"Ändere dein Passwort"-Tag: Lass es doch einfach bleiben!

Am 1. Februar ist "Ändere dein Passwort"-Tag. Aber ist es wirklich sinnvoll, Passwörter regelmäßig zu ändern? Und wie wählt man überhaupt gute Passwörter, die Hackerangriffen standhalten?

In Pocket speichern vorlesen Druckansicht 558 Kommentare lesen
"Ändere dein Passwort"-Tag: Lass es doch einfach bleiben!

Schon wieder 1. Februar: Noch schnell ein paar Passwörter ändern ...

(Bild: Pixabay)

Lesezeit: 4 Min.
Von
  • Fabian A. Scherschel
Inhaltsverzeichnis

Alle Jahre wieder am 1. Februar rufen Presse-Mitteilungen und daraus resultierende Nachrichten-Meldungen dazu auf, die eigenen Passwörter zu ändern. Das Ganze nahm im Jahr 2012 seinen Anfang, als die US-Technik-Blogs Gizmodo und Lifehacker zum ersten "Ändere dein Passwort"-Tag aufriefen.

Damals wollte man wohl durch eine Art positiven Gruppenzwang die Nutzer dazu bewegen, wenigstens einmal im Jahr die wichtigsten Passwörter zu ändern. Bei heise online sahen wir diesen Stichtag, mittlerweile kann man ihn fast als eine Art Tradition bezeichnen, von Anfang an skeptisch. Denn Passwort-Änderungen als Selbstzweck führen nicht zwangsläufig zu mehr Sicherheit.

Natürlich kann es gefährlich sein, wenn man für einen wichtigen Online-Dienst seit mehreren Jahren dasselbe Passwort verwendet. Wird dort in die Server eingebrochen, was in beängstigendem Ausmaße tatsächlich passiert, können die Angreifer ab dann mit ihren erbeuteten Logins frei über mein Konto verfügen. Ändere ich mein Passwort, ist diese Gefahr erst mal gebannt.

Andererseits gibt es im echten Leben viel größere Passwort-Risiken, die weiter verbreitet sind. Viel zu viele Anwender nutzen ein und dasselbe Passwort für ihre wichtigsten Online-Konten. Was wiederum bedeutet, dass Angreifer nur bei einem Dienst einbrechen müssen und dann mit der E-Mail-Adresse des Nutzers und seinem Passwort munter Online-Konten durchprobieren können. Und sie müssen nicht mal selber hacken, sie können die Daten einfach massenweise einkaufen.

Anwender sollten am "Ändere dein Passwort"-Tag also vielleicht nicht einfach stupide Passwörter ändern, sondern lieber einmal in Ruhe darüber nachdenken, welche Passwörter sie für welche Konten verwenden – und warum. Vor allem, weil ein massenhaftes Ändern in kurzer Zeit höchst wahrscheinlich zu unsichereren Passwörtern führt. Haben sie kein spezialisiertes Tool wie einen Passwort-Manager zur Hand, der sichere Zufalls-Passwörter ausspuckt, tendieren die meisten Nutzer nachgewiesenermaßen nämlich dazu, aus (verständlicher) Faulheit unsichere Passwörter zu wählen.

Wie man Passwörter sicher wählt erklärte der heise-Security-Hintergrundartikel Passwort-Schutz für jeden schon Anfang 2013. Diese Empfehlungen gelten nach wie vor uneingeschränkt. Wie man sichere Passwörter wählt, hat sich seit dem nicht geändert.

Grundsätzlich empfiehlt sich der Einsatz eines Passwort-Managers. Die meisten erzeugen sichere Passworter gleich automatisch und speichern sie sicher. Einige Programme erinnern ihre Nutzer sogar daran, das Passwort in regelmäßigen Abständen zu ändern – falls man das wirklich will. Die bekanntesten Passwort-Manager sind KeePass, LastPass und 1Password.

Unter Umständen muss man sich überlegen, ob man seine Passwörter einem Cloud-Dienst anvertrauen will oder lieber ein lokales Tool verwendet. Generell aber gilt: Ein Passwort-Manager, und damit eine durchdachte Passwort-Strategie, ist besser, als wahllos vergebene Passwörter, die man nur im Kopf hat. Denn hier gilt die Faustregel: Passwörter, die man sich einfach merken kann, sind oft einfacher zu knacken.

Auf manche Passwörter muss man aber vielleicht gar nicht viel Mühe verschwenden. Warum "123456" als Passwort völlig in Ordnung sein kann, erklärte heise-Security-Chefredakteur Jürgen Schmidt schon vor Jahren in einem viel beachteten Kommentar. Manche Webseiten sind es einfach nicht wert, ein bombensicheres Passwort zu bekommen. Außer natürlich, der Passwort-Manager generiert und speichert mir bei der Anmeldung eine achtzehn-stellige, alphanumerische Passphrase ganz automatisch.

Zusammenfassend lässt sich sagen: Vielleicht sollten wir Passwörter nicht pauschal am 1. Februar ändern, sondern dann, wenn es wirklich nötig ist. Zum Beispiel, wenn wir ein und dasselbe Passwort bei mehreren wichtigen Konten verwenden. Oder wenn wir konkrete Informationen dazu haben, dass ein Dienst gehackt wurde. Immerhin sorgt der 1. Februar für eine gute Gelegenheit, die eigenen Passwort-Gewohnheiten einmal Revue passieren zu lassen und zu überdenken. (fab)