DatenschutzIT-Sicherheit

Qualität bei Kennwörtern ist wichtiger denn Quantität

In vielen Organisationen ist es leidige Pflicht: Der regelmäßige Kennwortwechsel nach zwei oder drei Monaten. Die MitarbeiterInnen begegnen dem oft auf Ihre Weise. Sie suchen sich ein für sie zu merkendes Kennwort passend zu den vorgegebenen Regeln und modifizieren es. Zum Beispiel werden die Kennworte einfach herauf gezählt. Dann kommen solche Dinge wie Geheim#01, Geheim#02 und so weiter heraus. Damit ist zwar der Pflicht zum regelmäßigen Kennwortwechsel genüge getan. Bei einer gezielten Kennwort-Attacke sind diese regelkonformen Kennworte oftmals schnell geknackt.

Schon seit einiger Zeit empfehlen deshalb Sicherheitsforscher anstelle des krampfhaften Zwangs zum Kennwortwechsel mit entsprechend schwachen Passworten die wohlüberlegte Wahl schwer zu erratender Kennworte. Die leisten dann bei einem Angriff deutlich mehr Widerstand und müssen auch nicht regelmäßig gewechselt werden. Zwei Dinge gilt es allerdings auch hier zu beachten: Nach einem (erfolgreichen) Angriff ist der Kennwortwechsel Pflicht, insbesondere dann, wenn dasselbe Kennwort bei mehreren Diensten verwendet wurde. Letzteres sollte Benutzer als zweite regel unbedingt vermeiden. Lieber einen Password-Manager einsetzen, oder ein anderes Verfahren für mehrere sichere Kennworte wählen. Dazu passt dann auch gut, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) jüngst die Anforderung zu regelmäßigen Wechsel des Kennwortes aus ihren Anforderungen gestrichen hat (ORP.4.A8 Regelung des Passwortgebrauchs [Benutzer, IT-Betrieb] (B))