Sa, 18. August 2018

Expertin klärt auf:

09.08.2016 08:20

Zwang zum häufigen Passwort-Tausch bringt nichts

Arbeitgeber und Bildungseinrichtungen zwingen IT-Anwender häufig alle paar Monate zum Passwort-Wechsel. Dies geschieht offiziell aus Sicherheitsgründen: Wer sein Passwort oft wechselt, kann nicht so leicht gehackt werden, so der Gedanke. Er ist allerdings falsch: Auf der Hacker-Konferenz Bsides in Las Vegas haben sich Experten gegen erzwungene Passwortwechsel ausgesprochen, weil diese die Sicherheit schlimmstenfalls sogar verringern können.

Der Grund: Wie das Wirtschaftsmagazin "Business Insider" unter Berufung auf die IT-Expertin Lorrie Cranor von der US-Handelskammer FTC berichtet, neigen Anwender beim Zwang zum Passwort-Wechsel dazu, immer wieder die gleichen Passwörter in leicht veränderter Form zu nutzen. Mal wird beim Passwortwechsel ein Großbuchstabe durch einen Kleinbuchstaben ersetzt, mal hinten eine Zahl hinzugefügt. Ein vollständiger Passwort-Tausch findet dagegen nur selten statt.

Das spielt Cyberkriminellen in die Hände, die das Passwort eines Nutzers knacken wollen. Sie berücksichtigen beim Programmieren von Passwort-Crackern längst, dass viele Menschen mehrere Varianten eines einzelnen Passwortes verwenden - und versuchen es immer gleich mit mehreren Abwandlungen eines Passwortes, sogenannten "Transformationen".

Häufiger Wechsel begünstigt schlechte Kennwörter
Der Zwang zum Passwortwechsel begünstige letztlich schwache Passwörter, warnt auch der Sicherheitsexperte Bruce Schneider. Sinnvoller als das regelmäßige, aber meist nur halbherzig betriebene Ändern von Passwörtern sei deshalb, gleich ein längeres und damit sichereres Passwort für einen längeren Zeitraum zu verwenden.

Zum Muss wird der Passwort-Tausch aus Sicht von Experten erst, wenn bei einem Online-Dienst ein großes Datenleck auftritt und man sich dort mit einem - womöglich auch auf anderen Seiten genutzten - Passwort anmeldet, das in die falschen Hände gerät. Solche Fälle treten immer wieder auf - kürzlich etwa beim Business-Netzwerk LinkedIn.

Sicheres Kennwort ausdenken: So geht's
Damit Sie für Ihre Konten ein sicheres Passwort wählen, sollten Sie bei der Erstellung einige Regeln beachten. Wörter aus dem Wörterbuch sollten Sie meiden, stattdessen empfehlen sich mit Zahlen und Sonderzeichen entfremdete Worte oder gleich Sätze oder Wortketten, die man beispielsweise per Bindestrich trennt. Solche Passwort-Konstrukte sind wesentlich schwerer zu knacken als der Name des Haustiers oder des Partners.

Grundsätzlich sollte man kein Passwort zweimal nutzen, in der Praxis ist das für viele Nutzer aber kaum umsetzbar, weil sie sich so viele Passwörter nicht merken können. Abhilfe schaffen Passwort-Manager wie KeePass oder ordinäre Notizzettel, die natürlich sicher verwahrt werden müssen.

Wer nicht Dutzende Passwörter verwenden will, sollte zumindest mehrere Sicherheitsebenen einziehen und unterschiedliche Kennworte für unterschiedlich wichtige Dienste nutzen. Bei unwichtigen Konten kann man einfachere, bei wichtigen Konten mit sensiblen Infos schwerere Passwörter nutzen und so das Risiko minimieren, dass Hacker gleich mehrere Konten kapern.

Zwei-Faktor-Authentifizierung schützt zusätzlich
Ebenfalls empfehlenswert: Wenn ein Online-Dienst es anbietet, können Sie Ihr Konto mit Zwei-Faktor-Authentifizierung absichern. Hier wird - zusätzlich zum Passwort - eine zweite Sicherheitsebene in Form des Handys eingezogen.

Bei der Anmeldung wird dann neben dem Passwort ein Einmal-Code abgefragt, der auf das Handy geschickt wird. Will ein Angreifer das Konto übernehmen, braucht er also sowohl die Zugangsdaten, als auch - und das dürfte schwierig werden - das Handy des Nutzers. Diese zusätzliche Sicherheitsschicht wird bereits von vielen Diensten angeboten - etwa von Google, Microsoft und Yahoo, aber auch von Shopping-, Cloud- und Gaming-Anbietern.

Das könnte Sie auch interessieren

Kommentar schreiben

Sie haben einen themenrelevanten Kommentar? Dann schreiben Sie hier Ihr Storyposting! Sie möchten mit anderen Usern Meinungen austauschen oder länger über ein Thema oder eine Story diskutieren? Dafür steht Ihnen jederzeit unser krone.at-Forum, eines der größten Internetforen Österreichs, zur Verfügung. Sowohl im Forum als auch bei Storypostings bitten wir Sie, unsere AGB und die Netiquette einzuhalten!
Diese Kommentarfunktion wird prä-moderiert. Eingehende Beiträge werden zunächst geprüft und anschließend veröffentlicht.

Kommentar schreiben
500 Zeichen frei
Kommentare
324

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Aktuelle Schlagzeilen

Newsletter

Melden Sie sich hier mit Ihrer E-Mail-Adresse an, um täglich den "Krone"-Newsletter zu erhalten.