Das Thema Passwortsicherheit kommt in letzter Zeit immer häufiger zur Sprache, vor allem weil viele Menschen aufgrund der Pandemie von zu Hause aus online arbeiten müssen. Natürlich kommt dabei auch die Frage auf, wie häufig man seine Passwörter ändern sollte.
Inhalt
Vielleicht überrascht es dich, wenn wir dir sagen, dass häufige Passwortänderungen eigentlich keine gute Idee sind. Denn wenn man sich aus Frust darüber möglichst ähnliche Passwörter aussucht, führt das zum Gegenteil einer guten Passwortsicherheit. Hierin liegt schon der erste Rat, den du dir zu Herzen nehmen solltest.
Das Problem mit häufigen Änderungen
Für eine sehr lange Zeit galt der Grundsatz, dass Passwörter im Wesentlichen alle 30, 60 oder 90 Tage geändert werden sollten, also im Prinzip ungefähr alle 3 Monate. Leider hat dies zu absolut massiven Problemen geführt, besonders bei Unternehmen, die diese häufigen Änderungen verbindlich vorschreiben. Auch Wired hat genau dieses Thema, die seltene Änderung von Passwörtern, schon einmal behandelt.
Nun müssen Mitarbeitende und Menschen im Allgemeinen sich immer mehr Passwörter merken, wodurch die Wahrscheinlichkeit, dass auch sichere und lange Passwörter erstellt werden, noch geringer ausfällt – und man kann es niemandem verdenken.
Natürlich steht hinter diesem empfohlenen Änderungsintervall eine bestimmte Logik, zumindest damals. Je öfter man ein Passwort ändert, desto geringer ist die Wahrscheinlichkeit, dass das Passwort geknackt wird, richtig? Falsch – dadurch wird alles nur noch schlimmer.
Denn wenn die Benutzer dazu gezwungen werden, ihr Passwort so häufig zu ändern, variieren sie dabei letzten Endes nur ihr bestehendes Passwort geringfügig.
Und nicht nur das – stell dir einmal vor, du hast gerade mit der Arbeit begonnen oder steckst mitten in deiner Aufgabe, und nun wirst du plötzlich aufgefordert, dein Passwort zu ändern. Damit du möglichst schnell deine Arbeit fortsetzen kannst, denkst du dir als Passwort vielleicht etwas möglichst einfaches aus, was du dir leicht merken kannst und was deshalb auch andere leicht erraten können.
NIST-Empfehlungen
Kürzlich hat NIST, das National Institute for Standards and Technology, einige Richtlinien für Passwortänderungen vorgestellt. Das Institut gesteht selbst ein, dass das häufige Ändern von Passwörtern mit großen Problemen verbunden ist, und empfiehlt daher, die Häufigkeit von Passwortänderungen sowie die Passwortkomplexität zu verringern.
Ebenso schlägt das Institut vor, längere Passwörter zu verwenden und sie dabei lieber so zu gestalten, dass man sie sich leicht merken kann, etwa in Form einer Aneinanderreihung mehrerer Wörter. Ebenso sollten Unternehmen und Websites keine zufälligen oder willkürlichen Passwortänderungen erzwingen. Stattdessen sollten sie gute Gründe dafür vorweisen, um die Mitarbeitenden entsprechend zu motivieren.
Ebenso thematisiert das Institut, wie Unternehmen andere Methoden ausprobieren können, um bei möglichen Datenpannen die entsprechenden Konsequenzen abzuschwächen, etwa in Form einer Zwei-Faktor-Authentifizierung. Neben Passwörtern in Textform gibt es tatsächlich viele weitere Möglichkeiten, um seine Daten zu schützen.
Der beste Zeitpunkt, dein Passwort zu ändern
Wenn alle 30, 60 oder 90 Tage also nicht der ideale Zeitpunkt ist, um sein Passwort zu ändern: wann dann?
Zuallererst: Wenn der von dir genutzte Dienst bekannt gibt, dass es dort zu einer Datenpanne gekommen ist, solltest du natürlich unverzüglich dein Passwort ändern. Wenn du eine Benachrichtigung erhältst, dass auf dein Konto zugegriffen wurde, und dies nicht durch dich selbst erfolgt ist, stellt dies einen weiteren Anlass für die sofortige Änderung deines Passworts dar. Wenn du eine Zwei-Faktor-Authentifizierungsanfrage erhältst, ohne diese ausgelöst zu haben, ist dies ebenfalls ein guter Moment, um dein Passwort zu ändern.
Wenn du Viren oder Malware auf deinem Computer findest, die dort schon eine Zeit lang ihr Unwissen treiben, solltest du ebenfalls deine Passwörter ändern, da sie wahrscheinlich kompromittiert wurden. Dazu jedoch als Klarstellung: Wenn auf deinem Computer eine gute Antiviren-Software ausgeführt wird und diese einen Virus oder Malware entdeckt, bevor diese dein System infiziert, hast du nichts zu befürchten. Auch wenn du dich kürzlich an einem öffentlichen oder gemeinsam genutzten Computer angemeldet hast, könnte es eine gute Idee sein, dein Passwort zu ändern, da du nicht weißt, welche Software auf diesem Computer ausgeführt wurde – es könnte sehr gut ein Keylogger darunter gewesen sein.
Wenn du ein Passwort mit jemand anderem geteilt hast, solltest du darüber nachdenken, es zu ändern. Wenn es sich um ein gemeinsam genutztes Konto handelt, das die andere Person weiterhin verwendet, solltest du sicherstellen, dass du dieses Passwort nicht noch anderweitig verwendest. Wenn die andere Person das Konto jedoch nicht mehr nutzt, kann es nicht schaden, das Passwort aus Sicherheitsgründen zu ändern.
Zu guter Letzt gibt es tatsächlich einen guten Zeitpunkt, an dem du dein Passwort ändern solltest: nach ungefähr einem Jahr. Diese Zeitspanne ist nicht zu kurz, sodass du dich nicht dazu gedrängt fühlst, ein neues (schlechtes) Passwort zu erstellen, und gerade lang genug, damit du dein altes Passwort möglicherweise als Sicherheitsrisiko für dein Konto betrachtest, insbesondere im Hinblick auf ransomware oder Pharming-Angriffe.
Tolle Tipps zum Ändern deines Passworts
Jetzt weißt du also, wann du dein Passwort ändern solltest. Aber wie geht man am dabei besten vor?
Hier findest du ein paar Tipps:
Verwende einen Passwort-Generator, wenn dir keine gute Kombination aus 12 oder 16 Zeichen als Passwort einfällt (was tatsächlich ziemlich schwierig ist).
Da nicht jeder über ein ausgezeichnetes Gedächtnis verfügt, könntest du auch eine Passphrase verwenden. Das ist im Prinzip eine Abfolge von Wörtern, die einen gewissen Sinn ergeben. Zum Beispiel die Passphrase „Zwanzig Knirpse Sitzen Im Zug“, die 25 Zeichen lang ist und sich leicht merken lässt.
Du solltest unbedingt einen Passwort-Manager verwenden, denn dieser bietet dir die Möglichkeit, viele komplexe Passwörter zu speichern und eine weitere Sicherheitsebene zu nutzen. Das von dir verwendete Master-Passwort kann unglaublich lang und komplex sein, was dich jedoch nicht dazu verleiten sollte, dich in falscher Sicherheit zu wiegen: Du solltest trotzdem die oben genannten Best Practices beachten. Sieh dir diesen Leitfaden zur Auswahl des besten Passwort-Managers an, wenn du ein wenig Hilfe bei der Entscheidung benötigest, welches Produkt das richtige für dich ist.
Verwende Passwörter nicht mehrfach.. Auch das ist ein wichtiger Aspekt, denn sobald Hacker ein altes Passwort ergattert haben, werden sie es samt aller Variationen ganz sicher auch ausprobieren.
Wenn der Dienst oder die Website, die du verwendest, eine Zwei-Faktor-Authentifizierung anbietet, solltest du diese auch nutzen. Sie bildet eine starke zusätzliche Sicherheitsebene.