Zum Seitenanfang Schritt hoch Schritt runter Zum Seitenende
#1

Die Qual des ständigen Passwort-Wechsels endet

in Fragen und Berichte: PC und Peripherie 24.02.2020 17:31
von Peterbacsi • Admin | 3.590 Beiträge

Lange empfahl das Bundesamt für Sicherheit in der Informationstechnik (BSI), Passwörter regelmäßig zu ändern.
Das gilt international aber schon seit Jahren als unsichere Strategie, um digitale Zugänge zu schützen.
Nun hat auch das BSI die Empfehlung fallengelassen

Passwörter sind eine der Plagen des digitalen Zeitalters, vor allem, wenn man sie auch noch alle paar Monate ändern muss. Dazu zwingen viele Firmen ihre Mitarbeiter. Dabei ist es seit etwa zehn Jahren Konsens unter IT-Sicherheitsexperten, dass der regelmäßige Wechsel mehr Probleme schafft, als er löst. Nun hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Einsehen: Die Behörde hat die Empfehlung, Passwörter regelmäßig zu wechseln, aus ihrem IT-Grundschutz-Kompendium gestrichen. Dort steht nun: Man sollte das nur noch tun, wenn man den Verdacht hat, ein Unbefugter könne das Passwort kennen.

"Künftig werden viele Menschen in Büros nicht mehr mit dieser Regel gequält", sagt der Informatiker Maximilian Golla vom Max-Planck-Institut für Cybersicherheit und Schutz der Privatsphäre. "Das ist ungefähr das Größte, was in der deutschen Passwort-Sicherheit in den letzten Jahren passiert ist." Deutschland ist bei diesem neuen Denken über Passwörter Nachzügler. In den USA hat die zuständige Behörde NIST schon 2017 ihre Vorgaben geändert.

Was aber ist eigentlich so schlecht am Passwort-Wechseln? Viele Nutzer sind überfordert damit, sich immer wieder völlig neue Passwörter zu merken und greifen zu Notlösungen: Sie verändern immer nur eine Jahreszahl des Passworts oder ersetzen etwa "sommer" durch "winter". "Und in Unternehmen schreiben sich dann viele ihr aktuelles Passwort auf und kleben es an die Tastatur oder den Schreibtisch", warnt Golla, "privat kann man das ja tun, aber im Unternehmen gibt es auch interne Angreifer."

Tipps für ein schwer zu knackendes Passwort

Generell gibt es mehrere Tipps für ein gutes Passwort: Besser ein kompliziertes - also schwer zu knackendes - Passwort, das man lange benutzen kann und nur dann ändert, wenn es gehackt wurde. Das kann beispielsweise durch einen Trojaner passieren, der alle Tastaturanschläge protokolliert und an die digitalen Angreifer weiterleitet. Die Gefahr, dass es diesen gelingt, eine verschlüsselte Passwortdatei zu ergattern und die Passwörter dann zu entschlüsseln, ist sehr gering, wenn das Passwort nach ein paar einfachen Regeln angelegt worden ist. Der Aufwand, es mit brutaler Rechengewalt zu entschlüsseln, wäre dann viel zu groß.

Wozu sollten die Hacker den auch betreiben? Es gibt ja immer noch genug Nutzer, die offenbar glauben, ein Passwort wie 123456 würde ihre Daten schützen. Die ganz Schlauen verwenden 654321 oder zählen gar bis 9. So aber schützt man seinen Rechner nicht, sondern lädt Hacker förmlich ein. Mit einem handelsüblichen Laptop und ein wenig Software lassen sich solche einfachen Passwörter in Sekunden knacken. Dazu zählen auch alle Passwörter, die Begriffe enthalten, die in Lexika vorkommen, Namen der Kinder oder von Haustieren. Fällt Angreifern eine Liste mit verschlüsselten Passwörtern in die Hände, sind das die ersten, die sie schnell entschlüsseln können. Wie also macht man es richtig?

- Nutzer sollten nie dasselbe Passwort für mehrere Dienste nutzen.

- Sonderzeichen und Zahlen sind gut, aber keine Umlaute oder scharfes S, das führt auf ausländischen Tastaturen zu Problemen.

- Je länger ein Passwort ist, desto besser.

Und das soll man sich merken können? Das geht dann, wenn man ein paar Dinge beachtet. Erstens: Ein Passwort-Manager wie Keepass oder Lastpass (kostenlos) nimmt einem die Arbeit ab, man braucht sich nur ein einziges Masterpasswort merken. Das sollte man dann aber auf gar keinen Fall vergessen. Nachteil: Solche Software ist umständlich einzurichten auf den vielen Geräten, die man heute nutzt.

Zweitens: Man bildet einen Satz und verwendet jeweils den ersten Buchstaben der Worte. Der vorhergehende Satz ergäbe also das Passwort: MbeSuvjdeBdW. Das zweite "e" könnte man durch "1." ersetzen - Zahl und Sonderzeichen. Den Satz hat man nach ein paar Mal Nachschauen drauf, und das Passwort MbeSuvjd1.BdW wäre ziemlich sicher. Besser keine Sprichwörter verwenden, denn die haben Hacker ebenfalls auf ihren Listen. Für besonders wichtige Dienste - zum Beispiel den Haupt-E-Mail-Zugang - empfiehlt sich die sogenannte Zwei-Faktor-Authentifizierung (2FA). Die schützt auch dann, wenn das Passwort im Klartext bekannt geworden ist. Denn es braucht außer dem Passwort noch eine zweite Aktion zur Anmeldung. Zum Beispiel muss ein Sicherheitscode eingegeben werden, der per SMS geschickt wird oder wie beim Online-Banking über eine App. Den Code muss man meist nicht jedes Mal neu eingeben, sondern nur, wenn man sich von einem bisher nicht genutzten Gerät aus einloggt. Mehr und mehr setzen sich auch spezielle Stecker für den USB-Anschluss durch, die den zweiten Faktor bequem und schnell einspeisen. Ganz so simpel wie 123456 ist das nicht, erspart dafür aber Ärger.

Inzwischen hat das BSI auch die Informationen unter der Rubrik "Für Bürger" angepasst. Die Behörde teilte mit, "eine grundlegende Empfehlung, Passwörter regelmäßig zu ändern, gibt das BSI nicht mehr, da die Erfahrung zeigt, dass die Nutzerinnen und Nutzer dann zu immer schwächer werdenden Passwörtern neigen".


Liebe Grüße
Peter
nach oben springen


Ähnliche Themen Antworten Letzter Beitrag⁄Zugriffe
Doppelte Absicherung gegen Daten-Gangster
Erstellt im Forum Internet und Telefon von Peterbacsi
0 27.11.2020 16:45goto
von Peterbacsi • Zugriffe: 195
Passwörter nicht mehr regelmäßig ändern
Erstellt im Forum Fragen und Berichte: PC und Peripherie von Peterbacsi
0 06.02.2020 16:06goto
von Peterbacsi • Zugriffe: 227
So behält man im Passwort-Dschungel den Überblick
Erstellt im Forum Fragen und Berichte: PC und Peripherie von Peterbacsi
0 06.01.2020 16:41goto
von Peterbacsi • Zugriffe: 276
Ratgeber : Sieben gute Vorsätze für mehr Sicherheit
Erstellt im Forum Fragen und Berichte: PC und Peripherie von Peterbacsi
0 06.01.2020 16:39goto
von Peterbacsi • Zugriffe: 266
SMS-Nachfolgestandard RCS:Was Handynutzer über die aktuellen Sicherheitslücken wissen sollten
Erstellt im Forum Fragen und Berichte: PC und Peripherie von Peterbacsi
0 03.12.2019 16:56goto
von Peterbacsi • Zugriffe: 260
Empörung über Facebook-Panne
Erstellt im Forum Fragen und Berichte: PC und Peripherie von Peterbacsi
0 23.03.2019 17:53goto
von Peterbacsi • Zugriffe: 211
Fünf Basis-Tipps für sicheres Surfen
Erstellt im Forum Fragen und Berichte: PC und Peripherie von Peterbacsi
0 01.03.2019 21:38goto
von Peterbacsi • Zugriffe: 197
Handgemachte Knödel aus dem Automaten
Erstellt im Forum Ausland und EU von Peterbacsi
0 08.02.2019 14:25goto
von Peterbacsi • Zugriffe: 220
"Collection #1" - Riesen-Leak von E-Mail-Adressen und Passwörtern aufgetaucht
Erstellt im Forum Fragen und Berichte: PC und Peripherie von Peterbacsi
0 18.01.2019 16:09goto
von Peterbacsi • Zugriffe: 225

Besucher
0 Mitglieder und 11 Gäste sind Online

Forum Statistiken
Das Forum hat 2902 Themen und 4131 Beiträge.

Heute waren 0 Mitglieder Online: