Für viele von Ihnen gehört es zum Alltag, dass Sie sich beim Kennwort nicht nur Gedanken um Groß- und Kleinschreibung, sondern auch um Sonderzeichen und Ziffern machen müssen. Wenn man sich dann einmal ein Passwort hat einfallen lassen, dass sich nicht leicht erraten lässt, so sollte man es dann oft auch noch alle 90 Tage ändern. Wenn es dann soweit ist, stehen Sie vor dem gleichen Problem wie 90 Tage zuvor. Hier greifen dann viele Anwender naheliegenderweise zu einem ähnlichen Kennwort (soweit die Kennwortrichtlinie das zulässt) und ändern etwa eine Zahl, ein Sonderzeichen oder ähnliches ab. Und weil sich viele die Kennwörter mit Sonderzeichen, Ziffern und ähnlichem nicht ohne weiteres merken können, tendieren sie dazu, das frisch geänderte Kennwort irgendwo niederzuschreiben, sich keine besondere Mühe beim Wahl des Kennworts zu geben oder das Kennwort bei möglichst vielen Diensten zu verwenden. Der Kennwortwechsel führt also oftmals nicht zur gewünschten erhöhten Sicherheit, sondern bewirkt vielmehr oft das Gegenteil. Nachdem Microsoft sich vom regelmäßigen Wechsel der Passwörter verabschiedet hat, hat nun auch das BSI diese Empfehlung aus dem Kompendium gestrichen (Teil ORP.4.A22 und A23) und empfiehlt, sofern man nicht sicherstellen kann, dass die Kompromittierung eines Kennworts durch entsprechende Maßnahmen erkannt wird (z. B. durch eine E-Mail-Benachrichtigung bei jedem neuen Login), Folgendes: „[…] so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.“
Warum eigentlich regelmäßige Kennwortwechsel?
Die Idee bei den regelmäßigen Passwortwechseln war, dass kompromittierte Passwörter nur für die Dauer von maximal drei Monaten verwendbar sind, sofern eine Gültigkeitsdauer von 90 Tagen gewählt wurde. Zwar mag es Fälle geben, in denen kompromittierte Kennwörter erst Monate oder gar Jahre später verwendet werden. Bei Phishing-Angriffen und im Anschluss daran ausgeführten Angriffen auf Konten oder ganze Netzwerke ist das aber oft nicht der Fall. Zwar mag man hier in seltenen Fällen Glück im Unglück haben, wenn kurz nach der (isolierten) Kompromittierung eines Kennworts ein Wechsel ansteht. Dieser eher seltene Fall steht aber dem Risiko gegenüber, dass daraus erwächst, dass sich Nutzer Passwörter aufschreiben oder möglichst triviale Passwörter wählen. Um sich möglichst nicht erratbare Kennwörter merken zu können, kann man hier z. B. auf Merksätze zurückgreifen, bei denen man aus Anfangsbuchstaben und Sonderzeichen ein Kennwort erstellt. So wird aus „Ein sicheres Kennwort erfordert nur ein wenig Phantasie und muss dann auch nicht alle 90 Tage gewechselt werden!“ EsKenewPumdana90Tgw!.
Was tun für mehr Sicherheit?
Damit kommen wir zum Punkt, was zu tun ist, um für eine möglichst hohe Kennwortsicherheit zu sorgen. Zuerst einmal ist darauf zu achten, dass Kennwörter möglichst lang sein sollten, weil lange Kennwörter (sofern sie nicht erratbar sind) komplexen Kennwörtern überlegen sind. Nutzt man z. B. bei einer Kennwortlänge von acht Zeichen Groß-, Kleinbuchstaben und Ziffern, so gelangt man zu 628 Möglichkeiten (218.340.105.584.896), während neun Zeichen, auch wenn sie nur aus Klein- und Großbuchstaben bestehen, zu 529 Möglichkeiten führen (2.779.905.883.635.712). Nichtsdestotrotz ist die Kennwortkomplexität eine sinnvolle Ergänzung, weil dies zum einen dennoch die Zahl der möglichen Passwörter erhöht und zum anderen weniger dazu führt, dass leicht erratbare Kennwörter verwendet werden.
Neben der Kennwortlänge sollte außerdem darauf geachtet werden, dass die Kompromittierung von Kennwörtern erkannt wird. Auch wenn das bei Windows-Kennwörtern leider nicht so ohne weiteres funktioniert, kennt man z. B. von einigen Online-Diensten die Benachrichtigungs-E-Mails über neue Login-Vorgänge. Hier wird der Nutzer schnell skeptisch, wenn ein Login-Vorgang stattfindet, den er sich so gar nicht erklären kann. Immer dann, wenn so etwas passiert, sollte ein Kennwortwechsel durchgeführt werden.
Ein weiterer erheblicher Sicherheitsgewinn lässt sich dadurch erreichen, dass ein Zugang nach mehreren Fehleingaben des Passwortes gesperrt wird. Bei erhöhtem Schutzbedarf kann zudem ein zweiter Faktor eingesetzt werden, z. B. in Form einer Smartphone-App. Hier generiert das Smartphone ein Einmalpasswort (OTP, One-Time-Password), das sich regelmäßig ändert und das zusätzlich eingegeben werden muss. Ein Angreifer, der das Kennwort erbeutet hat, benötigt folglich außerdem noch diesen zweiten Faktor. Die Wahrscheinlichkeit, dass dem Angreifer auch der Zugriff auf diesen Faktor möglich ist, ist auf jeden Fall sehr viel geringer. Während der (vorübergehende) unberechtigte Zugriff auf den privaten Streaming-Account verschmerzbar sein kann, kann das bei Konten im Unternehmens-Umfeld ganz anders aussehen. Auf jeden Fall verpflichtend sollte ein zweiter Faktor sein, wenn ein hinreichend sensibles System aus dem Internet erreichbar ist.
Fazit
Kurz und knapp empfehlen wir Ihnen folgendes:
- Lange Kennwörter (mindestens zehn Zeichen, besser zwölf Zeichen).
- Komplexe Kennwörter („drei-von-vier“-Regel: Groß-, Kleinschreibung, Ziffern, Sonderzeichen).
- Nach mehreren Fehleingaben des Passwortes sollte eine Sperrung des Zugangs erfolgen.
- Zweiter Faktor für sensible Konten (bspw. One-Time-Password auf dem Smartphone).
- Verschiedene Kennwörter für verschiedene Dienste (zur Unterstützung können hier Passwort-Manager wie z. B. das kostenlose Keepass verwendet werden).
- Wenn möglich: Maßnahmen zur Erkennbarkeit bei der Kompromittierung des Kennworts (z. B. E-Mails bei neuen Logins).
Änderung von Kennwörtern nur bei Kompromittierung bzw. Verdacht der Kompromittierung