Weshalb es ziemlich sinnlos ist, andauernd dein Passwort zu ändern

Tuan Le 1

Die Sicherheit der eigenen Account-Daten ist angesichts der fortschreitenden Digitalisierung unserer Zeit ein wichtiges Gut, das es zu beschützen gilt - am besten natürlich mit einem sicheren Passwort. Dumm nur, dass viele Dienste ebenso wie (selbsternannte) Sicherheitsexperten die Nutzer nicht selten dazu auffordern, ihr Passwort in regelmäßigen Abständen zu ändern. Tatsächlich gibt es gute Beweise dafür, dass die Unbequemlichkeiten, die für die Nutzer dadurch entstehen, deutlich die vermeintlichen Sicherheitsvorteile überwiegen.

Weshalb es ziemlich sinnlos ist, andauernd dein Passwort zu ändern

Es ist schwer, sich ein sicheres Passwort auszudenken - und es ist noch schwerer, sich dieses auch noch obendrein zu merken. Dumm nur, dass man nicht selten von Diensten dazu gezwungen wird, sein Passwort zu ändern, meistens dann, wenn es auffällige Kontoaktivitäten gegeben hat. Das ist absolut legitim und natürlich erforderlich, wenn die Wahrscheinlichkeit sehr hoch ist, dass jemand Unbefugtes in den Besitz des eigenen Passworts gekommen ist.

Getreu dem Motto „Vorsicht ist besser als Nachsicht“ sind allerdings manche Institute dazu übergegangen, völlig unabhängig von einer tatsächlich gegebenen Gefahr die Nutzer dazu zu zwingen, ihr Passwort alle paar Monate zu verändern - ganz zum Leidwesen der Nutzer. Dazu zählt auch die Federal Trade Commission in den USA, bei der seit Januar auch die Professsorin Lorrie Cranor als Chief Technologist arbeitet. Cranor sieht in dem ständigen Wechsel des Passworts eher ein Sicherheitsrisiko und setzt sich seit ihrer Anstellung dafür ein, dass der obligatorische Passwort-Wechsel alle 60 Tage bei der FTC abgeschafft wird.

Es nützt nichts, ein Passwort gegen ein ziemlich ähnliches Passwort auszutauschen

Sicher: Wenn die Nutzer bei jedem Passwort-Wechsel eine völlig neue, mindestens genauso sichere Abfolge von Zeichen auswählen würden, wäre der regelmäßige Wechsel des Passworts sicherlich eine sinnvolle Maßnahme. In der Praxis, so stellte schon eine Studie aus dem Jahr 2010 fest, ist dem allerdings nicht so. Nutzer, die regelmäßig ihr Passwort wechselten, gehen dabei häufig sehr bequem vor und veränderten ihr bereits vorhandenes Passwort nur minimal. Aus „tarheels#1“ wird so etwa nach der ersten Änderung „tArheels#1“ oder auch „tarheels#11“.

Für einen versierten Hacker ist es mit diesem Hintergrundwissen ein ziemlich leichtes, einen Algorithmus zu programmieren, der innerhalb kürzester Zeit die wahrscheinlichsten Variationen eines Passworts ermittelt. In Tests konnten 41 Prozent der Passwort-Variationen von Accounts, bei denen man ein altes Passwort kannte, in weniger als 3 Sekunden ermittelt werden.

Deutlich wichtiger als sein Passwort regelmäßig zu ändern, ist also sich ein sicheres Passwort auszusuchen - und natürlich sorgsam damit umzugehen, damit es nicht in die falschen Hände gerät. Die Nutzer aber einfach nur andauernd dazu zu zwingen, sich ein neues Passwort auszudenken, ist kaum wirksam - dafür sorgt die Faulheit der meisten Menschen.

Quelle: Ars Technica

Samsung Galaxy S7 bei Amazon kaufen * Samsung Galaxy S7 mit Vertrag bei DeinHandy.de *

Zu den Kommentaren

Kommentare zu dieser News

* Werbung