Sie haben auch einen Blog? Empfehlen Sie ihn hier!

Heute ist der „Ändere-Dein-Passwort-Tag“

Von Klaus Ahrens

Heute ist der von den USA ausgerufene „Nationale Ändere-Dein-Passwort-Tag (National Change Your Password Day)„. An diesem Tag soll nach Ansicht der Amis jedes verwendete Passwort geändert werden. Aber das ist wie der neue Präsident der USA, Donald Trump, im Grunde unter keinem Aspekt eine wirklich gute Lösung.

Ein ziemlich kurioser Feiertag

Wer hat’s erfunden? (denken Sie sich hier bitte den Schweizer Dialekt hinzu) Eingeführt wurde der Ändere-Dein-Passwort-Tag von dem US-amerikanischen Webportal GIZMODO im Jahr 2012.

Zu dem Datum soll es keinen speziellen Bezug geben – weder einen großer Hack an irgendeinem 1. Februar noch die Einführung eines neuen, sichereren Hashes an diesem Datum.

Dabei ging es den Machern darum, die Bedeutung von sicheren Passwörtern zu unterstreichen und jedem Internet-User deutlich zu machen, hier sinnvolle Vorkehrungen zu treffen bzw. die vorhandenen Passwörter zu ändern.

Starke Passwörter können kontraproduktiv sein

Ist aber die jährliche Änderung ohne jeden aktuellen Anlass wirklich so sinnvoll? In einer aktuellen Pressemeldung zum Ändere-dein-Passwort-Tag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist hauptsächlich von individuellen und komplexen Passwörtern die Rede.

Das BSI empfiehlt die Änderung eines Kennwortes allerdings nur für den Ernstfall, also erst dann, wenn bekannt geworden ist, dass ein mit diesem Passwort nutzbarer Online-Dienst Opfer einer Hacker-Attacke geworden ist – das passiert aber bei weniger als zwei Promille der Fälle an einem 1. Februar.

Firmenpolitik mit Zwangsupdates macht es Hackern nur leichter

In vielen Firmen und Behörden ist vorgeschrieben, dass Mitarbeiter regelmäßig ihr Passwort ändern müssen. Das kann zwar unter bestimmten Umständen hilfreich sein, beispielsweise, wenn das Netzwerk schon kompromittiert ist, denn durch den regelmäßigen Passwortwechsel sperrt man Angreifer immer wieder aus.

Aber auch der britischen Communications Electronics Security Group (CESG), eine Abteilung des Nachrichtendiensts GCHQ, meint, das führe in der Praxis nicht zu höherer Sicherheit. Allerdings sind die Spione ihrer Majestät ja auch voreingenommen – vielleicht sind das ja nur Fake News…

Häufig könnte eine solche Anordnung sogar selbst ein Sicherheitsrisiko erzeugen, denn damit man sich Passwörter leichter merken kann, neigt man bekanntlich dazu, dasselbe Passwort für mehrere Dienste zu benutzen oder Passwörter nur minimal zu ändern. Damit ähnelt ein zwangsweise neu gewähltes Passwort dann oft dem vorherigen.

Es sind nicht die „dummen Nutzer mit schwachen Passwörtern“

Doch nicht immer ist der dumme Nutzer mit seinem schwachen Passwort Schuld. Man sollte man besser die Anbieter von Online-Diensten in die Pflicht nehmen, Passwörter auf ihren Servern sicher abzulegen.

Denn letztlich vertraut man diesen Diensten seine persönlichen Daten an – und in den meisten Fällen von kompromittierten Passwörtern stammen diese aus Hacks eben solcher Dienste.

Die meisten Passwörter werden bei Online-Diensten gehackt

Häufig liegen Passwörter dort im schlimmsten Fall im Klartext oder nur sehr unzureichend geschützt, beispielsweise mit den schon lange als unsicher geltenden Hash-Verfahren MD5/SHA1. Für einen wirklich effektiven Kennwort-Schutz sollte bcrypt oder PBKDF2 genutzt werden.

Darüber hinaus sollten Anbieter von Online-Diensten ihre Passwortfelder effektiver vor Brute-Force-Angriffen schützen, bei denen ein Programm ein ganzes Wörterbuch durchgeht, um so das Passwort herauszufinden.

Dagegen hilft das bewährte Verzögern vor einer erneuten Passwort-Eingabe nach einer Fehleingabe. Es gibt aber auch schwache Passwort-Reset-Mechanismen, über die kriminelle Hacker recht einfach die Passwörter abfangen können.