Seit Jahren wird Nutzern vorgebetet: Passwörter sollten alle paar Monate gewechselt werden, um die Sicherheit zu erhöhen. Lorrie Cranor, Chief Technologist der US-Handelsbehörde FTC, stellt diese Regel allerdings infrage. Sie behauptet, dass ein erzwungenes, regelmäßiges Ändern des Passwortes die Sicherheit schwächen kann.

Wechselzwang alle drei bis vier Monate

Viele Unternehmen und Behörden verlangen von ihren Mitarbeitern, dass Passwörter etwa alle drei bis vier Monate geändert werden. Oft ist das mit einem automatisierten Prozess verbunden, der das Erstellen eines neuen Codeworts erzwingt. Dringen Hacker in ein Netzwerk ein oder wird ein Dienst gehackt, bei dem Passwörter abgegriffen werden, sind diese im Idealfall schon veraltet und Kriminelle können nichts mehr damit anfangen.

Doch laut Cranor, die vor ihrem Wechsel zur FTC an der Carnegie Mellon University unterrichtete, hat die Sache einen Haken, wie sie auf der Sicherheitskonferenz Black Hat vergangene Woche in Las Vegas erklärte. Denn die meisten Nutzer würden ein bestimmtes Schema für ihr Passwort verwenden und beim verpflichtenden Wechsel nur eine kleine Änderung durchführen. Diese Änderungen sind vorhersehbar und schwächen die Sicherheit.

Minimale Änderungen vorhersehbar

In einer Studie aus dem Jahr 2010 haben Forscher der University of North Carolina Daten von 10.000 abgelaufenen Accounts von Universitätsmitarbeitern und Studenten untersucht, die ihre Passwörter alle drei Monate ändern mussten. Dabei untersuchten sie nicht nur die jeweils letzten abgelaufenen Passwörter, sondern auch frühere, wie "Ars Technica" berichtet. Die Forscher fanden heraus, dass Nutzer oft darauf zurückgreifen, einen Klein- und einen Großbuchstaben zu ändern, ein einzelnes Zeichen hinzuzufügen oder fortlaufende Zahlen zu verwenden.

Auf ein Passwort wie "susi&1" würde beispielsweise also häufig "sUsi&1", "susi&11" oder "susi&2" folgen. Dieses Wissen könnten sich Hacker zunutze machen und Scripts zum Knacken von Passwörter entwickeln, die solche minimalen Änderungen berücksichtigen.

Nicht der Wechsel macht unsicher, sondern die Gewohnheiten der Nutzer

Cranor ist mit ihrem Ratschlag nicht allein. Sicherheitsexperte Bruce Schneier pflichtet ihr in einem Blogeintrag bei. Er warne schon seit Jahren davor, dass häufiger Passwortwechsel zu schlechten Passwörtern führe. Und auch das US-amerikanische National Institute of Standards and Technology hat die Schlussfolgerung gezogen, dass der erzwungene Passwortwechsel kontraproduktiv sein kann.

Die Untersuchungen dazu zeigen also, dass nicht der häufige Wechsel von Passwörtern an sich schlecht ist. Es ist die Art, wie Nutzer ihre Passwörter wählen, die den häufigen Wechsel obsolet machen kann. Wer also bei jedem erforderlichen Wechsel ein komplett neues, sicheres Passwort wählt, erhöht die Sicherheit seiner Daten. (red, 8.8.2016)