Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Wider den Passwort-Änderungswahn

Wie Nutzer strengen Kennwortregeln trotzen

Wider den Passwort-Änderungswahn

23. September 2016, 13:19 Uhr | Daniel Dubsky
Fortsetzung des Artikels von Teil 1

Kreatives Aufweichen der Regeln

Im vergangenen Jahr hatte der britische GCHQ einige Empfehlungen zum Umgang mit Passwörtern veröffentlicht und damit wahrscheinlich bei vielen Leuten für ein Schmunzeln gesorgt. Denn der Geheimdienst empfahl Unternehmen, auf allzu strikte Passwortvorgaben zu verzichten – diese würden den Nutzern nur das Leben schwer machen. So unrecht hat er damit aber gar nicht, denn vor allem der Zwang, sich regelmäßig neue Kennworte ausdenken zu müssen, führt dazu, dass Nutzer versuchen, die Regeln auf kreative Weise aufzuweichen.

Das zeigte beispielsweise schon 2010 eine Untersuchung an der Universität von North Carolina. Dort hatten sich die Experten rund 10.000 abgelaufene Accounts angeschaut, deren Nutzer ihre Passwörter regelmäßig ändern mussten. Sie nahmen jeweils nur dezente Anpassungen vor und entwickelten Muster, um sich nicht allzu weit vom ursprünglichen Passwort zu entfernen. Sie bauten Zähler, Ziffernfolgen oder Großbuchstaben ein und ersetzten Buchstaben durch Sonderzeichen oder Ziffern, um Variationen im Stile von »password1«, »password123«, »pAssword«, »passw0rd« oder »pa$$word« zu schaffen. Das Problem: Diese Passworte sind von vornherein nicht sonderlich komplex und die Änderungsmuster lassen sich gut vorhersagen. In einem Test konnten die Experten damals 17 Prozent der Kennworte mit weniger als fünf Versuchen knacken.

Viele Organisationen haben daher in den vergangenen Jahren die regelmäßigen Passwortänderungen abgeschafft, so zuletzt auch die amerikanische Federal Trade Commission (FTC), durch welche die 2010er Untersuchung der Universität von North Carolina wieder in den Blickpunkt rückte. Die Empfehlung des GHCQ lautet daher auch, ein Kennwort nur noch dann zu ändern, wenn der Verdacht besteht, es könnte entwendet worden sein und missbraucht werden.

Ganz so einfach ist es aber nicht, wie der jüngst bekannt gewordene Passwortklau bei Dropbox zeigt. Der datiert nämlich bereits aus dem Jahr 2012 – wie so viele Datendiebstähle wurde er erst Monate oder Jahre später entdeckt. Ein regelmäßig erzwungener Passwortwechsel kann in solchen Fällen verhindern, dass Zugänge über lange Zeiträume offenstehen. Andererseits warten wahrscheinlich die wenigsten Angreifer monatelang, bevor sie die erbeuteten Zugangsdaten nutzen. Für sensible Daten und wichtige Online-Dienste sollte daher Zwei-Faktor-Authentifizierung ein Muss sein, damit die Sicherung des Zugangs nicht allein am Passwort hängt.

  1. Wider den Passwort-Änderungswahn
  2. Kreatives Aufweichen der Regeln
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
KONZEPTUM GmbH

KONZEPTUM GmbH
Redgate Software

Redgate Software
comTeam Systemhaus GmbH

comTeam Systemhaus GmbH
Dahua Technology GmbH

Dahua Technology GmbH
Plusnet GmbH

Plusnet GmbH
easybell GmbH

easybell GmbH