Wie oft sollte man Passwörter ändern?
06. Mai 2021
Verfasst von Julia Schreiber
Bild: © Mohamed Hassan - Pixabay
Der erste Donnerstag im Mai ist Welt-Passwort-Tag. Und mit dem 1. Februar als Ändere-dein-Passwort-Tag gibt es sogar noch einen zweiten Aktionstag für Passwörter. Allerdings lässt sich über letztgenannte Forderung diskutieren. Denn: Zu häufige Passwortwechsel können das Sicherheitsniveau sogar senken.
Vor einigen Jahren war es in den meisten Unternehmen gang und gäbe, dass Benutzer ihre Passwörter alle paar Wochen erneuern mussten. Mittlerweile raten Experten, darunter das BSI, von rein zeitgesteuerten Wechseln ab. Diese könnten dazu einladen, einfache Kombinationen zu verwenden. Vielmehr sollten Passwörter nur aus „validen Gründen“ erneuert werden, so das BSI.
Tipps für ein starkes Passwort
Einer dieser validen Gründe kann sein, dass das gewählte Passwort zu simpel ist. Ein Passwort sollte so komplex sein, dass es nicht leicht zu erraten ist. Die zehn beliebtesten Passwörter sind damit raus. Zugleich darf ein Passwort nicht zu kompliziert sein. Schließlich muss es der Benutzer regelmäßig verwenden und sich nicht gezwungen sehen, es aufzuschreiben (wie der Mitarbeiter des hawaiianischen Katastrophenschutzes, der diesen IT-Praxistipp sicherlich berücksichtigen wird nachdem sein Passwort-Merkzettel viral ging).
Folgende Grundsätze verbessern die Passwortsicherheit:
- Die Zeichenlänge sollte mindestens 8 Zeichen sein, als Richtwert gelten 12-16 Zeichen.
Ein simples, achtstelliges Passwort bestehend aus Kleinbuchstaben wird rechnerisch in einer sogenannten Brute-Force-Attacke binnen 20 Minuten geknackt. - Alle verfügbaren Zeichen verwenden. Nicht zu empfehlen ist es, einfach 1, ?, ! oder # an ein Wort anzuhängen – dennoch sollte die Zeichen auf gängigen Tastaturen verfügbar sein.
Um beim gewählten Beispiel zu bleiben: Besteht ein achtstelliges Passwort aus Klein- und Großbuchstaben sowie Ziffern, wird es rechnerisch „erst“ nach 14 Tagen geknackt. - Individuelle Passwörter für unterschiedliche Anwendungen verwenden. Varianten wie InterConnect-2020 und InterConnect-2021 sind dabei vollkommen ungeeignet.
- Einen persönlichen Bezug vermeiden, d.h. der Firmenname, Geburtsdaten oder wichtige Termine, der Name des Partners, der Lieblingssportverein und Orte sind tabu – viele dieser Informationen sind dank der sozialen Netzwerke öffentlich.
- Einsatz von Tools: Maßnahmen wie eine Multi-Faktor-Authentifizierung erhöhen das Sicherheitsniveau. Bei einer großen Zahl komplexer Passwörter kann ein Passwortmanager sinnvoll sein – auch dieser muss vor dem Zugriff Unbefugter geschützt werden!
Wie oft ein Passwort geändert werden sollte oder muss, ist also abhängig von dessen Qualität – aber auch den Möglichkeiten der IT-Abteilung. Das BSI gibt IT-Administratoren in seinem aktuellen IT-Grundschutz-Kompendium einen wichtigen Hinweis: „Es müssen Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so sollte geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.“
Eine Standardvorgehen gibt es beim Passwortschutz also nur bedingt. Was wir Ihnen uneingeschränkt empfehlen, ist die Sensibilisierung Ihrer Kolleginnen und Kollegen für das Thema. Nutzen Sie gerne unsere Grafik:
Gerne beraten wir Sie umfassend zum Thema IT-Sicherheit und wie Sie in Ihrem Unternehmen zum Beispiel mit Security-Awareness-Trainings für ein höheres Sicherheitsniveau sorgen. Oder benötigt Ihre Infrastruktur einen Check? Fordern Sie jetzt eine kostenlose Beratung an.
