Noch vor wenigen Jahren hat auch die usd AG mit dem Slogan „Passwörter sind wie Socken. Man sollte sie häufiger wechseln“ geworben. Das Wechseln von Passwörtern in regelmäßigen, kurzen Abständen als Best Practice wird in der Security Community jedoch bereits seit einiger Zeit kontrovers diskutiert. Am diesjährigen „ÄnderedeinPassworttag“ äußerte sich nun auch das BSI mit Bezug auf das aktuelle IT-Grundschutz-Kompendium dazu: „Ob Sie Ihr Passwort regelmäßig ändern oder nicht: wichtig ist, dass Sie Ihre (Online-)Konten gut vor unberechtigtem Zugriff schützen.“ (Quelle: Twitter @BSI_Bund).
Was sind die Nachteile von häufigen Passwortänderungen und welche Mechanismen eignen sich besser, um eine hohe Passwortsicherheit zu gewährleisten? Wir haben einen unserer Security-Experten gefragt.
Dr. Kai Schubert, Managing Consultant IT Security:
„Gut, dass diese Diskussion nun auch in Deutschland angekommen ist. Die US-amerikanische Standardisierungsbehörde NIST hat ihre Empfehlung zum regelmäßigen Passwortwechsel bereits 2017 revidiert. Die Gründe dafür sind der Security Community bereits seit Längerem bekannt: Jeder von uns hat heutzutage eine Vielzahl von Accounts für verschiedene Geräte und Anwendungen. Aus Sicherheitsgründen ist es unbedingt empfehlenswert, für jeden einzelnen Account ein einzigartiges starkes Passwort zu vergeben. Müssen wir diese Passwörter dann auch noch regelmäßig wechseln, beispielsweise alle 90 Tage, ist es klar, dass es uns immer schwerer fällt, sie sich zu merken. Viele Nutzer tendieren dann dazu, schwache Passwörter, wie beispielsweise sinnhafte Wörter, zu verwenden, da sie sich diese leichter merken können als komplexe und abstrakte Passwörter. Oder sie greifen beim Erstellen ihrer Passwörter auf ein Muster zurück, beispielsweise nach dem Schema „Passwort1“, „Passwort2“, und so weiter. Solche Passwörter sind für Angreifer leicht zu knacken. Die Konsequenz ist also, dass wir zwar eine große Quantität an „verschiedenen“ Passwörtern haben, die Qualität der Passwörter aber zu gering ist.
Statt ihren Nutzern regelmäßige Passwortänderungen vorzuschreiben, sollten Organisationen daher sicherstellen, dass ihre Nutzer ausreichend starke Passwörter vergeben. Zunächst sollten sie dafür sorgen, dass keine Wörter, die man in Wörterbüchern finden könnte, als Passwörter akzeptiert werden. Damit können Brute-Force-Angriffe erschwert werden, bei denen Angreifer Passwörter mittels Wörterbuchlisten „durchprobieren“. Es ist allerdings keine triviale Aufgabe, dies technisch zu erzwingen, da nicht jedes System einen Wörterbuchabgleich bietet.
Wenn der Nutzer ein Passwort erstellt, sollten Organisationen unbedingt sicherstellen, dass dies eine ausreichend große Entropie aufweist. Die Entropie ist vereinfacht ausgedrückt ein geläufiges Maß für die Stärke eines Passworts, die in Bit ausgedrückt wird. Ein Passwort mit einer Entropie von 45 Bit würde beispielsweise 245 (=35.184.372.088.832) Versuche erfordern, um alle Möglichkeiten durchzuprobieren. Neben der Länge des Passworts hängt die Entropie auch von den verwendeten Zeichenarten ab. Legt eine Organisation also die Regel fest, dass Passwörter eine bestimmte Mindestanzahl von Zeichen (häufig wird ein Minimum von 12 vorgegeben) und mindestens 3 von 4 Zeichenarten (Klein- und Großbuchstaben, Zahlen, Sonderzeichen) beinhalten müssen, werden Brute-Force-Angriffe bereits beträchtlich erschwert.
Ein weiterer wichtiger Punkt, um die Sicherheit der Passwörter zu erhöhen, liegt bei den Anwendungen selbst: Organisationen sollten bei der Speicherung von Passwörtern sicherere Hashfunktionen wie beispielsweise SHA-512 verwenden.
Auch wenn die Security Community mittlerweile mehr oder weniger einig von einer standardisierten Passwortänderung in kurzen zeitlichen Abständen abrät, würde ich empfehlen, das Passwort etwa einmal im Jahr trotzdem zu wechseln, sodass einem Angreifer nicht unbegrenzt Zeit für eine Attacke zur Verfügung steht.
Abschließend noch ein Tipp an alle Endnutzer: Um starke Passwörter zu erstellen und zu verwalten, sollten Sie unbedingt über die Verwendung eines Passwortmanagers nachdenken. Mit einem solchen Tool lassen sich Passwörter in gewünschter Stärke per Zufall generieren und sicher verwahren. Sie müssen sich anschließend nur noch ein einziges starkes Masterpasswort merken, um auf Ihre abgespeicherten Zugangsdaten zugreifen zu können. Mittlerweile sind Passwortmanager so weit entwickelt, dass sich durch deren Nutzung zwei häufig unvereinbar erscheinende Ziele erreichen lassen: es ist komfortabler und sicherer als sich unzählige lange und komplizierte Passwörter merken zu müssen.“
