20. Januar 2017, 11:41 IT-Sicherheit Warum es falsch ist, Passwörter regelmäßig zu ändern

Das Bauchgefühl sagt: alle paar Monate Kennwörter wechseln. Die Wissenschaft sagt: bringt nichts. Andere Methoden schützen viel besser.

Von Simon Hurtz
1616

Best of SZ.de 2016 - immer zum Jahresende sammeln wir die Lieblingsgeschichten der Redaktion, die am häufigsten von Lesern weiterempfohlen wurden. Diese Geschichte ist eine von ihnen. Alle lesen...

Sie sollten auf keinen Fall Namen oder Telefonnummer als Passwort verwenden. "123456" und "password" sind auch keine gute Idee. Denken Sie sich stattdessen lange, komplexe Codes aus, für jedes Nutzerkonto einen neuen. Vertrauen Sie einem Passwort-Manager. Ändern Sie Kennwörter regelmäßig.

Diese goldenen Regeln dürften fast alle Internetnutzer kennen. Aus zwei Gründen sind unsichere Passwörter trotzdem nach wie vor ein weit verbreitetes Problem: Erstens folgt aus Wissen nicht zwangsläufig Handeln - die mit Abstand beliebtesten Passwörter lauten noch immer "123456" und "password". Zweitens ist einer der Ratschläge Unsinn.

Auf den ersten Blick scheint die Kennwort-Regel sinnvoll

Anfang des Jahres twitterte die US-Handelskommission FTC: "Ermutigen Sie Ihre Freunde und Familie, Passwörter häufig zu ändern und sie lang, stark und einzigartig zu machen." Lorrie Cranor, erst kurz zuvor zur Technik-Chefin der FTC ernannt, wunderte sich über ihren neuen Arbeitgeber. "Ich bin zu den Social-Media-Beauftragten gegangen und habe sie darauf angesprochen", erzählte sie am Dienstag auf einer Sicherheitskonferenz in Las Vegas. Deren Antwort sei gewesen: "Es muss ein guter Ratschlag sein, weil wir bei der FTC unsere Passwörter alle 60 Tage ändern."

Unabhängig von dieser seltsamen Begründung scheint die Regel eigentlich sinnvoll. Häufig dauert es Monate oder gar Jahre, bis bekannt wird, dass Hacker Daten erbeutet haben. Derzeit werden im Darknet Hunderte Millionen Log-ins für Seiten wie Linkedin, Myspace, Tumblr und Yahoo verkauft. Alle Daten stammen aus Hacks, die mehrere Jahre zurückliegen. Wer in der Zwischenzeit sein Passwort geändert hat, muss nichts befürchten.

Regelmäßige Passwort-Wechsel bringen kaum zusätzliche Sicherheit

Doch die Wissenschaft widerspricht dem Bauchgefühl. Das Tech-Blog Ars Technica hat einige Studien zusammengetragen, die erklären, warum es relativ egal ist, wie häufig man Passwörter austauscht. Bereits 2010 haben Forscher der University of North Carolina at Chapel Hill (PDF) Daten von mehr als 10 000 ehemaligen Studenten und Uni-Mitarbeitern ausgewertet, die ihre Kennwörter regelmäßig ändern mussten, weil die Sicherheitsrichtlinien der Uni das so vorschrieben. Ihr Fazit: "Wir glauben, dass unsere Studie Zweifel aufwirft, ob es sinnvoll ist, Passwörter in Zukunft noch mit einer Art Verfallsdatum zu versehen."

IT-Sicherheit Warum Passwörter abgeschafft werden müssen
IT-Sicherheit

Warum Passwörter abgeschafft werden müssen

Sonderzeichen, Groß- und Kleinschreibung, Zahlen - und am Ende landen die Passwörter trotzdem bei Hackern. Was für ein Quatsch.   Von Hakan Tanriverdi

Die Vorsichtsmaßnahme erhöhe die Sicherheit nämlich nur dann, wenn jedes Mal ein komplett neues Kennwort vergeben werde, das nichts mit den vorhergehenden zu tun hat. Die Praxis schaut anders aus. "password" wird dann etwa zu "password1", "passw0rd" oder "pa$$word". Ein Großteil der Nutzer ändert Log-in-Daten nach solchen Mustern, die moderne Computer leicht vorhersagen können. Außerdem tendieren Menschen dazu, von Anfang an schwächere Passwörter zu vergeben, wenn sie wissen, dass sie es ohnehin bald wieder ändern werden.

Im vergangenen Jahr kamen Forscher der Carleton University in Ottawa (PDF) zu einem ähnlichen Ergebnis. Die meisten Angriffsmethoden würden durch regelmäßige Passwort-Änderungen nicht unwirksam. Der Nutzen sei "bestenfalls relativ gering" und rechtfertige den Mehraufwand nur in Ausnahmefällen.

Diese Studien haben offensichtlich auch die FTC überzeugt. Am Sonntag veröffentlichte sie "Passwort-Tipps und -Tricks für Fortgeschrittene". Im Gegensatz zu früheren Blogeinträgen fehlt die Empfehlung, häufig das Kennwort zu wechseln. Stattdessen heißt es jetzt: "Ändern Sie Ihr Passwort rasch, wenn es einen erfolgreichen Angriff gab." Damit orientiert sich die FTC an den Ratschlägen der Wissenschaftler: Im Ernstfall schnell handeln, aber nicht ohne konkreten Anlass.

Nach Meinung vieler Forscher sind Passwörter ohnehin keine wirklich empfehlenswerter Absicherung. Auch biometrische Verfahren haben ihre Schwächen, lange und komplexe Kennwörter schützen besser. Doch in der Realität nutzen die meisten Menschen leider schlechte Codes - im Vergleich dazu wären Fingerabdrucksensoren, Iris-Scanner oder Spracherkennungssoftware die sichere Varianten. Doch in der Realität wird es wohl noch lange dauern, bis niemand mehr Kennwörter tippen muss.

Mark Zuckerberg ist ein schlechtes Beispiel für Passwort-Tipps

Bis dahin bleibt es wichtig, ein sicheres Passwort zu wählen. So lange bleiben auch die erwähnten goldenen Regeln relevant. Seien Sie also einfallsreicher als Mark Zuckerberg - "dadada" schützt Ihren Account garantiert nicht zuverlässig. Wichtiger als möglichst viele Zahlen, Umlaute und Sonderzeichen zu kombinieren ist die Länge: Zwölf Zeichen sind um ein Vielfaches sicherer als acht. Wer mehr als eine Handvoll Konten hat und für jedes ein einzigartiges Kennwort vergeben will, ist entweder Gedächtniskünstler oder sollte über einen Passwort-Manager wie 1Password, Lastpass oder Keepass nachdenken.

Der vermutlich hilfreichste Tipp: Sichern Sie zumindest Accounts mit sensiblen oder wertvollen Daten (etwa E-Mail, Amazon, Paypal oder Onlinebanking) mit Hilfe der Zwei-Faktor-Authentifizierung. Damit ergänzen Sie das Passwort um einen zweiten Sicherheitscheck. Um sich einzuloggen, ist ein zusätzlicher Code nötig, den Sie beispielweise per SMS oder E-Mail geschickt bekommen oder in einer App auf Ihrem Smartphone einsehen können. Für Kriminelle wird das Passwort alleine damit wertlos - und für Nutzer werden regelmäßige Passwort-Wechsel noch unnötiger, als sie ohnehin schon sind.

Zwei-Faktor-Authentifizierung So sichern Sie Ihre Konten bei Facebook, Amazon und Google
Passwort-Sicherheit

So sichern Sie Ihre Konten bei Facebook, Amazon und Google

Nur ein Passwort reicht nicht. Wer seine Accounts besser schützen will, sollte Zwei-Faktor-Authentifizierung verwenden. Was das ist und was Nutzer beachten müssen.   Von Morten Luchtmann