14. Mai 2016 (aktualisiert am 12. Mai 2021) Erstellt von Jennifer Schmitz Sicherheit & Datenschutz
Viele Unternehmen praktizieren diese Politik: den regelmäßigen Passwort-Ablauf. Nach 3 oder 6 Monaten wird der Mitarbeiter aufgefordert, ein neues Passwort für sein System zu vergeben. Das alte Passwort ist dann abgelaufen.
Nun dient diese Art der zwangsweisen Passwort-Änderung als Sicherheitsmaßnahme, die unbefugte Zugriffe verhindern soll. Doch ist diese Politik wirklich noch sinnvoll? Studien der University of North Carolina, der Carnegie Mellon University und der Carleton University decken auf, dass der Zwang zum neuen Passwort in den meisten Fällen eher eine Schwachstelle in der IT-Sicherheit darstellt.
Woran liegt das? In unserem Alltag müssen wir uns bereits eine große Menge Passwörter merken – seien das Passwörter, die wir im Job oder Passwörter, die wir für unsere privaten E-Mail-Accounts, verschiedenen sozialen Medien, Streaming-Dienste etc. benötigen. All diese Systeme und Dienste geben uns meistens mehr oder weniger strenge Vorgaben, was die Passwortstärke angeht. Doch meist soll jedes Passwort so lang wie möglich und so „zufällig“ wie möglich sein. Am besten mit mindestens einem Großbuchstaben, Sonderzeichen und Zahlen. Natürlich sind schon diese Passwörter schwer zu merken. Werden wir nun auch noch dazu gezwungen, in recht kurzen Zeitabständen neue Passwörter zu vergeben, so nutzen wir oft nur eine kleine Veränderung des alten Passworts oder auch Passwörter, die wir an anderer Stelle bereits nutzen.
So können Angreifer in den meisten Fällen das neue Passwort herausfinden, sofern Sie das alte Passwort kennen: Die bereits erwähnten Studien hatten zum Ergebnis, dass, wurde ein Passwort bereits geknackt, in 17 % der Fälle auch das neue Passwort innerhalb von lediglich 5 Versuchen herausgefunden werden konnte.
Doch warum sind wir geneigt, das alte Passwort nur leicht zu verändern oder ein Einfaches zu wählen? Das kann mehrere Gründe haben. Meist erhalten wir bei der Anmeldung zum bestimmten System die Meldung, dass wir das Passwort nun ändern müssen. Dies geschieht in der Regel, wenn wir mitten in einer Aufgabe stecken oder mit der Arbeit gerade beginnen möchten. Nun muss es schnell gehen – und prompt suchen wir uns ein ganz einfaches Passwort aus oder verändern das alte Passwort nur leicht – denn wir wollen ja weiter an die Arbeit gehen. Außerdem ist es meist so, dass, wenn wir wissen, dass alle paar Monate eine Passwortänderung ansteht, wir von vorne herein ein einfaches Passwort wählen, sodass das Merken der Passwörter nicht allzu beschwerlich ist. Gerade Passwörter, die aus einfachen Worten, Zahlenkombinationen oder ähnlichem bestehen, sind sehr einfach zu knacken.
Aus diesem Grund empfehlen das CESG (Communications-Electronics Security Group) eine Abteilung des GCHQ (Government Communications Headquarters), dem britischen Nachrichtendienst, sowie die Federal Trade Commission (FTC) der Vereinigten Staaten von Amerika, von einer verpflichtenden, turnusmäßigen Passwortänderung abzusehen. Administratoren sollten, laut CESG, über effektivere Alternativen nachdenken, wie ein System, dass unautorisierte Zugriffe entdeckt und vorbeugt. Als Beispiel werden System-Monitoring-Tools empfohlen, die den Nutzern Informationen über die letzten Login-Versuche und Aktivitäten gibt, sodass diese eine verdächtige Handlung direkt melden können.
Ab und an ist eine Passwortänderung in jedem Fall sinnvoll. Dies sollte aber nicht turnusmäßig zu einem bestimmten Zeitpunkt geschehen. Glauben Sie, dass Ihr Passwort gestohlen wurde? Haben Sie den Verdacht, dass jemand bei einer Passworteingabe über Ihre Schulter sah? Haben Sie Ihr Passwort jemandem, beispielsweise einem Freund, mitgeteilt? Denken Sie, dass Sie Ihr Passwort versehentlich auf einer Phishing-Webseite eingetragen haben? Ist Ihr aktuelles Passwort unsicher?
Haben Sie eine dieser Fragen mit „Ja“ beantwortet, so sollten Sie Ihr Passwort ändern. Haben Sie momentan auch lediglich das Gefühl, Sie möchten Ihr Passwort ändern, so ändern Sie es. Beachten Sie dazu jedoch, dass das neue Passwort nichts mit dem alten zu tun haben sollte und nutzen Sie auf keinen Fall das Passwort eines anderen Accounts.