IT-Sicherheit Warum es falsch ist, Passwörter regelmäßig zu ändern

"password" ist ein schlechtes Passwort - und nach "123456" trotzdem das beliebteste Kennwort der Deutschen.

(Foto: dpa)

Das Bauchgefühl sagt: alle paar Monate Kennwörter wechseln. Die Wissenschaft sagt: bringt nichts. Andere Methoden schützen viel besser.

Von Simon Hurtz
1616

Best of SZ.de 2016 - immer zum Jahresende sammeln wir die Lieblingsgeschichten der Redaktion, die am häufigsten von Lesern weiterempfohlen wurden. Diese Geschichte ist eine von ihnen. Alle lesen...

Sie sollten auf keinen Fall Namen oder Telefonnummer als Passwort verwenden. "123456" und "password" sind auch keine gute Idee. Denken Sie sich stattdessen lange, komplexe Codes aus, für jedes Nutzerkonto einen neuen. Vertrauen Sie einem Passwort-Manager. Ändern Sie Kennwörter regelmäßig.

Diese goldenen Regeln dürften fast alle Internetnutzer kennen. Aus zwei Gründen sind unsichere Passwörter trotzdem nach wie vor ein weit verbreitetes Problem: Erstens folgt aus Wissen nicht zwangsläufig Handeln - die mit Abstand beliebtesten Passwörter lauten noch immer "123456" und "password". Zweitens ist einer der Ratschläge Unsinn.

Auf den ersten Blick scheint die Kennwort-Regel sinnvoll

Anfang des Jahres twitterte die US-Handelskommission FTC: "Ermutigen Sie Ihre Freunde und Familie, Passwörter häufig zu ändern und sie lang, stark und einzigartig zu machen." Lorrie Cranor, erst kurz zuvor zur Technik-Chefin der FTC ernannt, wunderte sich über ihren neuen Arbeitgeber. "Ich bin zu den Social-Media-Beauftragten gegangen und habe sie darauf angesprochen", erzählte sie am Dienstag auf einer Sicherheitskonferenz in Las Vegas. Deren Antwort sei gewesen: "Es muss ein guter Ratschlag sein, weil wir bei der FTC unsere Passwörter alle 60 Tage ändern."

Unabhängig von dieser seltsamen Begründung scheint die Regel eigentlich sinnvoll. Häufig dauert es Monate oder gar Jahre, bis bekannt wird, dass Hacker Daten erbeutet haben. Derzeit werden im Darknet Hunderte Millionen Log-ins für Seiten wie Linkedin, Myspace, Tumblr und Yahoo verkauft. Alle Daten stammen aus Hacks, die mehrere Jahre zurückliegen. Wer in der Zwischenzeit sein Passwort geändert hat, muss nichts befürchten.

Regelmäßige Passwort-Wechsel bringen kaum zusätzliche Sicherheit

Doch die Wissenschaft widerspricht dem Bauchgefühl. Das Tech-Blog Ars Technica hat einige Studien zusammengetragen, die erklären, warum es relativ egal ist, wie häufig man Passwörter austauscht. Bereits 2010 haben Forscher der University of North Carolina at Chapel Hill (PDF) Daten von mehr als 10 000 ehemaligen Studenten und Uni-Mitarbeitern ausgewertet, die ihre Kennwörter regelmäßig ändern mussten, weil die Sicherheitsrichtlinien der Uni das so vorschrieben. Ihr Fazit: "Wir glauben, dass unsere Studie Zweifel aufwirft, ob es sinnvoll ist, Passwörter in Zukunft noch mit einer Art Verfallsdatum zu versehen."

Warum Passwörter abgeschafft werden müssen

Sonderzeichen, Groß- und Kleinschreibung, Zahlen - und am Ende landen die Passwörter trotzdem bei Hackern. Was für ein Quatsch. Von Hakan Tanriverdi mehr ...

Die Vorsichtsmaßnahme erhöhe die Sicherheit nämlich nur dann, wenn jedes Mal ein komplett neues Kennwort vergeben werde, das nichts mit den vorhergehenden zu tun hat. Die Praxis schaut anders aus. "password" wird dann etwa zu "password1", "passw0rd" oder "pa$$word". Ein Großteil der Nutzer ändert Log-in-Daten nach solchen Mustern, die moderne Computer leicht vorhersagen können. Außerdem tendieren Menschen dazu, von Anfang an schwächere Passwörter zu vergeben, wenn sie wissen, dass sie es ohnehin bald wieder ändern werden.

Im vergangenen Jahr kamen Forscher der Carleton University in Ottawa (PDF) zu einem ähnlichen Ergebnis. Die meisten Angriffsmethoden würden durch regelmäßige Passwort-Änderungen nicht unwirksam. Der Nutzen sei "bestenfalls relativ gering" und rechtfertige den Mehraufwand nur in Ausnahmefällen.