Die FAZ.NET-Nachrichten-App
Kostenlos für iOS und Android
Anzeige
Internetsicherheit

Nicht immer wieder das Passwort ändern

 - 15:44
Bitte sicher einloggen Bild: dpa

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rückt von seiner Empfehlung ab, Passwörter regelmäßig zu ändern. In der aktuellen Ausgabe des BSI-Grundschutz-Kompendiums wurde die entsprechende Textpassage gestrichen. Zuerst hatte Heise Security über die Änderung berichtet.

Anzeige

Die BSI-Fachleute raten im Kapitel zur Regelung des Passwortgebrauchs nur für den Fall, dass ein Passwort in fremde Hände geraten sein könnte, das Kennwort zu ändern. Auch die dort bisher aufgeführte Verpflichtung, feste Regeln für Länge und Komplexität vorzuschreiben, ist verschwunden.

Seit Jahren sind viele Sicherheitsfachleute der Ansicht dass solche Regeln eher schaden als nützen. „Ein gutes Passwort kann man bedenkenlos über Jahre hinweg nutzen“, schreibt Heise Security. „Das regelmäßige Ändern führt eher dazu, dass man schwache Passwörter benutzt und diese beispielsweise nach einem Schema (geheim1, geheim2, ...) erzeugt.“

Oft ist das Passwort zu schwach

Markus Dürmuth, der an der Ruhr-Uni Bochum zu Themen wie Passwort-Sicherheit forscht, begrüßte den Kurswechsel des BSI: „Das ist ein sehr wichtiger Schritt, für den das BSI allerdings sehr lange gebraucht hat.“

Anzeige

Dass das Passwort regelmäßig geändert werden sollte, taucht auch nicht in den Tipps des Hasso-Plattner-Instituts (HPI) auf. Deren Fachleute halten die Gefahr von unsicheren Passwörtern weiter für hoch. „Schwache Zahlenreihen wie etwa „123456“ werden viel zu häufig genutzt“, sagte HPI-Direktor Christoph Meinel. „Viele Internetnutzer verwalten mehr als hundert Online-Konten – da fällt die Wahl viel zu oft auf Passwörter, die man sich leicht merken kann.“ Die weit verbreitete Mehrfachnutzung von Passwörtern für unterschiedliche Dienste sei extrem leichtsinnig, wenn man bedenke, welche Schäden hierdurch entstehen könnten.

Das Hasso-Plattner-Institut (HPI) in Potsdam nennt als wichtige Regeln zur Erstellung starker Passwörter:

  • Das Passwort soll mindestens 15 Zeichen lang sein.
  • Das Passwort soll möglichst viele verschiedene Zeichentypen (Buchstaben, Ziffern, Sonderzeichen) sowie Groß- und Kleinschreibung einbeziehen.
  • Im Passwort sollten Begriffe aus dem Wörterbuch oder andere verständliche Zeichenfolgen nicht auftauchen. Das liegt daran, dass neben Brute-Force-Attacken vor allem Wörterbuchangriffe üblich sind, wobei Listen mit Wörtern genutzt werden, um fremde Passwörter zu entschlüsseln.
  • Ein Passwort sollte nicht für mehrere Konten verwenden werden. Wenn ein Passwort geknackt wird, ermöglicht es Kriminellen sonst den Zugang zu anderen Diensten.
  • Für das Passwort sollten nicht persönliche Informationen wie Namen, Geburtsdaten, Haustiernamen, Namen der Partner oder der jeweiligen Anwendung verwendet werden. Diese Daten könnten leicht erraten werden.
  • Wenn möglich, die Zwei-Faktor-Authentifizierung nutzen.
  • Passwortmanager helfen bei der Generierung und der sicheren Aufbewahrung starker Passwörter.
Quelle: jch./FAZ.NET
  Zur Startseite
Ähnliche ThemenBSI
Anzeige