Warum man seine Passwörter nicht regelmäßig ändern muss

Der 1. Februar ist der „Ändere-dein-Passwort-Tag“. Aber warum sollte man da mitmachen? Wo ist der Fehler des Gedankens? Gibt es bessere Alternativen?

Der erste Fehler in der Forderung sein Passwort regelmäßig zu ändern ist die Singular-Form. Wenn man nur ein Passwort hat, welches man an mehreren Orten verwendet, läuft doch schon mal etwas grundsätzlich falsch.
Passwörter sollten immer nur an einer Stelle gültig sein und nicht für mehrere Anwendungen oder Dienste verwendet werden. Wird dann mal ein Dienst gehackt (was ja in der Vergangenheit schon häufig passiert ist) so sind andere Konten dadurch nicht gleich mit kompromittiert.

Ein gutes Passwort ist mindestens 12, besser sogar über 20 Zeichen lang, enthält keine Namen, lexikalischen Wörter oder Datumsangaben. Es sollte nicht nur aus Zahlen oder kleinen oder großen Buchstaben bestehen. Mit einer Mischung aus Zahlen und Buchstaben in Groß- und Kleinschreibung, in zufälliger Reihenfolge, ist man aber schon gut beraten. Wenn man will (und es der Dienst erlaubt) sind Sonderzeichen sicher kein Fehler.

Diese Formel beschreibt die Anzahl der möglichen Passwörter in Abhängigkeit von Zeichenvorrat und Passwortlänge. Wenn man da mal ein wenig mit den Werten spielt, merkt man sehr schnell, dass es viel wichtiger ist ein langes Passwort zu wählen als eins, mit einem großen Zeichenvorrat.
Beispiel: Auf unserer Tastatur haben wir 26 Buchstaben + 3 Umlaute, die man groß und klein schreiben kann = 58 unterschiedliche Zeichen. Dazu dann noch die Ziffern von 0-9 ergibt einen Zeichenvorrat von 68 Zeichen. Durch Sonderzeichen können wir die Zahl um weitere 34 mehr oder weniger leicht zu tippende Zeichen erhöhen.
Passwörter ab 12 Zeichen länge gelten als relativ sicher und ab 20 Zeichen sind sie selbst mit hohem Aufwand kaum noch zu knacken. Je nach weiteren Anforderungen, kann man natürlich auch längere Passwörter wählen.
Wenn wir einen großen Zeichenvorrat wählen, z.B. 102 Zeichen, aber die Länge bei 12 belassen, haben wir 1268241794562545318301696 oder gerundet 1,2 * 10^24 mögliche Passwörter.
Als weiteres Beispiel nehmen wir einen Zeichenvorrat aus 68 Zeichen (Zahlen + Buchsten, groß und klein) und verlängern das Passwort um zwei auf 14 Zeichen, so erhalten wir 45198578652761699462938624 oder 4,5 * 10^25 mögliche Passwörter, also schon etwa 30x so viele.
Aus diesem kleinen Beispiel wird deutlich, dass es mehr bringt ein paar weitere Stellen zum Passwort hinzuzufügen, als sich beim Tippen der Sonderzeichen die Finger zu brechen.

Also wählen wir möglichst lange Passwörter
Wenn wir lange und damit sichere Passwörter verwenden, gibt es aber kaum einen Grund diese regelmäßig zu ändern.

Jetzt mag der eine oder andere Leser denken: Lange Passwörter und dann auch an jeder Stelle ein anderes, das kann sich doch keiner merken und das will ja auch niemand tippen. Stimmt.
Dafür gibt es Passwortmanager wie KeePass, 1Password, Bitwarden, Blur, Dashlane, Enpass, F-Secure Key, Kaspersky Password Manager, Keeper, LastPass, Password Depot, Password Manager, RoboForm, SafeInCloud oder Sticky Password. Ich verwende KeePass seit Jahren bin damit sehr zufrieden.
Der wesentliche Vorteil eines guten Passwortmanagers: Man braucht sich nur noch das eine Passwort zu merken und alles weitere kommt dann aus dem Passwortmanager. Nebenbei kann man dort auch gleich noch die URLs der Dienste und Webseiten mit ablegen und verwalten.
Viele Passwortmanager bieten zudem Schnittstellen zu diversen Browsern und erleichtern dadurch die tägliche Arbeit enorm.

Wann sollten wir unsere Passwörter ändern?

Passwörter sollten immer dann geändert werden, wenn deren Vertraulichkeit kompromittiert wurde. Wenn wir also erfahren, dass ein von uns genutzter Anbieter oder Dienst Probleme mit seinem Server hatte, ändern wir unser Passwort für genau diesen Dienst. Gute Passwortmanager unterstützen einen auch dabei, so sind solche Änderungen mit wenigen Klicks erledigt.

Gibt es bessere Anmeldeverfahren als mittels Benutzernamen und Passwort?
Ja, natürlich. Viele Seiten und Dienste bieten inzwischen die so genannte Zwei-Faktor-Authentifizierung an. Bei diesem Verfahren wird neben dem „Geheimnis“ (also dem Passwort) noch eine weitere Bedingung abgefragt. Das kann eine Keycard, ein Token (USB-Stick) oder eine Einmal-PIN, die man per SMS oder E-Mail erhält sein. Diese Anmeldeverfahren sind erheblich sicherer, da es einem Angreifer nicht helfen würde, das Passwort per Trojaner oder Backdor bei der Eingabe auszuspähen.

Eins muss man sich aber immer vor Augen führen: Bei Berichten mit Millionen oder Milliarden geklauter Passwörter kann man immer sagen, dass den User kein Verschulden getroffen hat. Es waren die Dienste-Anbieter und Web-Seitenbetreiber, die die Schwachstelle auf ihren Systemen hatten.

Gerne beraten wir sie beim Einsatz von Passwortmanagern und dem Erstellen von vernünftigen Passwort-Richtlinien

Weiterführende Informationen zu sicheren Passwörtern und einen online Passwortgenerator finden sie unter https://www.datenschutz.org/passwort-generator/