5. Oktober 2016, 17:47 Uhr | Lesezeit: 3 Minuten
Seit Jahren predigen Datenschützer, dass wir regelmäßig unsere Passwörter ändern sollen, damit unsere Daten im Internet vor dem Zugriff Fremder geschützt sind. „Stimmt nicht“, sagen Forscher nun.
Der Blog „Ars Technica“ hat zu dem Thema einige Studien zusammengetragen. Das Ergebnis: Es ist relativ egal, wie häufig man sein Passwort verändert. Die Sicherheit wird dadurch nicht erhöht. Und auch die Sicherheitsexpertin Lorrie Cranor schließt sich dem an und erklärt den ständigen Passwort-Wechsel sogar zum „Feind der Sicherheit“.
Das größte Problem beim ständigen Passwortwechsel ist die Bequemlichkeit der User. Wer aufgefordert wird, sein Passwort zu ändern, der entscheidet sich häufig für ein nahezu gleiches Passwort wie bisher. Das ergaben Studien der Carleton University und der University of North Carolina.
„Passwort“ als Passwort?
In vielen Fällen wird nur eine Eins davor oder danach gesetzt. Auch typisch ist, Buchstaben in Zahlen oder Sonderzeichen umzuändern. Dann wird „Passwort“, was noch immer das beliebteste Passwort überhaupt ist, zu „Passw0rt“, „Pa$$wort“ oder zu „Passwort1“.
Solche kleinen Änderungen sind allerdings schon längst kein Problem mehr für moderne Computer. Sie erkennen die Zusammenhänge, das Passwort ist somit für Kriminelle leicht auslesbar.
Das häufige Ändern bringt also nur dann etwas, wenn ein komplett neues Passwort vergeben wird, das nichts mit dem vorherigen zu tun hat.
Top-Artikel zum Thema
Regelmäßiges Ändern erhöht Sicherheit nicht
Auch der regelmäßige Zwang, das Passwort erneuern zu müssen, führt nicht zu einer erhöhten Sicherheit. Das belegte bereits eine Studie der University of North Carolina at Chapel Hill aus dem Jahr 2010. Aufgrund der Sicherheitsrichtlinien der Universität mussten die Studenten und Mitarbeiter regelmäßig ihre Zugangsdaten ändern. Die Forscher werteten die Kennwörter von mehr als 10.000 ehemaligen Studenten und Uni-Mitarbeitern aus und bezweifeln, „ob es sinnvoll ist, Passwörter in Zukunft noch mit einer Art Verfallsdatum zu versehen“.
Außerdem tendieren Menschen dazu, von Anfang an schwächere Passwörter zu vergeben, wenn sie wissen, dass sie es ohnehin bald wieder ändern müssen.
Die Studien kommen zu dem Ergebnis, dass man nur im Fall eines besonderen Ereignisses sein Passwort ändern sollte. Wählen Sie daher besser ein starkes Passwort, das Sie sich merken können, anstatt es dauernd zu ändern.
Übrigens: Auf Grundlage der Studienergebnisse änderte die US-Handelskammer FTC, die Wettbewerbsschutzbehörde der USA, bereits ihre internen Passwort-Richtlinien. Die Mitarbeiter müssen sich seit kurzem nicht mehr ständig ein neues Passwort für ihr Firmen-Login überlegen.