Menü

Kommentar: Ändere-dein-Passwort-Tag? Unsinn. Gefährlicher Unsinn.

Heute ist der Ändere-dein-Passwort-Tag. Wie jedes Jahr. Dabei sollte eigentlich jeder Tag ein Ändere-dein-Passwort-Tag sein – nur eben nicht für jeden.

Von
vorlesen Drucken Kommentare lesen 295 Beiträge
Login

Wer ein Symbol von herausragender Dämlichkeit sucht, der findet es im heute stattfindenden Ändere-dein-Passwort-Tag. Selbst der Tag des Deutschen Butterbrotes (27. September), der internationale Tag der Bauchtasche (9. März) oder der amerikanische Increase Your Psychic Powers Day (31. Oktober) sind durchdachter.

Denn es ergibt absolut keinen Sinn, sein Passwort regelmäßig zu ändern. (Ganz abgesehen davon, dass man auch mal das User-Blaming lassen und die Online-Anbieter, die bei der Sicherheit ihrer Systeme schlampen, zur Verantwortung ziehen sollte, wie Jürgen Schmidt zu Recht anmerkt: Steckt Euch Euren Ändere-dein-Passwort-Tag sonstwohin!)

Schwerpunkt: Sicher im Netz

mehr anzeigen

Die Aufforderung des Ändere-dein-Passwort-Tags verbreitet ein falsches Gefühl von Sicherheit. Passwörter regelmäßig zu ändern mag sich in der Theorie gut anhören, in der Praxis funktioniert es aber so gut wie der real existierende Sozialismus. Die Leute verändern lieber das vorherige Passwort leicht oder wählen ein Kennwort, das sie sich gut merken können.

Ein Beispiel: Die hauseigenen IT-Abteilung verschickt alle drei Monate eine Aufforderung, wieder das Passwort zu ändern. Nun zum 17. Mal. Was macht der Nutzer? Aus Passw0rt!15 wird Passw0rt!16. Damit erfüllt das Kennwort viele Formalien für vermeintlich sichere Passwörter: Es ist anders als das Vorherige, enthält einen großen und viele kleine Buchstaben, drei Ziffern und sogar ein Sonderzeichen! Sind der Nutzer und die IT des Unternehmens nun sicherer als in den letzten Monaten? Nö.

Ein Kommentar von Marvin Strathmann

Marvin Strathmann arbeitet als Redakteur für heise online. Zuvor hat er für Chip Online, Focus Online, Zeit Online und die Süddeutsche Zeitung über Digitales geschrieben.

mehr anzeigen

Doch Angreifer können solche Passwörter mit Verfallsdatum meist leicht erraten und knacken. Warum soll man sich auch ein unglaublich sicheres Passwort mit 1337 Großbuchstaben, 42 Sonderzeichen und 8 Emojis überlegen, wenn es in drei Monaten wieder obsolet wird? Außerdem warten Angreifer nicht brav drei Monate, wenn sie ein Passwort in die Finger bekommen.

Selbst das amerikanische National Institute of Standards and Technology (NIST) empfahl lange, Passwörter regelmäßig zu ändern. Seit August 2017 rät die Behörde Unternehmen dazu, ihre Mitarbeiter nicht mehr zu gängeln und von den unsinnigen Ändere-Dein-Passwort-Mails abzusehen. Es ergibt nur dann Sinn, sein Passwort zu ändern, wenn Angreifer es kompromittiert haben oder verdächtige Aktivitäten stattfinden – etwa wenn plötzlich Anmeldeversuche aus Bielefeld kommen, obwohl der Nutzer nie in Bielefeld war und nie nach Bielefeld möchte.

Zwei Ratschläge sollte man zudem beherzigen:

  1. Passwörter verwalten: Wir haben Accounts bei sehr vielen Diensten, müssen manchmal WLAN-Passwörter herausgeben, PINs wissen und Backup-Codes verstauen. All diese Informationen im Kopf zu behalten, ist kaum möglich. Zum Glück gibt es Hilfe: Passwort-Manager auf dem Rechner speichern die Kennwörter sicher und lassen sich bequem nutzen. Wer den Programmen nicht vertraut, kann auch auf den guten, alten Zettel zurückgreifen und ihn im Safe oder Aktenordner verstauen. Hauptsache die meisten Kennwörter sind raus aus dem Kopf.
  2. Unterschiedliche Passwörter verwenden: Viele Nutzer verwenden dasselbe Passwort bei mehreren Diensten. Die Gefahr: Gelangt ein Angreifer etwa an das Netflix-Passwort, könnte er damit auch E-Mails lesen oder sich in das Facebook-Konto einklinken. Daher sollte jeder Dienst mit einem unterschiedlichen Kennwort geschützt werden – die vielen Passwörter lassen sich wiederum sehr gut mit einem Zettel oder Passwort-Manager verwalten. Ist dann ein Konto betroffen, bleiben andere Dienste verschont. Der Nutzer hätte den Schaden erfolgreich begrenzt.

Daher schlage ich zwei neue, sinnvolle Aktionstage vor: Der Verwalte-deine-Passwörter-Tag (30. Januar) und der Verwende-unterschiedliche-Passwörter-Tag (31. Januar). Beide wären natürlich internationale Aktionstage, denn eine gute Passwortsicherheit sollte nicht an Landesgrenzen halt machen. Als einprägsames Motto bietet sich Make Passwords Great Again an – entsprechende MPGA-Caps liegen aber (noch?) nicht in den Regalen des heise shops. Eine Passwort-Hymne und ein Logo dürften natürlich auch nicht fehlen.

Dafür wird der Ändere-dein-Passwort-Tag geändert. Denn eigentlich ist jeder Tag ein Ändere-dein-Passwort-Tag – nur eben nicht für jeden. Er gilt immer dann für einen Nutzer persönlich, wenn er bemerkt, dass ein Angreifer ein oder mehrere Passwörter kompromittiert hat. Dann sollte der Nutzer ein wenig Konfetti in die Luft werfen, des Tags gedenken und die betroffenen Passwörter schnellstmöglich ändern. Und nicht völlig gedankenlos jedes Jahr am ersten Februar.

Siehe dazu auch:

(str)