Ändere-Dein-Passwort-Tag: Über Sinn und Unsinn des regelmäßigen Passwortwechsels

Heu­te ist also der Ände­re-Dein-Pass­wort-Tag. Anwen­der sol­len die­sen Tag zum Anlass neh­men, ein bewähr­tes Pass­wort über Bord zu wer­fen, sich ein mög­lichst lan­ges und kompexes Pass­wort neu aus­zu­den­ken — und zu mer­ken. Das Gan­ze mög­lichst für jede Anmel­dung und Soft­ware sepa­rat. Und wie­so? Na, das ist doch sicher! Und das haben wir ja schon immer so gemacht! Und im Zwei­fel ver­langt es auch noch die Pass­wort-Richt­li­nie des einen oder ande­ren Unter­neh­mens oder auch der Behör­de.

Die Sinn­haf­tig­keit eines regel­mä­ßi­gen Wech­sels darf bezwei­felt wer­den. In unse­rem Bei­trag “Über Bord mit ver­al­te­ten star­ren Pass­wort-Richt­li­ni­en” haben wir im August 2016 bereits auf aller­lei Unfug in der Pra­xis rund um das The­ma Pass­wort hin­ge­wie­sen. Neben den Mythen Pass­wort­län­ge und Kompexi­tät war dar­in das Wech­sel­in­ter­vall von Pass­wör­tern eben­falls The­ma.

Wenn bei der Aus­wahl von Pass­wör­tern die vor­han­de­ne Tech­nik (z.B. Account­sper­re bei 5 Fehl­ver­su­chen) sowie die tat­säch­li­che Bedro­hungs­la­ge berück­sich­tigt und kon­fi­gu­riert wer­den, gibt es eigent­lich nur drei Anläs­se, ein Pass­wort zu ändern. Kurio­ser­wei­se befin­det sich unter die­sen 3 weder der Ände­re-Dein-Pass­wort-Tag oder ein star­res Inter­vall wie 90 Tage :-), son­dern

  • das Pass­wort wur­de aus­ge­späht, zumin­dest besteht der Ver­dacht.
  • das Pass­wort wur­de unnö­ti­ger­wei­se einer Kol­le­gin oder einem Kol­le­gen bekannt­ge­ge­ben, obwohl dazu tech­nisch nor­ma­ler­wei­se gar kein Grund besteht.
  • es han­delt sich um ein Initia­li­sie­rungs­pass­wort, das nach der Nut­zung durch das eigent­li­che Pass­wort ersetzt wer­den muss.

Und das war es!

Alles ande­re nervt Ihre Anwen­der, führt im Zwei­fel zu notier­ten Pass­wör­tern (am Bes­ten gleich per Haft­no­tiz am Moni­tor­fuss, inklu­si­ve Pass­wort vom Kol­le­gen) und redu­ziert damit nach­weis­bar das Sicher­heits­ni­veau. Lesen Sie mehr in unse­rem Bei­trag vom August 2016.

Wir bean­tra­gen hier­mit die Umbe­nen­nung des Ände­re-Dein-Pass­wort-Tages in Über­ar­bei­te-Dei­ne-Pass­wort-Stra­te­gie-gene­rell-Tag 🙂 Die Hoff­nung stirbt zuletzt.