Häufige Passwortwechsel sind kontraproduktiv

Die bisherigen Regeln zu Kennwörtern für Benutzerkonten (häufig wechseln, komplexe Passwörter) zur Erhöhung der Sicherheit sind möglicherweise kontraproduktiv.


Anzeige

Anwendern wird eingetrichtert, häufig ihre Kennwörter für Konten zu wechseln und diese Kennwörter lang, komplex und möglichst einzigartig zu wählen. Manchmal werden auch Kennwortregeln von Administratoren festgelegt, dass die Kennwörter alle 30, 60 oder 90 Tage automatisch ablaufen.

Die täglich bekannt gewordenen Hacks scheinen dem häufigen Kennwortwechsel Recht zu geben. Gelangen Anmeldedaten in fremde Hände, sind diese spätestens nach dem nächsten Kennwortwechsel nicht mehr verwendbar. So weit die eine Seite der Medaille.

Wer sich einer solchen Regel unterziehen musste, kennt aber auch die andere Seite der Medaille. Man hat zig Konten und ist nur am ändern der Kennwörter, am nachdenken, welches Kennwort man nun nehmen könnte. Und dann hat man das Kennwort bei der nächsten Anmeldung doch vergessen. Also werden die Kennwörter aufgeschrieben, in Password-Tresoren gespeichert und so weiter. Ein gehackter oder gelöschter Password-Tresor ist dann der GAU für den Nutzer.

Nun haben sich Wissenschaftler mit der Frage befasst, ob häufige Kennwortwechsel die Sicherheit erhöhen. Zwischenzeitlich gibt es Studien, die zeigen, dass der Zwang zum Passwortwechsel eher kontraproduktiv ist. Aus einem Kennwort tarheels#1 macht der Benutzer vielleicht tArheels#1 oder tArheels#3, denn irgend eine Eselsbrücke braucht der Mensch, um sich das Kennwort zu merken.

Lorrie Cranor, FTC Chief Technologist, hat das Thema auf der PasswordsCon 2016 (Unterveranstaltung der Bsides-Konferenz) angesprochen und entsprechende Informationen präsentiert. Neue Ergebnisse von Sicherheitsstudien zeigen, dass Kennwortwechsel die Sicherheit nicht erhöhen sondern eher schwächen. Bei Interesse lassen sich einige Details in diesem Arstechnica-Artikel (Englisch) nachlesen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Häufige Passwortwechsel sind kontraproduktiv

  1. Fred sagt:

    Na endlich sagts mal einer! Etwas wird nicht wahrer, nur weils ständig wiederholt wird. Das Gleiche haben wir bei den Treibern: immer die neusten Treiber updaten. Totaler Quatsch! Es kommt zu oft vor – wie es beispielsweise bei Logitech der Fall ist, falls es bei Logitech überhaupt je einen Treiber gegeben hat, der etwas Wert ist – dass ein neuer Treiber mehr Probleme macht, als der alte. – Es gilt am Computer wie im Leben: Selber denken ist gefragt, dann kommt man am weitesten.

  2. Roland H. sagt:

    Also ich für meinen Teil werden bei wichtigen Konten (Email, Paypal, Amazon etc. ) trotzdem die Passwörter turnusmäßig ändern.

  3. ein-leser sagt:

    Passwörter ändern macht sehr wohl Sinn nur ist diese Studie für normale Nutzer ausgelegt die keinen Passwortmanager nutzen und dann durch ständiges Passwortwechsel unsichere Passwörter verwenden da diese einfacher zu merken sind.

    Für den Pro Nutzer hingegen bietet das wechseln von sicheren Passwörtern – gespeichert in einem Passwortsafe hingegen Sicherheit.

    • Nils sagt:

      Der Pro Nutzer ist auch nicht das Problem, sondern die vielen Lieschen Müller in der Firmen. In vielen Unternehmen war es lange gang und gäbe das Passwort 1x pro Monat ändern zu müssen. Das Ganze dann für Windows und SAP usw. Und das Passwort muss natürlich komplex sein, darf nicht in Wörterbüchern vorkommen und auch nicht das gleiche sein wie die letzten 5x.

      Folge? Das Passwort klebt unter der Tastatur.
      Deswegen sind wir in der Firma dazu übergegangen, dass das Passwort 5 Jahre gültig ist. Dafür aber eben nach wie vor Komplex sein muss und in keinem Wörterbuch auftauchen darf.

  4. Nobody sagt:

    Passwörter habe ich noch nie gewechselt und hatte diesbezüglich auch noch nie Probleme. Ständiger Passwortwechsel ist Hokuspokus auf hohem Niveau.
    Grüße

  5. chapeau sagt:

    Es kommt immer drauf an, wie mans ändert. Wenn wie im Beispiel oben ist es Unsinn, logo, kann man sich dann schenken. Ist jetzt aber auch nix neues und wenig überraschend.
    Wenn richtig geändert und sinnvoll gespeichert(= nicht find- und knackbar), ist das sehr wohl extrem sinnvoll.
    Man muss halt wissen, was man macht, und wie… ;)

  6. Das Problem ist, das die meisten Leute nur ein einziges Passwort benutzen, ein Passwort für den Email Account inkl. aller Dienste die mit dem Account verknüpft sind, falls einer der Dienste gehackt wird können die Hacker meist auch gleich den Email Übernehmen inkl. der Dienste die mit diesem Account verknüpft sind, sollte jedem eigentlich einleuchtend sein.

    Die Mischung machts, für jeden Email Account ein eigenes Passwort und für jeden Dienst der mit dem Email Account verbunden ist ebenfalls ein eigenes Passwort, somit lassen sich keine Rückschlüsse ziehen.

    Und ich hab derzeit 10 Email Adressen und drei Firmen Accounts mit ungefähr 245 Unterschiedlichen Diensten, sind also ne ganze menge unterschiedlicher Passwörter die ich zu verwalten habe.

  7. Ralph sagt:

    Ich schließe mich meinen Vorrednern an und spinne den Gedanken sogar noch ein wenig weiter.
    Kennwörter werden in mehr oder minder regelmäßigen Abständen geändert. Dabei aber sind die Änderungen selbst trivial. Ändere ich nun, wie im Beispiel oben mein Kennwort bei irgendeinem Dienst, so kann vom Betreiber des Dienstes durchaus abgeleitet werden, wie ich bei Kennwortänderungen und auch bei Kennworterstellungen vorgehe. Wenn man nun noch bedenkt, dass es keine gesetzliche und zudem überprüfbare Regelung gibt, die einen Betreiber verpflichtet, Kennwörter grundsätzlich verschlüsselt abzulegen und das auf eine Art, die eine Entschlüsselung unmöglich macht, dann haben wir den Salat. Ich möchte nicht wissen, wie viele Foren es gibt, deren einziger Zweck tatsächlich in der Beschaffung von Kennwörtern und vor allem von Mailadressen besteht. Da ich mir Dank eigener Domain den Luxus leisten kann, erstelle ich in der Tat für jeden Dienst auch eine eigene Mailadresse. So lässt sich dann auch sehr schnell herausfinden, wer mit solchen privaten Daten wie Mailadressen nicht ordentlich umgeht, wenn dann plötzlich exakt nur ein Postfach von Spam geflutet wird…

  8. Martin sagt:

    Es schien mir schon immer ausgesprochen paradox, ein Passwort auf irgendeinem PC zu speichern.
    Deswegen werden hier, seit eh und je, Passwörter, ganz klassisch, in ein Notizbuch eingetragen.
    Ja, ein Notizbuch aus Papier !

Schreibe einen Kommentar zu 1ei Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.