28Aug
"Passwörter regelmäßig ändern" ist ein gängiges Passwort, aber es ist nicht unbedingt ein guter Ratschlag. Sie sollten die meisten Passwörter nicht regelmäßig ändern - es ermutigt Sie, schwächere Passwörter zu verwenden und Ihre Zeit zu verschwenden.
Ja, es gibt Situationen, in denen Sie regelmäßig Ihre Passwörter ändern möchten. Aber diese werden wahrscheinlich eher die Ausnahme als die Regel sein. Es ist ein Fehler, typischen Computerbenutzern zu sagen, dass sie ihre Kennwörter regelmäßig ändern müssen.
Die Theorie der regelmäßigen Passwortänderungen
Reguläre Passwortänderungen sind theoretisch eine gute Idee, weil sie sicherstellen, dass jemand Ihr Passwort nicht erlangen kann und es dazu verwendet, Sie über einen längeren Zeitraum hinweg zu schnüffeln.
Wenn beispielsweise jemand Ihr E-Mail-Passwort erworben hat, könnte er sich regelmäßig bei Ihrem E-Mail-Konto anmelden und Ihre Kommunikation überwachen. Wenn jemand Ihr Online-Banking-Passwort erworben hat, könnte er Ihre Transaktionen ausspionieren oder in mehreren Monaten wiederkommen und versuchen, Geld auf seine eigenen Konten zu überweisen. Wenn jemand Ihr Facebook-Passwort erworben hat, könnte er sich wie Sie anmelden und Ihre private Kommunikation überwachen.
Theoretisch hilft das regelmäßige Ändern Ihrer Kennwörter - vielleicht alle paar Monate -, dies zu verhindern. Selbst wenn jemand Ihr Passwort erhalten würde, hätten sie nur ein paar Monate Zeit, um ihren Zugang für schändliche Zwecke zu nutzen.
Die Nachteile
Passwortänderungen sollten nicht in einem Vakuum betrachtet werden. Wenn Menschen unendliche Zeit und perfektes Gedächtnis hätten, wären regelmäßige Passwortänderungen eine gute Idee. In der Praxis belastet das Ändern von Passwörtern die Menschen.
Durch die regelmäßige Änderung des Kennworts wird es schwieriger, sich an gute Kennwörter zu erinnern. Anstatt ein sicheres Passwort zu erstellen und es in den Speicher zu schreiben, müssen Sie versuchen, sich alle paar Monate an ein neues Passwort zu erinnern. Benutzer, die gezwungen sind, ihr Kennwort regelmäßig durch ein Computersystem zu ändern, können am Ende eine Nummer anhängen - also können sie password1, password2 usw. verwenden.
Es ist schwer genug, Ihr Passwort regelmäßig für ein einzelnes Konto zu ändern und sich jedes Mal an Ihr neues Passwort zu erinnern. Aber wir alle haben viele Passwörter - stellen Sie sich vor, Sie müssen Ihr Passwort regelmäßig ändern und sich immer wieder eindeutige, sichere Passwörter für eine große Anzahl von Diensten merken.
Es ist schon grundsätzlich unmöglich, für jede Website ein starkes, einmaliges Passwort zu wählen und sich daran zu erinnern - deshalb empfehlen wir die Verwendung eines Passwort-Managers wie LastPass oder KeePass. Wenn Sie Ihr Passwort alle paar Monate ändern, werden Sie wahrscheinlich schwächere Passwörter verwenden und sie auf mehreren Websites wiederverwenden. Es ist viel wichtiger, überall starke, eindeutige Passwörter zu verwenden, als das Passwort regelmäßig zu ändern.
Warum das Ändern von Passwörtern
nicht unbedingt hilft Das regelmäßige Ändern des Passworts hilft nicht so oft, wie Sie vielleicht denken. Wenn ein Angreifer Zugriff auf Ihre Konten erhält, wird er höchstwahrscheinlich seinen Zugriff nutzen, um sofort Schaden anzurichten. Wenn sie Zugang zu Ihrem Online-Banking-Konto erhalten, melden sie sich an und versuchen, Geld zu überweisen, anstatt zu warten. Wenn sie Zugang zu einem Online-Shopping-Konto erhalten, melden sie sich an und versuchen, Produkte mit Ihren gespeicherten Kreditkarteninformationen zu bestellen. Wenn sie Zugriff auf Ihre E-Mails erhalten, werden sie diese wahrscheinlich für Spam und Phishing verwenden oder versuchen, Passwörter auf anderen Websites mit dieser Adresse zurückzusetzen. Wenn sie Zugang zu Ihrem Facebook-Konto erhalten, werden sie wahrscheinlich versuchen, Ihre Freunde sofort zu spammen oder zu betrügen.
Typische Angreifer halten Ihre Passwörter für einen längeren Zeitraum nicht fest und schnüffeln über Sie. Das ist nicht profitabel - und Angreifer sind nur nach Profit. Sie werden feststellen, ob jemand Zugriff auf Ihre Konten erhält.
Die regelmäßige Änderung Ihres Passworts ist auch dann wichtig, wenn Sie überall dasselbe Passwort verwenden, da Ihr Passwort wahrscheinlich ständig verloren geht, wenn einer der von Ihnen verwendeten Dienste kompromittiert wird. Anstatt dieses einzelne Passwort regelmäßig zu ändern, sollten Sie sich hier mit dem echten Problem befassen und überall eindeutige Kennwörter verwenden.
, wenn Sie Kennwörter
ändern möchtenDas Ändern von Passwörtern kann helfen, wenn jemand, der kein traditioneller Angreifer ist, Zugriff auf Ihr Konto hat. Angenommen, Sie haben Ihre Anmeldedaten für Netflix mit einem Ex geteilt - Sie möchten Ihr Passwort ändern, damit Sie Ihr Konto nicht für immer verwenden können. Oder, jemand in Ihrer Nähe hat Zugriff auf Ihr E-Mail- oder Facebook-Passwort erhalten und Ihr Passwort verwendet, um Sie auszuspionieren. Wenn Sie Ihre Kennwörter ändern, verhindern Sie in erster Linie diese Art der gemeinsamen Nutzung von Konten und des Snoopings, und verhindern nicht, dass jemand auf der anderen Seite der Welt Zugang erhält.
Reguläre Passwortänderungen können auch für einige Arbeitssysteme nützlich sein, sollten aber mit Nachdenken verwendet werden. IT-Administratoren sollten Benutzer nicht dazu zwingen, ihre Kennwörter ständig zu ändern, es sei denn, es gibt einen guten Grund: Benutzer werden nur schwache Kennwörter verwenden, Kennwörter aufschreiben oder sogar zwischen zwei bevorzugten Kennwörtern hin und her wechseln.
Passwortänderungen in Reaktion auf bestimmte Ereignisse sind natürlich eine gute Sache. Es ist eine gute Idee, Ihre Passwörter auf Websites zu ändern, die für Heartbleed anfällig waren, aber jetzt gepatcht haben. Es ist auch eine gute Idee, Ihr Passwort zu ändern, nachdem die Passwörter einer Website gestohlen wurden.
Wenn Sie Passwörter für verschiedene Websites wiederverwenden, ist die Änderung Ihres Passworts auf all diesen Sites eine gute Idee, wenn eine dieser Sites kompromittiert ist. Aber das ist das Schlimmste, was Sie tun können - die wirkliche Lösung hier ist die Verwendung von einzigartigen Passwörtern, die nicht ständig Ihr geteiltes Passwort für alle Dienste ändern, die Sie verwenden.
Fokus auf nützliche Tipps
Das Problem mit der Beratung von Menschen, ihr Passwort regelmäßig zu ändern, ist, dass es so ablenkend ist. Die Verwendung von starken, eindeutigen Passwörtern überall ist bereits ein fast unmöglicher Ratschlag, wenn Sie keinen Passwortmanager verwenden, um sich diese für Sie zu merken. Die Zwei-Faktor-Authentifizierung ist ebenfalls hilfreich, da sie den Zugriff auf Ihre Konten verhindern kann, selbst wenn jemand Ihre Kennwörter stiehlt. Anstatt den Leuten zu sagen, dass sie ihre Passwörter regelmäßig ändern sollen, sollten wir nützliche Ratschläge geben, wie "einzigartige Passwörter überall verwenden" - etwas, was die meisten Menschen derzeit nicht tun.
Dies ist nicht der einzige Ratschlag, dem wir nicht zustimmen. Für die meisten Heimanwender ist das Schreiben von Passwörtern eigentlich keine schlechte Idee - es ist definitiv besser, als überall dasselbe Passwort wiederzuverwenden.
Wir sind nicht die Einzigen, die gegen normale, wahllose Passwortänderungen raten. Sicherheitsexperte Bruce Schneier hat darüber geschrieben, warum das regelmäßige Ändern von Kennwörtern keine gute Empfehlung ist. Microsoft Research hat außerdem festgestellt, dass das regelmäßige Ändern von Kennwörtern eine Zeitverschwendung ist. Ja, es gibt einige Situationen, in denen Sie dies tun möchten - aber den typischen Computernutzern Ratschläge wie "Ändern Sie Ihre Passwörter alle drei Monate" zu geben, tut mehr Schaden als Nutzen.
Bildquelle: Rochelle Hartman auf Flickr, Lulu Hoeller auf Flickr, Joanna Poe auf Flickr, Snoopsmaus auf Flickr, medithIT auf Flickr