Expertin klärt auf:

Zwang zum häufigen Passwort-Tausch bringt nichts

Web
09.08.2016 08:20

Arbeitgeber und Bildungseinrichtungen zwingen IT-Anwender häufig alle paar Monate zum Passwort-Wechsel. Dies geschieht offiziell aus Sicherheitsgründen: Wer sein Passwort oft wechselt, kann nicht so leicht gehackt werden, so der Gedanke. Er ist allerdings falsch: Auf der Hacker-Konferenz Bsides in Las Vegas haben sich Experten gegen erzwungene Passwortwechsel ausgesprochen, weil diese die Sicherheit schlimmstenfalls sogar verringern können.

Der Grund: Wie das Wirtschaftsmagazin "Business Insider" unter Berufung auf die IT-Expertin Lorrie Cranor von der US-Handelskammer FTC berichtet, neigen Anwender beim Zwang zum Passwort-Wechsel dazu, immer wieder die gleichen Passwörter in leicht veränderter Form zu nutzen. Mal wird beim Passwortwechsel ein Großbuchstabe durch einen Kleinbuchstaben ersetzt, mal hinten eine Zahl hinzugefügt. Ein vollständiger Passwort-Tausch findet dagegen nur selten statt.

Das spielt Cyberkriminellen in die Hände, die das Passwort eines Nutzers knacken wollen. Sie berücksichtigen beim Programmieren von Passwort-Crackern längst, dass viele Menschen mehrere Varianten eines einzelnen Passwortes verwenden - und versuchen es immer gleich mit mehreren Abwandlungen eines Passwortes, sogenannten "Transformationen".

Häufiger Wechsel begünstigt schlechte Kennwörter
Der Zwang zum Passwortwechsel begünstige letztlich schwache Passwörter, warnt auch der Sicherheitsexperte Bruce Schneider. Sinnvoller als das regelmäßige, aber meist nur halbherzig betriebene Ändern von Passwörtern sei deshalb, gleich ein längeres und damit sichereres Passwort für einen längeren Zeitraum zu verwenden.

Zum Muss wird der Passwort-Tausch aus Sicht von Experten erst, wenn bei einem Online-Dienst ein großes Datenleck auftritt und man sich dort mit einem - womöglich auch auf anderen Seiten genutzten - Passwort anmeldet, das in die falschen Hände gerät. Solche Fälle treten immer wieder auf - kürzlich etwa beim Business-Netzwerk LinkedIn.

Sicheres Kennwort ausdenken: So geht's
Damit Sie für Ihre Konten ein sicheres Passwort wählen, sollten Sie bei der Erstellung einige Regeln beachten. Wörter aus dem Wörterbuch sollten Sie meiden, stattdessen empfehlen sich mit Zahlen und Sonderzeichen entfremdete Worte oder gleich Sätze oder Wortketten, die man beispielsweise per Bindestrich trennt. Solche Passwort-Konstrukte sind wesentlich schwerer zu knacken als der Name des Haustiers oder des Partners.

Grundsätzlich sollte man kein Passwort zweimal nutzen, in der Praxis ist das für viele Nutzer aber kaum umsetzbar, weil sie sich so viele Passwörter nicht merken können. Abhilfe schaffen Passwort-Manager wie KeePass oder ordinäre Notizzettel, die natürlich sicher verwahrt werden müssen.

Wer nicht Dutzende Passwörter verwenden will, sollte zumindest mehrere Sicherheitsebenen einziehen und unterschiedliche Kennworte für unterschiedlich wichtige Dienste nutzen. Bei unwichtigen Konten kann man einfachere, bei wichtigen Konten mit sensiblen Infos schwerere Passwörter nutzen und so das Risiko minimieren, dass Hacker gleich mehrere Konten kapern.

Zwei-Faktor-Authentifizierung schützt zusätzlich
Ebenfalls empfehlenswert: Wenn ein Online-Dienst es anbietet, können Sie Ihr Konto mit Zwei-Faktor-Authentifizierung absichern. Hier wird - zusätzlich zum Passwort - eine zweite Sicherheitsebene in Form des Handys eingezogen.

Bei der Anmeldung wird dann neben dem Passwort ein Einmal-Code abgefragt, der auf das Handy geschickt wird. Will ein Angreifer das Konto übernehmen, braucht er also sowohl die Zugangsdaten, als auch - und das dürfte schwierig werden - das Handy des Nutzers. Diese zusätzliche Sicherheitsschicht wird bereits von vielen Diensten angeboten - etwa von Google, Microsoft und Yahoo, aber auch von Shopping-, Cloud- und Gaming-Anbietern.

Loading...
00:00 / 00:00
play_arrow
close
expand_more
Loading...
replay_10
skip_previous
play_arrow
skip_next
forward_10
00:00
00:00
1.0x Geschwindigkeit
explore
Neue "Stories" entdecken
Beta
Loading
Kommentare

Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.

Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.

Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.



Kostenlose Spiele