Ändere-Dein-Passwort-Tag: Schon wieder!?

Warum der „Ändere-dein-Passwort-Tag“ obsolet ist und gar nicht erst erfunden hätte dürfen.

Das Passwort jährlich ohne Grund zu ändern bringt nicht nur unnötigen Aufwand, sondern auch ein gewisses Risiko mit sich. Denn, wer gezwungen wird sein Passwort regelmäßig zu ändern, neigt automatisch dazu einfachere und vor allem kürzere Varianten zu benutzen. Zumal alleine der Name suggerieren könnte, dass man nur ein Passwort für mehrere, oder noch schlimmer, für alle Konten nutzen sollte.

Ein Passwort ist nicht sichererer, weil es jährlich geändert wird. Ein sicheres Passwort ist einzigartig, es passt also nur zu einem Konto. Natürlich ist es nahezu unmöglich sich alle Passwörter zu merken und an diesem Punkt kommen Passwort-Manager ins Spiel. Das muss kein abgefahrener Cloud-Dienst sein, ein lokal laufendes KeePass erfüllt vollkommen seinen Zweck. Natürlich müssen solche Manager mit einem sehr starken Passwort gesichert sein, welches auf keinen Fall vergessen werden darf.

Dazu sollte man die Zwei-Faktor-Authentifizierung einschalten, wann immer und wo immer es geht. Dann muss man beim Einloggen nicht nur das Passwort eintippen, sondern auch einen Einmalcode. Den bekommt man zum Beispiel von einer Smartphone-App wie dem Google Authenticator. Da man bei den meisten Diensten eingeloggt bleibt, hällt sich der Mehraufwand in Grenzen. Der Sicherheitsgewinn ist hingegen gigantisch: Selbst wenn ein Angreifer das Passwort “klaut”, kann er nichts damit anfangen. Er scheitert beim Login-Versuch, da er kein Zugang zu dem Einmalcode besitzt.

Also nie wieder lang und kompliziert? Nicht ganz: Es gibt Ausnahmen. Wenn das Passwort nicht nur zur Authentifizierung dient, sondern damit tatsächlich Daten verschlüsselt werden, dann kommt es weiterhin auf die Länge an. Verschlüsseln Sie zum Beispiel die Systemplatte mit einer Datenverschlüsselungssoftware dann vergrößert jedes zusätzliche Zeichen den „Knackaufwand“. Im Idealfall katapultieren Sie den Zeitpunkt, an dem ein Unbefugter auf Ihre verschlüsselten Daten zugreifen kann, damit Millionen Jahre in die Zukunft.

Das Ändern eines Passwortes ist also nur notwendig, wenn Sie den Verdacht haben, dass es Dritten bekannt geworden ist. Oder aber Sie merken, dass Ihre Passwörter sich stark ähneln oder sogar dieselben für mehrere Konten oder Dienste sind.

Quelle: www.heise.de