Ändere-Dein-Passwort-Tag: Ein schlechter Ansatz, Passwörter regelmäßig zu ändern, besser MFA (Multi Faktor Authentizierung) aktivieren!

Heute wird (zumindest in Deutschland) der Ändere-Dein-Passwort-Tag begangen. Auch gerade in vielen Unternehmen ist es vorgeschrieben, Passwörter in regelmäßigen Abständen zu ändern. Jedoch zeigen Studien, dass gerade das regelmäßige (vorallem erzwungene) Ändern von Passwörtern erst recht schlechte Passwörter befördert und das Sicherheitsrisiko erhöht und nicht verringert. Denn Menschen sind Gewohnheitstiere und bequem. Daher kann man sagen, dass Passwörter oftmals nur minimal (zum Beispiel durch das Erhöhen einer Zahl) verändert werden und dass tendenziell Personen zu kürzeren und einfacheren Passwörter tendieren, wenn diese regelmäßig geändert werden müssen.
Daher ist der Ändere-Dein-Passwort-Tag der falsche Ansatz. Will man wirklich was für die Sicherheit von diversen Accounts bei Online-Diensten oder anderen technischen Systemen tun, gibt es andere Ansätze:

  • Initial ein langes Passwort wählen. Das muss gar nicht so extrem komplziert sein, wichtiger ist die Länge und dass es nicht ganz so leicht erratbar ist. Eine Mindestlänge von 12, eher 15 Zeichen oder gerne noch länger ist empfehlenswert.
  • Des Weiteren sollte das gewählte Passwort nicht in Listen von häufig-genutzten Passwörtern vorkommen (denn genau diese Lisen verwenden auch Hacker, um Passwörter durchzuprobieren). Eine solche Liste an Passwörter, die am häufisten sind und daher nicht (mehr) verwendet werden sollen, gibt es zum Beispiel hier: https://github.com/danielmiessler/SecLists/blob/master/Passwords/Common-Credentials/10-million-password-list-top-500.txt
  • Ein weiterer wichtiger Punkt ist wirklich für jeden einzelnen Account ein jeweils komplett anderes Passwort zu verwenden. Nun kann sich natürlich kein Mensch zig hundert Passwörter merken. Auch dafür gibt es eine Lösung: Passwordsafes. Das sind Dienste, die die einzelnen Login-Informationen sicher speichern, sodass man diese dort abfragen kann, wenn man sich wo einloggen muss (teilw. mit automatischem Ausfüllen der Felder im Browser). Die dort gespeicherten Daten werden mit einem Master-Passwort gesichert. Dieses Master-Passwort muss man sich wirklich merken, denn das ist der Schlüssel zu allen anderen Passwörtern. Daher sollte dieses Master-Passwort auch wirklich sicher sein. Empfehlungen für solche Passwort-Dienste sind Lastpass https://www.lastpass.com/de oder auch Enpass. Aber es gibt da wirklich eine große Auswahl.

Last but not least: Selbst das beste Passwort schützt bei vielen Angriffen nicht. Wichtig ist daher, überall wo möglich, eine sogenannte Multi-Faktor-Authentizierung zu aktiveren. Das heißt man loggt sich dann mit Username und Passwort an, muss aber zusätzlich auch noch einen Einmal-Code eingeben. Dieser Einmal-Code kann zum Beispiel von einer App auf einem zweiten Gerät stammen.
Mehr Details dazu, warum Passwörter nicht alleine Accounts schützen können, sowie allgemein was bei der Passwort-Erstellung zu beachten ist und mehr zu Multi-Faktor-Authentizierung, schildert dieser ausgezeichnete Arikel „Your Pa$$word doesn’t matter“ von Microsoft. https://techcommunity.microsoft.com/t5/azure-active-directory-identity/your-pa-word-doesn-t-matter/ba-p/731984


News zu Webmarketing/Social Media Marketing