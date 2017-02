(Bild: dpa, Julian Stratenschulte/Archiv)

Ist es sinnvoll, sein Passwort regelmäßig und vorsichtshalber zu ändern? Was in einigen Firmen verpflichtent ist, ist in Security-Kreisen umstritten. Unter Umständen kann das sogar kontraproduktiv sein.

In einer aktuellen Pressemeldung zum "Ändere-dein-Passwort-Tag" des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist hauptsächlich von individuellen und komplexen Passwörtern die Rede. Die Änderung eines Kennwortes empfiehlt das BSI nur für den Ernstfall; also wenn klar ist, dass ein Online-Dienst Opfer einer Hacker-Attacke geworden ist.

In einigen Firmen gibt es die Vorschrift, dass Mitarbeiter regelmäßig ihr Passwort ändern müssen. Das kann unter Umständen hilfreich sein, wenn zum Beispiel ein Netzwerk bereits kompromittiert ist: Durch den regelmäßigen Passwortwechsel sperrt man Angreifer immer wieder aus.



Doch der britischen Communications Electronics Security Group (CESG), eine Abteilung des Nachrichtendiensts GCHQ, zufolge, führe das in der Praxis nicht zu höherer Sicherheit. Mitunter könnte eine derartige Anordnung sogar ein Sicherheitsrisiko darstellen: Damit man sich Passwörter einfacher merken kann, neigt man dazu, das gleiche Passwort für mehrere Dienste zu verwenden oder Passwörter nur minimal zu ändern. Ein zwangsweise neu gewähltes Passwort ähnelt also oft dem vorherigen.



"Dumme Nutzer mit schwachen Passwörtern"



Passwörter können an vielen Stellen ein Sicherheitsproblem sein – doch nicht immer ist der Nutzer mit seinem schwachen Kennwort Schuld. Vielmehr sollte man die Anbieter von Online-Diensten in die Pflicht nehmen, Passwörter auf ihren Servern sicher abzulegen. Schließlich vertraut man den Diensten seine persönlichen Daten an.



Oft liegen Passwörter dort im schlimmsten Fall im Klartext oder nur unzureichend geschützt, etwa mit den schon lange als unsicher geltenden Hash-Verfahren MD5/SHA1. Für einen effektiven Kennwort-Schutz sollte bcrypt oder PBKDF2 zum Einsatz kommen.



Zudem sollten Anbieter von Online-Diensten ihre Passwortfelder effektiver vor Brute-Force-Angriffen schützen. Etwa das Verzögern vor einer erneuten Passwort-Eingabe nach einer Fehleingabe bewährt sich an dieser Stelle. Zudem gibt es schwache Passwort-Reset-Mechanismen, über die man Passwörter abfangen könnte. (des)