Ändere-Dein-Passwort-Tag: Über Sinn und Unsinn des regelmäßigen Passwortwechsels

Heute ist also der Ändere-Dein-Passwort-Tag. Anwender sol­len die­sen Tag zum Anlass neh­men, ein bewähr­tes Passwort über Bord zu wer­fen, sich ein mög­lichst lan­ges und kom­pe­xes Passwort neu aus­zu­den­ken — und zu mer­ken. Das Ganze mög­lichst für jede Anmeldung und Software sepa­rat. Und wie­so? Na, das ist doch sicher! Und das haben wir ja schon immer so gemacht! Und im Zweifel ver­langt es auch noch die Passwort-Richtlinie des einen oder ande­ren Unternehmens oder auch der Behörde.

Die Sinnhaftigkeit eines regel­mä­ßi­gen Wechsels darf bezwei­felt wer­den. In unse­rem Beitrag “Über Bord mit ver­al­te­ten star­ren Passwort-Richtlinien” haben wir im August 2016 bereits auf aller­lei Unfug in der Praxis rund um das Thema Passwort hin­ge­wie­sen. Neben den Mythen Passwortlänge und Kompexität war dar­in das Wechselintervall von Passwörtern eben­falls Thema.

Wenn bei der Auswahl von Passwörtern die vor­han­de­ne Technik (z.B. Accountsperre bei 5 Fehlversuchen) sowie die tat­säch­li­che Bedrohungslage berück­sich­tigt und kon­fi­gu­riert wer­den, gibt es eigent­lich nur drei Anlässe, ein Passwort zu ändern. Kurioserweise befin­det sich unter die­sen 3 weder der Ändere-Dein-Passwort-Tag oder ein star­res Intervall wie 90 Tage :-), sondern

  • das Passwort wur­de aus­ge­späht, zumin­dest besteht der Verdacht.
  • das Passwort wur­de unnö­ti­ger­wei­se einer Kollegin oder einem Kollegen bekannt­ge­ge­ben, obwohl dazu tech­nisch nor­ma­ler­wei­se gar kein Grund besteht.
  • es han­delt sich um ein Initialisierungspasswort, das nach der Nutzung durch das eigent­li­che Passwort ersetzt wer­den muss.

Und das war es!

Alles ande­re nervt Ihre Anwender, führt im Zweifel zu notier­ten Passwörtern (am Besten gleich per Haftnotiz am Monitorfuss, inklu­si­ve Passwort vom Kollegen) und redu­ziert damit nach­weis­bar das Sicherheitsniveau. Lesen Sie mehr in unse­rem Beitrag vom August 2016.

Wir bean­tra­gen hier­mit die Umbenennung des Ändere-Dein-Passwort-Tages in Überarbeite-Deine-Passwort-Strategie-generell-Tag 🙂 Die Hoffnung stirbt zuletzt.

0 Kommentare

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.