Weshalb das regelmäßige Ändern von Passwörtern eher kontraproduktiv ist

4 Feb 2019

Der Ändere-Dein-Passwort-Tag wurde 2012 erstmals ins Leben gerufen und findet seitdem jährlich statt. Was damals womöglich noch als gute Idee erschien, ist heute, im Jahr 2019, bereits etwas veraltet. Aus diesem Grund werben wir von Kaspersky Lab für eine Umbenennung des Ändere-Dein-Passwort-Tages in den Stärke-Dein-Passwort-Tag!

Das regelmäßige Ändern von Zugangsdaten ist eher kontraproduktiv

Vor rund einem Jahrzehnt galt das regelmäßige Ändern von Zugangsdaten noch als gängige Sicherheitspraxis. Nach heutigem Wissensstand wirkt sich diese Praxis jedoch eher kontraproduktiv auf die Sicherheit von Online-Konten aus. Aber warum ist das so? Im Grunde genommen gibt es zwei prinzipielle Probleme. Zum einen müssen Passwörter schwer zu erraten sein, um das Konto, für das sie verwendet werden, auch effektiv schützen zu können; zum anderen muss sich der Nutzer Zweitpasswörter leicht merken können, um langfristig von ihnen profitieren zu können. Wird das Kennwort allerdings regelmäßig geändert, neigen Nutzer oft dazu, graduell eher einfachere und leichter zu merkende Passwörter zu wählen und somit den Schutz der Konten Stück für Stück herabzusetzen.

Das Problem rührt daher, dass wir Menschen kein großes Faible für lange, komplizierte Passwörter haben – und schon gar nicht, wenn wir uns langfristig an sie erinnern müssen; schließlich sind wir keine Maschinen. Also machen wir das, was uns am einfachsten erscheint – wir schummeln. Werden wir dazu „gezwungen“, eines unserer Passwörter zu ändern, nehmen wir lediglich kleine Änderungen an einem bereits bestehenden Kennwort vor, anstatt ein neues zu erstellen. Stellen Sie sich vor, Sie verwenden das Passwort „batman2018“ für eines Ihrer Konten und werden darum gebeten, dieses zu ändern: Tatsächlich würde ein Großteil aller Nutzer vermutlich den einfachen Weg gehen, und lediglich auf „batman2019“ umsteigen. Zwar sieht das System darin ein völlig neues Passwort, aber technisch gesehen ist es noch immer ein und dasselbe. Wenn wir jetzt davon ausgehen, dass Ihr altes Passwort kompromittiert wurde, müsste man definitiv kein Genie sein, um auch das neue Kennwort spitz zu kriegen.

Zu lang, nicht gelesen: Das Ändern von Passwörtern ist also meist keine gute Idee. Viel klüger hingegen ist es, starke – und noch viel wichtiger – einzigartige Passwörter zu wählen.

Deshalb sollten Passwörter einzigartig sein

Wäre die perfekte Lösung also nicht ein wirklich starkes Passwort, das für alle Konten verwendet werden kann, angemessenen Schutz bietet und darüber hinaus komplex und zugleich einfach zu merken ist? In einer perfekten Welt wäre das tatsächlich so. Leider leben wir nicht in einer perfekten Welt, und leider treten Datenlecks, bei denen Passwörter kompromittiert werden, häufiger auf als gedacht. Wenn Sie also für all Ihre Konten dasselbe Kennwort verwenden, kann eine einzige Datenpanne all Ihre Konten gefährden. Mit anderen Worten handelt es sich hierbei nicht um eine „Zwei Fliegen mit einer Klappe schlagen“-Situation, sondern um eine „Alles auf eine Karte setzen“-Situation.

Das macht ein starkes Passwort aus

Wie sollte ein Passwort aussehen, damit es als „stark“ bezeichnet werden kann? Die Antwort ist ein wenig kompliziert, aber wir fassen uns kurz: denn im Grunde genommen kommt es lediglich auf zwei wesentliche Eigenschaften an. Zum einen die Zeichenabfolge, die bei einem Kennwort verwendet wird: je vielfältiger, desto unvorhersehbarer und folglich auch stärker. Und zum anderen die Länge: Je länger, desto besser.

Die gute Nachricht ist, dass sich diese Eigenschaften gegenseitig kompensieren: Wenn Sie Schwierigkeiten haben, sich an alle „#“, „%“ und „&“-Zeichen zu erinnern, können Sie Ihr Passwort einfach um einige Zeichen verlängern.

Und noch etwas: Ein sicheres Passwort muss nicht willkürlich sein. Natürlich ist Willkür aus sicherheitstechnischen Gründen ganz nett, aber es ist ein harter Kampf, sich an zufällig gewählte Passwörter zu erinnern. Auch hier können Sie wieder mit der Länge des Kennworts kompensieren – die Erfahrung der vergangenen Jahre hat gezeigt, dass eine Länge von mindestens 16 Zeichen ein guter Richtwert für ein starkes Passwort ist.

Starke und einzigartige Passwörter, die einfach zu merken sind

Sich starke und einzigartige Passwörter zu merken, kann viel einfacher sein, als Sie denken. Sie müssen lediglich wissen, wie es richtig geht. David Jacoby, Mitglied unseres Global Research and Analysis Teams, erklärt in Laiensprache, wie Ihnen starke Passwörter am besten im Gedächtnis bleiben. Er gibt Ihnen sogar ein gutes Beispiel, wie Sie Ihr eigenes Passwort-System entwickeln können. Mehr dazu erfahren Sie in diesem Beitrag oder im folgenden Video:

Abschließend noch zwei weitere Tipps, mit denen Sie Ihre Konten zusätzlich schützen können: Aktivieren Sie, wenn möglich, die Zwei-Faktor-Authentifizierung für alle Ihre Konten, und verwenden Sie einen Passwort-Manager als Backup-Plan.