DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Pass­wort­wechsel-Was ist zu beachten

Das „Passwort-Wechsle-Dich-Spiel“

Über sichere Pass­wörter wurde in diesem Forum – und auch in anderen Medien – schon viel geschrieben. Ein Punkt, der dabei oft genannt wird, ist die Auf­for­derung sein Passwort regel­mäßig zu ändern.

Fast schon tra­di­tionell gibt es dazu seit einigen Jahren immer am 1. Februar den „Natio­nalen Ändere-Dein-Passwort-Tag“. Nachdem auch das Bun­desamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) in den letzten Jahren einen regel­mä­ßigen Pass­wort­wechsel emp­fohlen hat, ist in der 2020er-Ausgabe des BSI-Grun­d­­schutz-Kom­­pen­­diums im Kapitel zur Regelung des Pass­wort­ge­brauchs (ORP.4.A8) diese Emp­fehlung nicht mehr zu finden.

Was ist hier pas­siert? Wurde das Kapitel schlicht ver­gessen oder ist das BSI Vor­reiter einer neuen Phi­lo­sophie beim Passwort-Management?
Genauer betrachtet ist diese deutsche Behörde fast einer der letzten, die dieses Thema hat fal­len­ge­lassen. In der Security-Com­­munity hat sich schon seit langer Zeit durch­ge­setzt, eine regel­mäßige Passwort-Änderung nicht zu fordern. Behörden in anderen Ländern ver­zichten in ihren Vor­gaben schon seit meh­reren Jahren darauf.

War es denn früher falsch sein Passwort regel­mäßig zu ändern?
Nein, nicht falsch aber der Mensch und damit auch ein Anwender neigt zur Bequem­lichkeit. Das führt dann dazu, dass beim auf­ge­zwun­genen Pass­wort­wechsel, ein Schema ver­wendet wird (Password01, Password02, Password03, …) oder die Pass­wörter auf Zettel geschrieben und z.B. auf den Monitor oder unter den Tisch geklebt werden. Auch neigt der Mensch dazu, zu ver­suchen „intel­li­gente“ Systeme aus­zu­tricksen, die z.B. bereits ver­wendete Pass­wörter oder „num­me­rierte“ Pass­wörter ablehnen.
Warum gibt es dann den „Ändere-Dein-Passwort-Tag“?
Der Sinn dahinter war die Angst, ein Passwort könnte von Angreifern mit viel Rechen­leistung errechnet oder über lange Zeit einfach pro­biert werden („Brute Force-Angriff“). Mit immer leis­tungs­fä­hi­geren CPUs sank in den letzten Jahren die Zeit für die Berechnung von ver­schlüs­selten Pass­wörtern. Gefährdet sind dadurch kurze, nur wenige Zeichen lange Passwörter.
Besteht denn diese Gefahr heut­zutage nicht mehr?
Doch, aber das gilt für kurze Pass­wörter. Bei aus­rei­chend langen und gut gewählten Pass­wörtern dauert es Jahr­hun­derte bis Jahr­tau­sende bevor so ein Passwort berechnet werden kann. Dann braucht man aber auch nicht alle drei Monate sein Passwort zu ändern. Aktuell werden Pass­wort­längen von 12 bis 20 Zeichen emp­fohlen, abhängig von der Kri­ti­ka­lität der Daten. Die Ver­wendung von Zahlen, Son­der­zeichen, etc. in Pass­wörtern erhöht die Kom­ple­xität und damit die Berech­nungszeit, wich­tiger ist aber die Länge des Passworts.
Muss ich also zukünftig mein Passwort nie mehr ändern?
Nein, spä­testens wenn das Passwort in fremde Hände gerät oder auch nur der Ver­dacht besteht, das Passwort ist nicht mehr sicher, muss das Kennwort geändert werden. In dem Fall sollte man dringend sein aktu­elles Password in ein neues, langes und sicheres Kennwort ändern.
Wie sieht es mit den anderen Emp­feh­lungen zur Pass­wort­si­cherheit aus?
Wei­terhin gilt: Nie das gleiche Passwort für ver­schiedene Zugänge ver­wenden, denn Sie müssen sich auf die Sicherheit des­je­nigen Ver­lassen, dem Sie ihr Passwort anver­trauen. Wenn dann bei einem Zugang ein Daten­schutz­problem auf­tritt, sind alle ihre anderen Zugänge auch gefährdet. Das macht die Passwort-The­­matik natürlich wieder schwierig, da auch hier der „mensch­liche Faktor“ zuschlägt. Und die Ver­wendung von „durch­num­me­rierten“ Pass­wörtern für unter­schied­liche Zugänge (Password01, Password02, Password03, usw.) ist genauso schlecht, wie beim Pass­wort­wechsel. Es ist für eine Maschine einfach, solche Pass­wörter zu gene­rieren und auto­ma­ti­siert zu prüfen.
Gibt es denn keine Lösung für dieses Problem des „mensch­lichen Faktors“?
Zual­lererst sollte jedem eines bewusst sein: Sicherheit und Bequem­lichkeit glei­cher­maßen sind nicht leicht ver­einbar. Es ist immer ein­facher sich ein 3‑stelliges Passwort für alle seine Zugänge zu merken, als 20-stellige, zufällig gene­rierte Pass­wörter für jeden ein­zelnen Zugang zu ver­wenden. Es gibt dazu aber Hilfs­mittel. Ein Ansatz für Firmen sind Token-basierte Systeme mit zen­tralen Servern, bei denen der Zugang durch eine tem­poräre, auto­ma­ti­siert erzeugte Zei­chen­folge frei­ge­schalten wird. Eine andere Lösung sind Passwort-Manager. In Firmen werden dazu zen­trale Systeme ver­wendet, die mehrere Pass­wörter von ver­schie­denen Benutzern spei­chern. Der Anwender muss sich dann nur ein Passwort merken, mit deren Hilfe die ver­schie­denen Pass­wörter für die ein­zelnen Systeme frei­ge­schaltet werden. Diese Passwort-Manager gibt es aber auch für den Ein­zel­an­wender. Auch hier muss sich der Benutzer eben­falls nur ein Passwort merken um Zugang zu den im Passwort-Manager gespei­cherten Code­wörtern zu erhalten.

Fazit:

Regeln nützen nur dann etwas, wenn sie ein­ge­halten werden und nicht ver­sucht wird sie zu umgehen. In der Theorie ist die regel­mäßige Änderung von Pass­wörtern noch immer keine schlechte Idee – falls man bei jedem Pass­wort­wechsel lange und sichere Pass­wörter ver­wendet. Prak­tisch muss man aber die Bequem­lichkeit des Men­schen berück­sich­tigen – und die Bereit­schaft des Anwenders seinen Beitrag dazu leisten zu wollen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Roland Wagner, DATEV eG

Dipl. Inf. (Univ); OSSTMM Pro­fes­sional Security Tester (OPST zer­ti­fi­ziert seit 2011). Roland Wagner ist seit 1999 bei der Datev im Umfeld Inter­net­dienste und IT-Security tätig. Hier beschäftigt er sich haupt­sächlich mit Sicher­heits­un­ter­su­chungen und IT-Forensik.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.