Inhalt:
Das Thema Passwortsicherheit kommt in letzter Zeit immer häufiger zur Sprache, vor allem weil viele Menschen aufgrund der Pandemie von zu Hause aus online arbeiten müssen. Natürlich kommt dabei auch die Frage auf, wie häufig man seine Passwörter ändern sollte.
Sie werden überrascht sein, dass häufige Passwortänderungen nicht unbedingt immer von Vorteil sind. Denn wenn man sich aus Frust darüber möglichst ähnliche Passwörter aussucht, führt das zum Gegenteil einer guten Passwortsicherheit. Das ist also ein Ratschlag, den Sie sich von Anfang an zu Herzen nehmen sollten.
Das Problem mit häufigen Änderungen
Es war lange Zeit üblich, das Passwort alle 30, 60 oder 90 Tage zu ändern, also im Grunde einmal alle drei Monate oder so. Das hat leider zu einem riesigen Problem geführt, insbesondere bei Unternehmen, die diese häufigen Änderungen erzwingen. Sogar Wired hat dieses Thema aufgegriffen, dass Passwörter oft nicht geändert werden.
Nun müssen Mitarbeitende und Menschen im Allgemeinen sich immer mehr Passwörter merken, wodurch die Wahrscheinlichkeit, dass auch sichere und lange Passwörter erstellt werden, noch geringer ausfällt – und man kann es niemandem verdenken.
Natürlich steht hinter diesem empfohlenen Änderungsintervall eine bestimmte Logik, zumindest damals. Je öfter man ein Passwort ändert, desto geringer ist die Wahrscheinlichkeit, dass das Passwort geknackt wird, richtig? Falsch – dadurch wird alles nur noch schlimmer.
Denn wenn die Benutzer dazu gezwungen werden, ihr Passwort so häufig zu ändern, variieren sie dabei letzten Endes nur ihr bestehendes Passwort geringfügig.
Und nicht nur das: Stellen Sie sich vor, Sie haben gerade erst mit der Arbeit begonnen oder sind gerade mitten in einer Sache, und plötzlich werden Sie aufgefordert, Ihr Passwort zu ändern. Damit Sie weitermachen können, wählen Sie vielleicht etwas Einfaches und wirklich Einprägsames, das wahrscheinlich leicht zu erraten ist.
NIST-Empfehlungen
Kürzlich hat die NIST, das Nationale Institut für Standards und Technologie, einige Richtlinien aufgestellt, wann Sie Passwörter ändern sollten. Die Experten sind sich einig, dass häufige Passwortänderungen ein großes Problem darstellen, und schlagen vor, die Häufigkeit von Passwortänderungen zu verringern und die Komplexität von Passwörtern zu reduzieren.
Ebenso schlägt das Institut vor, längere Passwörter zu verwenden und sie dabei lieber so zu gestalten, dass man sie sich leicht merken kann, etwa in Form einer Aneinanderreihung mehrerer Wörter. Ebenso sollten Unternehmen und Websites keine zufälligen oder willkürlichen Passwortänderungen erzwingen. Stattdessen sollten sie gute Gründe dafür vorweisen, um die Mitarbeitenden entsprechend zu motivieren.
Ebenso thematisiert das Institut, wie Unternehmen andere Methoden ausprobieren können, um bei möglichen Datenpannen die entsprechenden Konsequenzen abzuschwächen, etwa in Form einer Zwei-Faktor-Authentifizierung. Neben Passwörtern in Textform gibt es tatsächlich viele weitere Möglichkeiten, um seine Daten zu schützen.
Der beste Zeitpunkt, Ihr Passwort zu ändern
Wenn alle 30, 60 oder 90 Tage also nicht der ideale Zeitpunkt ist, um sein Passwort zu ändern: wann dann?
Nun, in erster Linie gilt: Wenn der von Ihnen genutzte Dienst eine Datenpanne bekannt gegeben hat, sollten Sie Ihr Passwort sofort ändern. Ähnlich verhält es sich, wenn Sie eine Benachrichtigung erhalten, dass jemand unberechtigt auf Ihr Konto zugegriffen hat. Auch dies erfordert eine sofortige Änderung. Wenn Sie eine Aufforderung zur Zwei-Faktor-Authentifizierung erhalten, aber keine angefordert haben, ist dies wahrscheinlich ein weiterer Grund, Ihr Passwort zu ändern.
Bei lokalen Problemen, wenn sich ein Virus oder Schadsoftware schon länger auf Ihrem Computer eingenistet hat, sollten Sie Ihre Passwörter ändern, da sie wahrscheinlich kompromittiert sind. Abgesehen davon möchte ich klarstellen, dass Sie sich keine Sorgen machen müssen, wenn Sie ein gutes Antivirenprogramm verwenden und dieses einen Virus oder eine Malware erkennt, bevor sie Schaden anrichten kann. Wenn Sie sich kürzlich an einem öffentlichen oder gemeinsam genutzten Computer angemeldet haben, ist es möglicherweise eine gute Idee, Ihr Passwort zu ändern, da Sie nicht wissen, was auf diesem Computer ausgeführt wurde, und es sehr wahrscheinlich einen Keylogger hatte.
Wenn Sie Ihr Passwort mit jemandem geteilt haben, sollten Sie es besser ändern. Wenn es sich um ein gemeinsames Konto handelt, das sie noch verwenden, stellen Sie sicher, dass Sie dieses Passwort nirgendwo anders verwenden. Wenn die andere Person das Konto jedoch nicht mehr nutzt, kann es nicht schaden, das Passwort aus Sicherheitsgründen zu ändern.
Schließlich gibt es tatsächlich einen guten Zeitraum, nach dem Sie Ihr Passwort ändern sollten: etwa ein Jahr. Diese Zeitspanne ist genau richtig: Sie ist kurz genug, dass Sie sich nicht gezwungen fühlen, ein neues Passwort (und damit ein schlechtes) zu erstellen, aber lang genug, dass es ein Risiko für die Sicherheit Ihres Kontos darstellen könnte, insbesondere für Dinge wie Ransomware oder Pharming-Angriffe.
Gute Tipps zum Ändern Ihres Passworts
Okay, jetzt wissen Sie also, wann Sie Ihr Passwort ändern sollten. Wie gehen Sie am besten vor?
Hier sind ein paar Tipps:
Verwenden Sie einen Passwort-Generator wenn Sie keine gute Kombination aus 12- oder 16-stelligen Passwörtern finden können (was in der Tat ziemlich schwierig ist).
Nicht jeder hat ein ausgezeichnetes Gedächtnis, also können Sie stattdessen auch eine Passphrase verwenden. Das ist im Prinzip eine Abfolge von Wörtern, die einen gewissen Sinn ergeben. Zum Beispiel die Passphrase „Zwanzig Knirpse Sitzen Im Zug“, die 25 Zeichen lang ist und sich leicht merken lässt.
Sie sollten unbedingt einen Passwort-Manager verwenden, denn dieser bietet die Möglichkeit, viele komplexe Passwörter zu speichern und eine weitere Sicherheitsebene zu nutzen. Das von Ihnen verwendete Master-Passwort kann unglaublich lang und komplex sein, aber das sollte Sie nicht zur Sorglosigkeit verleiten. Sie sollten trotzdem die oben genannten bewährten Verfahren anwenden. Dieser Leitfaden hilft Ihnen bei der Auswahl des besten Passwort-Managers, wenn es Ihnen schwerfällt, sich für ein Produkt zu entscheiden.
Keine Passwörter mehrfach verwenden. Auch das ist ein wichtiger Aspekt, denn sobald Hacker ein altes Passwort ergattert haben, werden sie es samt aller Variationen ganz sicher auch ausprobieren.
Nutzen Sie die Zwei-Faktor-Authentifizierung, wenn der von Ihnen verwendete Dienst oder Website diese anbietet. Sie bildet eine starke zusätzliche Sicherheitsebene.