Regelmäßige Passwortwechsel bringen kaum mehr Sicherheit

SZ online hat kürzlich „die goldenen Regeln“ für sichere Passwörter zusammengetragen. Eine davon hat die Zeitung im Anschluss kritisiert:

  1. Keine Namen oder Telefonnummern als Passwörter wählen.
  2. Die beliebten, aber völlig unsicheren Kennwörter „123456“ und „password“ meiden.
  3. Stattdessen komplexe und lange Codes mit Groß- und Kleinschreibung, Sonderzeichen und Ziffern nutzen.
  4. Einen Passwort-Manager verwenden, denn: Für jeden sollte Dienst ein separates Passwort ausgesucht werden.
  5. Die Kennwörter regelmäßig ändern.

Verschiedene Studien sollen belegen, dass Regel Nr. 5 nur einen geringen Sicherheitsgewinn bringt. Vor allem sei die regelmäßige Wahl eines neuen Passworts nur dann sinnvoll, wenn es nichts mit dem vorherigen zu tun habe. In der Praxis wandelten Nutzer, die zu regelmäßiger Neuvergabe angehalten sind, ihre Passwörter nur marginal ab. Das Problem: Derartige Änderungen können mit Algorithmen oft vorgesehen werden.

Wichtiger als ein regelmäßiger Wechsel sei es deshalb, das Passwort immer dann möglichst schnell zu tauschen, wenn der dazugehörige Dienst angegriffen wurde (und dies öffentlich geworden ist).

SZ online 20.01.2017: Warum es falsch ist, Passwörter regelmäßig zu ändern