Warum wir Passwörter doch nicht regelmäßig wechseln sollten

Empfehlung Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt neuerdings, dass Firmen besondere technische Maßnahmen ergreifen sollen, um feststellen zu können, wenn ein Angriff stattgefunden hat. Erst wenn dem so ist, sollen Passwörter gewechselt werden. Früher sei es darum gegangen, Passwörter regelmäßig, zum Beispiel alle 90 Tage, zu wechseln, für den Fall, dass es einen Angriff gab, sagt Markus Dürmuth von der Ruhr-Universität Bochum. "Schon seit Längerem gibt es eine Reihe von Erkenntnissen, die gegen einen regelmäßigen Passwortwechsel ohne Anlass sprechen. Zum Beispiel merken sich Menschen nicht gerne viele Passwörter. Wenn sie diese dann auch noch alle drei Monate ändern sollen, nutzen sie häufig sehr ähnliche Passwörter. Dieses Vorgehen wiederum ist auch für Angreifer nachvollziehbar, was die Passwörter unsicherer macht." Passwortwechsel Ein Wechsel ist nicht regelmäßig nötig, sondern nur nach einem Angriff. "Wenn es einen Angriff gab, sollten die jeweiligen Dienste die Nutzer darüber informieren." Außerdem könne jeder selbst nachschauen, ob sein Passwort veröffentlicht wurde, zum Beispiel unter https://haveibeenpwned.com/ oder mit dem Identity Leak Checker des Hasso-Plattner-Instituts. Sonderzeichen Nein, die alte Regel, dass Passwörter Sonderzeichen enthalten müssen, gilt ebenfalls nicht mehr. "Es hat sich gezeigt, dass die Sicherheit durch Sonderzeichen nicht wesentlich steigt. Wenn Nutzer Sonderzeichen verwenden sollen, ist die Wahrscheinlichkeit hoch, dass sie statt 1 ein ! wählen oder @ statt a", sagt Dürmuth. Das sei ein typisches Verhalten, das auch mögliche Angreifer kennen. "Viele Websites verlangen zwar noch diese Form von Passwort, es werden aber weniger. "Statt komplizierter langer Wörter mit Sonderzeichen, würde ich zum Beispiel vier zufällig ausgewählte Wörter empfehlen. Diese sind für Angreifer nicht leicht zu erraten, gleichzeitig aber gut zu merken." Grafische Passwörter Auf Android-Smartphones seien diese Muster zum Entsperren weit verbreitet, sagt der Forscher. Vor allem im Vergleich mit von Nutzern vergebenen Pin-Nummern seien diese grafischen Passwörter sicherer. "Sie sind leicht zu merken und leicht einzugeben." Der Nachteil sei, dass andere Menschen diese grafischen Passwörter durch Zuschauen leicht nachvollziehen können. "Allerdings muss man sich fragen, vor wem das Gerät geschützt sein soll: Vor dem Bekannten, der mir über die Schulter geguckt hat, oder vor dem unbekannten Angreifer, der mir nicht zuschauen kann." Viele verschiedene Passwörter Eigentlich brauche man für jeden Dienst ein Passwort, sagt Dürmuth. Wenn nur ein Passwort für viele Dienste verwendet werde, reiche ein Leak, um Angreifern Zugriff auf alle möglichen Online-Konten zu gewähren. "Man kann verschiedene Passwörter für die wichtigen Dienste verwenden, zum Beispiel fürs E-Mail-Konto, häufig genutzte Social-Media-Konten und das Online-Banking. Für die weniger wichtigen Dienste nutzt man ein ähnliches Passwort. Oder man nutzt einen Passwort-Manager. Für den ist nur ein Passwort zum Entsperren nötig." Ausblick "Ich denke nicht, dass wir sehr bald ganz ohne Passwörter auskommen werden", meint Dürmuth mit Blick auf die Zukunft. Zwar entwickele sich zum Beispiel die biometrische Authentifizierung weiter, etwa mit dem Fingerabdruck. Die Sensoren dafür würden mittlerweile auch in mittelpreisigen Geräten verbaut. "Allerdings haben Nutzer Bedenken dabei, ihren Fingerabdruck an zum Beispiel Facebook weiterzugeben. Außerdem ist die Frage, was passiert, wenn ein Fingerabdruck geleakt wird. Ein Passwort muss nach Veröffentlichung geändert werden. Ein Fingerabdruck aber auch, weil dieser von Angreifern kopiert und benutzt werden kann. Dann gibt es neun weitere Finger. Das ist ein grundlegendes Problem. Die Veröffentlichung biometrischer Daten wird zunehmen." (function(d,s,id){var js,fjs=d.getElementsByTagName(s)[0];if(d.getElementById(id))return;js=d.createElement(s);js.id=id;js.src='https://embed.ex.co/sdk.js';fjs.parentNode.insertBefore(js,fjs);}(document,'script','playbuzz-sdk'));

Meistgelesen