahlenfolgen. Im Prinzip sollte aber langsam jeder Nutzer begriffen haben, dass ein Passwort auch heftigen Hacker-Attacken gewachsen sein muss.

Der Name einer Person, die einem nahesteht, oder der eines Haustieres, vielleicht gekoppelt mit einer Jahreszahl, reicht als Passwort sicher nicht mehr aus. Außerdem sollte jeder Account im Web mit einem eigenen Passwort gesichert sein. Zuguterletzt wird auch immer wieder darauf hingewiesen, man solle seine Passwörter alle paar Monate ändern. Der letzte Punkt ist mein heutiges Thema.

Regelmäßig Passwort ändern ...

Zwang zur Änderung von Passwörtern

In den meisten Firmen ist es inzwischen Pflicht oder besser gesagt ein per Programm gesteuerter Zwang, das Passwort alle zwei bis drei Monate zu erneuern. Dabei wird inzwischen oft sogar überprüft, ob sich auch genügend Zeichen verändert haben.

Durch die vielen unterschiedlichen Zugänge allein in einer Firma sehen sich viele Mitarbeiter überfordert bei der Vorstellung, sich alle Passwörter merken zu müssen. Daher gibt es inzwischen häufig Tools, mit denen die Passwörter verwaltet werden, und die sie automatisch einsetzen. Das ist bequem, solange es reibungsfrei läuft.

Mehr Sicherheit durch regelmäßige Änderungen der Passwörter?

Seit vielen Jahren ist es also üblich, regelmäßig von den Anwendern eine Änderung der Passwörter zu verlangen. Jedesmal, wenn irgendwo Passwörter geklaut wurden, lese ich diese Empfehlung. Angeblich verschafft man sich dadurch mehr Sicherheit. Aber ist das wirklich so?

Sehen wir uns doch mal die unterschiedlichen Methoden an, wie Passwörter ausgespäht werden. Die beste Methode, an Passwörter zu kommen ist sicherlich der virtuelle „Einbruch“ in ein großes Portal, das viele Mitglieder aufweist. Am lohnenswertesten wäre sicher Facebook.

Datendiebstahl bei großen Portalen

Wenn Ihr Passwort über einen solchen Diebstahl in die falschen Hände gelangt, ist es absolut gleichgültig, wie sicher das Passwort ausgedacht war. Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen, die das Passwort sicherer machen sollten, halten die Diebe nicht davon ab, es im Klartext lesen zu können.

Auch wenn aktuelle Supercomputer etwa 10.000 Jahre brauchen sollten, um es zu knacken, die Diebe kennen es jetzt und können Ihnen damit Schaden zufügen. Da ist es auch völlig unerheblich, ob Ihr Passwort seit 7 Jahren besteht oder ob sie es eine Stunde vor den Datenklau geändert haben. Die Änderung hat es nicht sicherer gemacht.

Phishing

Phishing ist eine weitere beliebte Methode, Ihnen Ihr Passwort abzuluchsen. Wären die Passwort-Phisher nicht erfolgreich, fände ich weit weniger Phishing-Mails in meinem elektronischen Briefkasten. Wenn ich auf eines der oft gut gefälschten Mails hereingefallen bin, ist mein Passwort in den falschen Händen.

Auch hier ist es völlig unerheblich, ob ich es einen Tag oder 10 Jahre vorher zuletzt erneuert habe. In eine ähnliche Kategorie fallen Passwörter, die unter die Tastatur oder gar an den Bildschirm geklebt wurden, genauso wie die vom Kollegen über die Schulter ausgespähten oder ihm freiwillig überlassenen Passwörter. Ein regelmäßiges Ändern hilft hier absolut nichts.

Passwörter ändern nach Datendiebstahl

In welchen Fällen hilft das regelmäßige Auswechseln von Passwörtern? Um ehrlich zu sein, mir fällt kein Fall ein. Denkbar wäre für mich allenfalls eine Situation, in der jemand unsichere Passwörter verwendet, die sein soziales Umfeld vergleichsweise leicht erraten kann. Aber genau solche Passwörter sollte doch keiner mehr verwenden.

Natürlich sollten Sie ihr Passwort ändern, sobald Sie erfahren, dass in einem auch von Ihnen genutzten Portal eingebrochen wurde. Zumindest dann, wenn bei diesem Einbruch Passwörter erbeutet wurden. Das ist zwar irgendwie regelmäßig der Fall, erfolgt jedoch kaum in einer festgelegten Abfolge von zwei oder drei Monaten.

Die Anwender schulen

Manche Firmen erlauben leider keine Sonderzeichen und begrenzen Passwörter auf die Länge von acht Zeichen. Eine Bruteforce-Attacke dürfte solche schlecht geschützten Zugänge recht schnell knacken. Auch da hilft das Wechseln der Passwörter wieder recht wenig.

Ich plädiere für Schulungs-Maßnahmen, die den Leuten einerseits zeigen, wie anfällig einfach gestrickte Passwörter sein können. Andererseits sollten ihnen Methoden gelehrt und an die Hand gegeben werden, mit denen die „sichere“ Erstellung von Passwörtern ganz einfach geht.

Vor allem sollte auch das Bewusstsein geschaffen werden, wie gefährlich es sein kann, unsichere Passwörter zu verwenden oder sichere Passwörter auf einem Zettel unter der Tastatur zu verwahren.

Passwort-Generatoren und Passwort-Safes

Es gibt auch genügend Werkzeuge, die eine Generierung von komplexen Passwörtern unterstützen, die sie sicher speichern und bei Bedarf in die Eingebemaske einsetzen lassen können, etwa Keypass. Auch Internetgestützte Passwort-Generatoren und -Safes wie Lastpass kommen in Frage.

Große Firmen haben sich in der Regel eine eigene Lösung einfallen lassen und implementiert. Allen anderen empfehle ich Keypass, das auf dem eigenen Rechner installiert wird. Das kostenlose Programm ist auf Englisch, es gibt dazu jedoch deutsche Sprachdateien, die Sie sich installieren können. Es gibt weitere Lösungen, etwa den Stegano Passwort-Manager. Die 20 Euro sind sicherlich eine lohnende Investition.

Wer mit mehreren Rechnern, Tablets und Smartphones arbeitet, sollte sich überlegen, Lastpass zu nutzen. Für einen Dollar monatlich erhalten Sie die Möglichkeit von all Ihren Geräten sicher auf Ihre Passwörter zugreifen zu können. Auch hier gibt es Alternativen. Sehen Sie sich um.

Fazit

Regelmäßig Ihr Passwort zu ändern, bringt so gut wie keinen besseren Schutz und erhöht damit auch nicht die Sicherheit Ihrer Online-Zugänge. Sparen Sie sich das. Setzen Sie besser Passwort-Generatoren und Passwort-Safes ein. Die meisten Tools können beides.

Erstellen Sie Passwörter, die nur sehr schwer zu knacken sind. Damit sind Sie viel eher auf der sicheren Seite als mit dem regelmäßigen Ändern Ihrer Passwörter. Vergessen Sie jedoch niemals, Ihre Passwörter zu ändern, sobald Sie erfahren, dass bei einem Anbieter eingebrochen wurde, bei dem auch Sie ein Konto haben.

Überlegen Sie auch, ob Sie nicht an einer 2-Wege Authentifizierung teilnehmen wollen. Das wird inzwischen von vielen Portalen – auch Twitter – angeboten und ist sehr zu empfehlen.

Nachtrag 20.1.2015

Habe gerade wieder einen Artikel gefunden – heute veröffentlicht – der wieder einmal auflistet, welche problematischen Passwörter am häufigsten verwendet werden:
123456 auf der Liste der schlimmsten Passwörter erneut auf Platz 1

Wer solch unsichere Passwörter verwendet, braucht sich über einen Schaden nicht zu beklagen. Solche Passwörter wirken wie angelehnte Haustüren: Sieht aus der Ferne wie abgeschlossen aus, bei näherer Betrachtung sind es jedoch Einladungen an Einbrecher.


DeutschTweetor bei Facebook und Google+

Ich freue mich übrigens, wenn Sie bei meiner Facebook-Seite und/oder bei meiner Google+ Seite vorbeischauen … und natürlich auch über ein “gefällt mir” beziehungsweise “Einkreisen”, sollten Ihnen meine Bemühungen gefallen. :-)

Bei Google+ habe ich auch noch eine Community DeutschTweetor gestartet. Dort finden Sie viele Tipps und Tricks, zu denen Sie gerne Fragen stellen können. Ich freue mich auf Sie!
Hier können Sie mir auf Twitter folgen: @DeutschTweetor

Es sollte jedem klar sein, dass ein Klick auf einen der unten stehenden Buttons diverse Informationen an die jeweiligen Betreiber der Portale weiterleitet.

Heiner
Vernetzen

Heiner

Heiner Tenz, im Hauptberuf Berater für SAP, ist seit 10 Jahren aktiv in den Social Media unterwegs. Sein Fokus liegt hauptsächlich im Bereich Netzwerken auf Augenhöhe und Einsatz von Social Media im industriellen Umfeld - Thema: Unternehmensweite effiziente Zusammenarbeit.
Heiner
Vernetzen

Kommentare

Regelmäßig Passwörter ändern … ist das wirklich sicherer? — 5 Kommentare

  1. Ein schöner Artikel zum Umgang mit Passwörtern, danke. Spiegelt genau meine Erfahrungen wieder. Wer aufmerksam die Presseberichte liest, stellt auch fest, dass immer wieder viele Passwörter von Unternehmen gestohlen werden und wie die Passwörter dort gespeichert werden, darauf haben wir leider keinen Einfluss.

    • Kann hier nicht zustimmen – wird ein Passwort nicht geändert, besteht folgende Gefahr, nämlich dass dies auch an Mitarbeiter weitergegeben wird, z.B. wenn man mal krank ist.
      Wir hatten auch schon Fälle, wo dann ausgetretene Mitarbeiter jahrelang noch die Mailaccounts ihrer Kollegen abgefragt haben, um sich aktuelle Preislisten zu besorgen. Somit sollte eine halbjährliche Passwortänderungen zumindest vor jahrelangem Missbrauch schützen.

      • Das ist natürlich ein Argument. Andererseits darf es nicht sein, dass Passwörter weitergegeben werden. Und wer Mailaccounts von Mitarbeitern nach deren Ausscheiden nicht sperrt bzw. löscht, sollte sich nicht beklagen, wenn da Missbrauch auftritt.

        Vor vielen Jahren habe auch ich die Erfahrung gemacht, dass mein Mailaccount nicht gelöscht worden war. Inzwischen sollten die meisten aber gelernt haben, dass nach dem Ausscheiden eines Mitarbeiters sein Account gesperrt werden sollte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.