Ändere-dein-Passwort-Tag: Ausnahmsweise ja, bitte!

Der Ändere-dein-Passwort-Tag an jedem 01. Februar eines Jahres bekam von uns bisher wenig Wohlwollen. Dieses Jahr ist das anders: Bitte, ändert die Passwörter!

In Pocket speichern vorlesen Druckansicht 209 Kommentare lesen

(Bild: Song_about_summer/Shutterstock.com)

Lesezeit: 6 Min.
Von
Inhaltsverzeichnis

Der Ändere-dein-Passwort-Tag ist uns eigentlich ein Dorn im Auge. Nutzerinnen und Nutzer dazu zu nötigen, regelmäßig ihre Passwörter zu ändern, führt zu oftmals besonders schlechten und leicht erratbaren Passwörtern: Konstrukte wie WortPass#1, das nächste dann WortPass#2 und so weiter genügen oftmals den Vorgaben für Passwörter, sind aber einfach zu knacken. Die Sicherheit leidet, anstatt verbessert zu werden.

Doch dieses Jahr scheint es für zahlreiche Nutzer sinnvoll zu sein, die eigenen Passwörter auf einen neuen Stand zu bringen – vorrangig dann, wenn ein Schema zur Erstellung zum Einsatz kam oder ein Passwort wiederverwendet wurde. Auf jeden Fall muss das Passwort geändert werden, wenn Angreifer es bekanntermaßen bei einem Einbruch knacken konnten. Einerseits gab es im vergangenen Jahr zahlreiche Passwort-Lecks, bei denen Passwörter oder deren Hashes ihren Weg in die Öffentlichkeit gefunden haben. Andererseits kam es zu vielzähligen Angriffen, bei denen Cyberkriminelle Passwörter und Nutzernamen einfach durchprobiert und damit unbefugten Zugang erhalten haben. Zudem wird nicht jeder Einbruch bekannt, und von einigen erfahren Betroffene erst nach Monaten.

Um sich ein grobes Bild vom Ausmaß zu machen: Zu etwa 35.000 Kundenkonten bei Paypal konnten Cyberkriminelle die Zugangsdaten erraten, 200.000 sogar bei North-Face, ungezählte Zugänge bei NortonLifeLock und zuletzt noch rund 20.000 bei DocMorris. Das sind lediglich die jüngsten gemeldeten und erfolgreichen Angriffe, bei denen das sogenannte Credential Stuffing – also Austesten von Passwörtern – erfolgreich war. Oftmals arbeiten die Einbrecher mit Unterstützung durch Listen von früheren Datenlecks.

Ob die eigene E-Mail-Adresse oder Nutzername in solchen Lecks bekannt wurde, lässt sich etwa auf der Webseite Have-I-Been-Pwned prüfen. Nicht in jedem Fall bedeutet ein Auftauchen in der Datenbank der Seite, dass auch das Passwort nun unsicher ist. Wenn das der Fall war, erwähnen die Ergebnisse das in der Regel. Eine gelegentliche Prüfung der eigenen Zugänge dort und das Verfolgen der Medien auf Cyber-Einbruchsmeldungen helfen jedoch, gefährdete Zugänge zu identifizieren und deren Passwörter gezielt zu erneuern.

Damit jetzt nicht potenziell geknackte Passwörter mit schlechten Mustern ersetzt werden, die ihrerseits zu leicht herauszufinden sind, sollten Nutzerinnen und Nutzer auf ein Hilfsmittel setzen: den Passwort-Manager. Der vereinfacht den Umgang mit und die Erstellung von komplexen, guten Passwörtern. Wer noch nicht auf derartige Software setzt: Der beste Zeitpunkt, damit anzufangen, ist jetzt!

Viele Passwort-Manager legen die Passwörter verschlüsselt in ihrer Datenbank ab, idealerweise liegen auch die zugehörigen URLs nicht im Klartext im Passwort-Safe. Die meisten erlauben eine Cloud-Synchronisation – teils mit selbst gehosteter Datenbank, etwa auf einem Raspberry Pi –, sodass die Software plattformübergreifend nutzbar ist; parallel auf dem Desktop, Laptop, Tablet und Handy. Nutzerinnen und Nutzer brauchen sich nur das Master-Kennwort zu merken oder können sogar einfach biometrische Authentifizierung etwa mittels Daumenabdruck nutzen. Ein Passwort-Manager erhöht schlussendlich den Komfort.

Zudem bringen diese Werkzeuge in der Regel auch gleich einen Passwort-Generator mit, der nach Benutzervorgaben beliebig lange und komplexe Passwörter erstellt. Die lassen sich per Mausklick kopieren, in Zugangsdaten-Felder einfügen und auch gleich im Passwort-Tresor aktualisieren. Die Nutzerinnen und Nutzer müssen sie sich an keiner Stelle merken und suchen daher nicht nach Vereinfachungen. Das erhöht die Sicherheit dann tatsächlich. Vor allem können mit dem Passwort-Manager Webseiten schnell angesurft und die zugehörigen Zugänge mit wenigen Klicks auf neue, sichere Passwörter umgestellt werden.

Gelegentlich machen aber nicht Nutzerinnen und Nutzer Fehler, sondern die Anbieter bauen Mist: Cloud-Speicher sind vor Einbrüchen nicht gefeit, daher sollte bei der Passwort-Manager-Wahl Augenmerk auf eine vor der Synchronisation verschlüsselte Datenbank gelegt werden. Die Entwickler des Passwort-Manager Bitwarden beschreiben etwa, dass nur verschlüsselte Daten auf deren Cloud-Servern lagern.

So gab es kürzlich Einbrüche etwa bei Lastpass, wodurch Cyberkriminelle Zugriff auf die Kennwort-Tresore erhalten haben. Darin liegen die Passwörter in gehashter Form vor. Betroffene Nutzerinnen und Nutzer sollten umgehend zu allen Konten in den Tresoren und bei Lastpass selbst die Passwörter ändern, da Kriminelle versuchen könnten, sie zu knacken. Der oben erwähnte Einbruch bei NortonLifeLock ist zumindest teilweise noch etwas schlimmer. Insbesondere durch einfache und schlecht gewählte Passwörter war der Zugriff möglich, und wer dasselbe Passwort für den Norton Passwort-Manager verwendet hat, hat die darin gespeicherten Daten auf dem Silbertablett serviert.

Bisher sind das jedoch Ausnahmefälle. Diese verdeutlichen jedoch, dass bei der Cloud-Synchronisation insbesondere dann Gefahren lauern, wenn die Passwort-Manager-Datenbank nicht verschlüsselt dort lagert.

Durch den Passwort-Generator und dessen Integration lässt sich das Ändern der Passwörter auf Webseiten mit Passwort-Manager besonders einfach und zügig umsetzen. Eine Anekdote aus der Praxis: Bereits nach kurzer Zeit, nachdem ich einen Passwort-Manager nutze, kenne ich keines meiner Passwörter mehr – außer natürlich das Master-Kennwort.

Wenn Nutzerinnen und Nutzer dazu noch die Mehr-Faktor-Authentifizierung bei allen Zugängen aktivieren, gewinnen sie noch mehr an Sicherheit. Neue Anmeldungen auf unbekannten Geräten, Webbrowsern oder Apps müssen mit einem zusätzlichen Faktor, etwa ein mittels Authenticator generierter Einmal-Code, erst genehmigt werden. Bei dem Passwort-Wechsel mit dem Passwort-Manager können sie das direkt mit erledigen.

Grundsätzliche Bedenken gegenüber einer pauschalen und regelmäßigen Änderungspflicht beim Passwort bleiben bestehen. Menschen lieben Gewohnheiten und vereinfachen sich die Arbeit. Das führt beim Zwang zum Passwort-Ändern oftmals zum Gegenteil des gewünschten Effekts. Anstatt ein sicheres Passwort zu suchen, greifen Betroffene in der Regel auf einfache Schemen zurück, die sich von Angreifern womöglich erraten lassen.

Als regelmäßiger Termin bleibt dieser Gedenktag daher weniger empfehlenswert. Als Erinnerung zum Überprüfen der eigenen Konten, ob diese etwa in Datenlecks aufgetaucht oder tatsächlich geknackt worden sind, taugt er jedoch. Wenn es nach den einflussreichen Großunternehmen geht, ist der Ändere-dein-Passwort-Tag in absehbarer Zeit jedoch genauso Geschichte wie die Passwörter selbst. Der Passwort-Nachfolger FIDO2 mit Passkeys steht in den Startlöchern.

(dmk)