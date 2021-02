Es gibt vieles, das ich mir für den heutigen 1. Februar auf meine Todo-Liste gesetzt habe, aber das Ändern meiner Passwörter gehört sicher nicht dazu. Warum auch? Der vor ein paar Jahren auf dieses Datum festgesetzte "Ändere-Dein-Passwort-Tag" gehört abgeschafft und hätte erst gar nicht erfunden werden dürfen.

Ein Kommentar von Ronald Eikenberg Ronald Eikenberg schreibt seit 2008 als Redakteur für das c't Magazin über IT-Sicherheit und ist Mitglied des Investigativteams.

Denn wer seine Passwörter regelmäßig und ohne aktuellen Anlass ändert, der macht sich nicht nur unnötig Arbeit, er wird auch dazu verleitet, einfache Passwörter zu verwenden. Denn wie soll man sich die neuen Passwörter sonst für die nächsten 12 Monate merken? Allein die Aufforderung "Ändere Dein Passwort!" klingt schon verdammt falsch, schließlich hat man im Idealfall nicht nur eins davon, sondern richtig viele.

Ein Fall für den Manager

Ein Passwort ist nicht sicher, weil es jährlich geändert wird oder besonders lang und möglichst kompliziert einzutippen ist. Ein sicheres Passwort ist einzigartig, es passt also nur bei einem Online-Dienst. Und weil man sich unmöglich für jeden Dienst ein Passwort merken kann (Kudos, falls Sie es doch schaffen!), nutzt man am besten einen Passwort-Manager, der gut auf die Dinger aufpasst. Das muss kein abgefahrener Cloud-Dienst wie LastPass sein, ein lokal laufendes KeePass erfüllt seinen Zweck. Und wer den digitalen Passwort-Safes nicht über den Weg traut, der schreibt seine Passwörter einfach auf einen Zettel, der im echten Safe liegt. Spoiler: Da kommt kein Trojaner ran.

Dazu sollte man die Zwei-Faktor-Authentifizierung (2FA) einschalten, wann immer es geht. Dann muss man beim Einloggen nicht nur das Passwort eintippen, sondern auch einen Einmalcode (One-Time Password/OTP). Den bekommt man zum Beispiel von einer Smartphone-App wie dem Google Authenticator oder andOTP. Da man bei den meisten Diensten eingeloggt bleibt, fällt dieser Mehraufwand pro Gerät nur einmal an. Der Sicherheitsgewinn ist hingegen gigantisch: Selbst wenn ein Angreifer das Passwort “klaut”, kann er nichts damit anfangen. Er scheitert beim Login-Versuch an der Eingabe des OTP-Codes.

Starke Passwörter mit Augenmaß

Also nie wieder lang und kompliziert? Nicht ganz: Es gibt Ausnahmen. Wenn das Passwort nicht nur zur Authentifizierung dient, sondern damit tatsächlich Daten verschlüsselt werden, dann kommt es weiterhin auf die Länge an. Verschlüsseln Sie zum Beispiel die Systemplatte mit VeraCrypt, dann vergrößert jedes zusätzliche Zeichen den "Knackaufwand". Im Idealfall katapultieren Sie den Zeitpunkt, an dem ein Unbefugter auf Ihre verschlüsselten Daten zugreifen kann, damit Millionen Jahre in die Zukunft. Ihrem Facebook- oder Clubhouse-Account tun Sie mit einem Monster-Passwort aber nichts Gutes.

Und was ist jetzt mit dem Ändern der Passwörter? Das ist nur nötig, wenn es einen Anlass gibt. Und nein, der "Ändere-Dein-Passwort-Tag" ist keiner. Wenn Sie das Gefühl haben, dass Ihr Passwort in die falschen Hände geraten ist, dann haben Sie einen Anlass. Oder wenn ein Dienst gehackt und Ihr altes Passwort gesperrt wurde. Oder wenn Ihnen beim Lesen dieser Zeilen aufgefallen ist, dass Sie fast überall das gleiche Passwort einsetzen. Dann haben Sie sicher auch einen Anlass.

Ersatztermin

Streichen Sie den Ändere-Dein-Passwort-Tag bitte aus Ihrem Kalender. Die Leere füllen Sie am besten mit einem neuen wiederkehrenden Termin, nämlich dem Verwalte-Deine-Passwörter-Tag am 30. Januar, den mein Kollege Marvin Strathmann einst ins Leben gerufen hat. Erzählen Sie es bitte weiter. Gemeinsam schaffen wir es, den 1. Februar aus dem kollektiven Gedächtnis zu löschen!

