"Ändere-dein-Passwort-Tag": Pro und Contra Passwortwechsel

Ist es sinnvoll, sein Passwort regelmäßig und vorsichtshalber zu ändern? Was in einigen Firmen verpflichtend ist, ist in Security-Kreisen umstritten. Unter Umständen kann das sogar kontraproduktiv sein.

In Pocket speichern vorlesen Druckansicht 297 Kommentare lesen
Passwort

(Bild: dpa, Julian Stratenschulte/Archiv)

Lesezeit: 2 Min.

In einer aktuellen Pressemeldung zum "Ändere-dein-Passwort-Tag" des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist hauptsächlich von individuellen und komplexen Passwörtern die Rede. Die Änderung eines Kennwortes empfiehlt das BSI in dieser Meldung nur für den Ernstfall; also wenn der Verdacht besteht beziehungsweise klar ist, dass ein Online-Dienst Opfer einer Hacker-Attacke geworden ist. Allgemein rät das BSI aber dazu, Passwörter regelmäßig zu wechseln.

Mehr Infos

In einigen Firmen gibt es die Vorschrift, dass Mitarbeiter regelmäßig ihr Passwort ändern müssen. Das kann unter Umständen hilfreich sein, wenn zum Beispiel ein Netzwerk bereits kompromittiert ist: Durch den regelmäßigen Passwortwechsel sperrt man Angreifer immer wieder aus.

Doch der britischen Communications Electronics Security Group (CESG), eine Abteilung des Nachrichtendiensts GCHQ, zufolge, führe das in der Praxis nicht zu höherer Sicherheit. Mitunter könnte eine derartige Anordnung sogar ein Sicherheitsrisiko darstellen: Damit man sich Passwörter einfacher merken kann, neigt man dazu, das gleiche Passwort für mehrere Dienste zu verwenden oder Passwörter nur minimal zu ändern. Ein zwangsweise neu gewähltes Passwort ähnelt also oft dem vorherigen.

Passwörter können an vielen Stellen ein Sicherheitsproblem sein – doch nicht immer ist der Nutzer mit seinem schwachen Kennwort Schuld. Vielmehr sollte man die Anbieter von Online-Diensten in die Pflicht nehmen, Passwörter auf ihren Servern sicher abzulegen. Schließlich vertraut man den Diensten seine persönlichen Daten an.

Oft liegen Passwörter dort im schlimmsten Fall im Klartext oder nur unzureichend geschützt, etwa mit den schon lange als unsicher geltenden Hash-Verfahren MD5/SHA1. Für einen effektiven Kennwort-Schutz sollte bcrypt oder PBKDF2 zum Einsatz kommen.

Zudem sollten Anbieter von Online-Diensten ihre Passwortfelder effektiver vor Brute-Force-Angriffen schützen. Etwa das Verzögern vor einer erneuten Passwort-Eingabe nach einer Fehleingabe bewährt sich an dieser Stelle. Zudem gibt es schwache Passwort-Reset-Mechanismen, über die man Passwörter abfangen könnte.

[UPDATE 01.02.2017 09:50 Uhr]

Aussage des BSI zum Passwortwechsel im Fließtext angepasst. (des)