Passwort-Richtlinien hatten lange eine einzige Grundlage: „Je mehr es weh tut, umso sicherer ist es“.
Nicht nur wurde von Benutzer:innen verlangt sich unerträgliche Passwörter aus Sonderzeichen und Zahlen zu merken, man sollte diese auch noch regelmäßig ändern.
Doch mittlerweile haben sich diese Richtlinien verändert. Es wird nun empfohlen Passwörter zu nutzen die man sich leicht merken kann und die trotzdem sicher sind. Außerdem sind Passwort-Managern und Zwei-Faktor-Authentifizierung häufiger im Einsatz. Auch das regelmäßige Ändern von Passwörtern wird kaum noch empfohlen. Selbst beim BSI, wo man meist lange beständige Empfehlungen gibt, ist man mittlerweile davon abgerückt. Also was ist los? Warum hat die IT-Sicherheit es sich anders überlegt?
Die Antwort ist ganz einfach. Das regelmäßige Passwortändern schadet mehr als es nützt. Denn auch nach tausenden erzwungenen Passwortänderungen haben wir noch niemandem ein über-menschliches Gedächtnis antrainiert. Stattdessen führt der Zwang zur Passwortänderung dazu, dass Benutzer:innen sich mit Tricks behelfen und versuchen die Sicherheitsanforderungen zu umgehen. Es gibt dann eben einen kleinen Notiz-Zettel auf dem Schreibtisch oder ein viel zu einfaches Grund-Passwort das regelmäßig modifiziert wird. Kann man den Benutzer:innen einen Vorwurf machen? Wie sollen diese sich die Passwörter schließlich sonst noch merken? Am Ende hat die erzwungene Passwort-Änderung dann also einen negativen Effekt. Die Passwortsicherheit ist damit zum Scheitern verurteilt, denn Benutzer:innen müssen sich so oft neue Passwörter merken, dass andere Anforderungen darunter leiden.
Aber wie geht es besser? Im Idealfall wird ein Passwort-Manager verwendet. So muss man sich letztlich nur noch zwei Passwörter merken. Das Passwort für den Login in der Windows-Domäne und das Passwort für den Passwort-Manager. Alle weiteren Passwörter können im Passwort-Manager gespeichert werden. Da man sich diese nun nicht mehr selber merken muss, können sie höchsten Ansprüchen an die Komplexität gerecht werden. Mit einem Passwort-Manager ist es auch kein Problem mehr, für jeden Dienst ein anderes Passwort zu verwenden. Credential-Stuffing Angriffe, bei denen Zugangsdaten aus einem Datenleck einfach bei allen Möglichen Diensten ausprobiert werden, kann man so vollständig verhindern. Noch mehr Sicherheit kann man durch die Verwendung von Zwei-Faktor-Authentifizierung gewinnen. Regelmäßige Passwort Änderungen kann man sich dann sparen.
Doch keine Regel ohne Ausnahme. In einigen seltenen Fällen ist es weiterhin empfehlenswert, Passwörter zu ändern. Wenn ein Passwort bekannt geworden ist muss es natürlich geändert werden. Und in einer Organisation sollten eventuell vergebene Standardpasswörter ebenfalls regelmäßig rotiert werden. Gleiches gilt für die Passwörter der lokalen Admin-Konten auf den Clients. Dafür gibt es eine praktische Lösung namens „LAPS“, die wir schon einmal in unserem Blog vorgestellt haben.