Passwörter regelmäßig ändern: Wie oft ist das sinnvoll?
Viele Ratgeber zu Cybersicherheit rieten in der Vergangenheit zu routinemäßigem Austausch von Passworten, z.B. alle 30 Tage. Diese Empfehlungen haben auch den Weg in manche Unternehmensrichtlinie gefunden. Bringt dies jedoch einen Mehrwert?
Der Zweck eines Passwortes ist einen Zugang gegen unbefugten Zugriff abzusichern – dafür muss es so lang wie möglich sein. Zu kurze Passworte lassen relativ schnell erraten, hier berechnen wir die Anzahl Möglichkeiten – die Entropie des Passworts – einmal aus. So ist ein schlechtes Passwort innerhalb von Sekunden bis Stunden zu brechen, ein langes Passwort von zwölf Zeichen oder mehr braucht jedoch Hundertausende von Jahren mit aktuellen Computern. Hier sehen wir bereits, dass die Idee eines regelmäßigen Passwort-Wechsels in der Praxis keinen Mehrwert bringt. Wenn es zu kurz war, wurde mein Passwort bereits lange geknackt bevor die 30 Tage um waren und mein Account durch Kriminelle übernommen. Wenn mein Passwort sehr lang und damit stark war, ist die Wahrscheinlichkeit, dass es durch ausprobieren innerhalb eines Monats gefunden wird, sehr gering. Durch einen regelmäßigen Wechsel verbessere ich meine Sicherheit in der Praxis damit nicht signifikant. Aus diesem Grund ist die Empfehlung zum regelmäßigen Passwort-Wechsel in den letzten Jahren aus vielen offiziellen Vorgaben und Standards bereits verschwunden.
Es gibt jedoch Situationen, bei denen ein Passwortwechsel durchgeführt werden sollte:
- Verlust des Passworts: Wenn mein Passwort evtl. in die falschen Hände gelangt ist, z.B. weil ich auf einen Phishing Link geklickt habe und dort meine Benutzerdaten eingegeben habe. In diesem Fall sollten Sie dieses Passwort sofort austauschen – denn Kriminelle übernehmen sonst automatisiert Ihren Account innerhalb von kurzer Zeit.
- Kompromittierung eines Dienstes: Bei Einträgen in Ihrem Leak Report sollten Sie unmittelbar Ihr Passwort auf den kompromittierten Seiten ändern – andernfalls können sich die Angreifer auch in Zukunft in diese Onlinedienste unter Ihrem Account einwählen. Durch einen Passwort Wechsel sperren Sie also die Angreifer aus. Sollten Sie das Passwort auch anderswo verwenden (lesen Sie hier dazu mehr), so müssen Sie dieses Passwort auch auf allen anderen Seiten im Internet austauschen.
- Personelle Veränderung bei geteilten Passworten: In vielen Unternehmen und auch im privaten Umfeld (z.B. einem Sportverein) kommen geteilte Gruppenpassworte zu Einsatz. Alle im Vorstand des Vereins haben Zugriff auf das Vorstands-E-Mail Postfach, oder im Unternehmen wird das Konto für die Social Media Accounts des Unternehmens durch mehrere Mitarbeiter verwaltet. Gibt es eine personelle Änderung – jemand verlässt das Team - sollten Sie geteilte Passworte ändern und damit den Zugang nur für die berechtigten Personen sicherstellen.