Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Passwortwechsel-Was ist zu beachten
Das „Passwort-Wechsle-Dich-Spiel“
Über sichere Passwörter wurde in diesem Forum – und auch in anderen Medien – schon viel geschrieben. Ein Punkt, der dabei oft genannt wird, ist die Aufforderung sein Passwort regelmäßig zu ändern.
Fast schon traditionell gibt es dazu seit einigen Jahren immer am 1. Februar den „Nationalen Ändere-Dein-Passwort-Tag“. Nachdem auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in den letzten Jahren einen regelmäßigen Passwortwechsel empfohlen hat, ist in der 2020er-Ausgabe des BSI-Grundschutz-Kompendiums im Kapitel zur Regelung des Passwortgebrauchs (ORP.4.A8) diese Empfehlung nicht mehr zu finden.
Was ist hier passiert? Wurde das Kapitel schlicht vergessen oder ist das BSI Vorreiter einer neuen Philosophie beim Passwort-Management?
Genauer betrachtet ist diese deutsche Behörde fast einer der letzten, die dieses Thema hat fallengelassen. In der Security-Community hat sich schon seit langer Zeit durchgesetzt, eine regelmäßige Passwort-Änderung nicht zu fordern. Behörden in anderen Ländern verzichten in ihren Vorgaben schon seit mehreren Jahren darauf.
War es denn früher falsch sein Passwort regelmäßig zu ändern?
Nein, nicht falsch aber der Mensch und damit auch ein Anwender neigt zur Bequemlichkeit. Das führt dann dazu, dass beim aufgezwungenen Passwortwechsel, ein Schema verwendet wird (Password01, Password02, Password03, …) oder die Passwörter auf Zettel geschrieben und z.B. auf den Monitor oder unter den Tisch geklebt werden. Auch neigt der Mensch dazu, zu versuchen „intelligente“ Systeme auszutricksen, die z.B. bereits verwendete Passwörter oder „nummerierte“ Passwörter ablehnen.
Warum gibt es dann den „Ändere-Dein-Passwort-Tag“?
Der Sinn dahinter war die Angst, ein Passwort könnte von Angreifern mit viel Rechenleistung errechnet oder über lange Zeit einfach probiert werden („Brute Force-Angriff“). Mit immer leistungsfähigeren CPUs sank in den letzten Jahren die Zeit für die Berechnung von verschlüsselten Passwörtern. Gefährdet sind dadurch kurze, nur wenige Zeichen lange Passwörter.
Besteht denn diese Gefahr heutzutage nicht mehr?
Doch, aber das gilt für kurze Passwörter. Bei ausreichend langen und gut gewählten Passwörtern dauert es Jahrhunderte bis Jahrtausende bevor so ein Passwort berechnet werden kann. Dann braucht man aber auch nicht alle drei Monate sein Passwort zu ändern. Aktuell werden Passwortlängen von 12 bis 20 Zeichen empfohlen, abhängig von der Kritikalität der Daten. Die Verwendung von Zahlen, Sonderzeichen, etc. in Passwörtern erhöht die Komplexität und damit die Berechnungszeit, wichtiger ist aber die Länge des Passworts.
Muss ich also zukünftig mein Passwort nie mehr ändern?
Nein, spätestens wenn das Passwort in fremde Hände gerät oder auch nur der Verdacht besteht, das Passwort ist nicht mehr sicher, muss das Kennwort geändert werden. In dem Fall sollte man dringend sein aktuelles Password in ein neues, langes und sicheres Kennwort ändern.
Wie sieht es mit den anderen Empfehlungen zur Passwortsicherheit aus?
Weiterhin gilt: Nie das gleiche Passwort für verschiedene Zugänge verwenden, denn Sie müssen sich auf die Sicherheit desjenigen Verlassen, dem Sie ihr Passwort anvertrauen. Wenn dann bei einem Zugang ein Datenschutzproblem auftritt, sind alle ihre anderen Zugänge auch gefährdet. Das macht die Passwort-Thematik natürlich wieder schwierig, da auch hier der „menschliche Faktor“ zuschlägt. Und die Verwendung von „durchnummerierten“ Passwörtern für unterschiedliche Zugänge (Password01, Password02, Password03, usw.) ist genauso schlecht, wie beim Passwortwechsel. Es ist für eine Maschine einfach, solche Passwörter zu generieren und automatisiert zu prüfen.
Gibt es denn keine Lösung für dieses Problem des „menschlichen Faktors“?
Zuallererst sollte jedem eines bewusst sein: Sicherheit und Bequemlichkeit gleichermaßen sind nicht leicht vereinbar. Es ist immer einfacher sich ein 3‑stelliges Passwort für alle seine Zugänge zu merken, als 20-stellige, zufällig generierte Passwörter für jeden einzelnen Zugang zu verwenden. Es gibt dazu aber Hilfsmittel. Ein Ansatz für Firmen sind Token-basierte Systeme mit zentralen Servern, bei denen der Zugang durch eine temporäre, automatisiert erzeugte Zeichenfolge freigeschalten wird. Eine andere Lösung sind Passwort-Manager. In Firmen werden dazu zentrale Systeme verwendet, die mehrere Passwörter von verschiedenen Benutzern speichern. Der Anwender muss sich dann nur ein Passwort merken, mit deren Hilfe die verschiedenen Passwörter für die einzelnen Systeme freigeschaltet werden. Diese Passwort-Manager gibt es aber auch für den Einzelanwender. Auch hier muss sich der Benutzer ebenfalls nur ein Passwort merken um Zugang zu den im Passwort-Manager gespeicherten Codewörtern zu erhalten.
Fazit:
Regeln nützen nur dann etwas, wenn sie eingehalten werden und nicht versucht wird sie zu umgehen. In der Theorie ist die regelmäßige Änderung von Passwörtern noch immer keine schlechte Idee – falls man bei jedem Passwortwechsel lange und sichere Passwörter verwendet. Praktisch muss man aber die Bequemlichkeit des Menschen berücksichtigen – und die Bereitschaft des Anwenders seinen Beitrag dazu leisten zu wollen.
Dipl. Inf. (Univ); OSSTMM Professional Security Tester (OPST zertifiziert seit 2011). Roland Wagner ist seit 1999 bei der Datev im Umfeld Internetdienste und IT-Security tätig. Hier beschäftigt er sich hauptsächlich mit Sicherheitsuntersuchungen und IT-Forensik.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare