Regelmäßiger Passwortwechsel erforderlich?
Sicherheitsexperten weisen darauf hin, dass ein regelmäßiger Passwortwechsel nicht zu einer Erhöhung der Zugriffssicherheit beitrage, sondern im Gegenteil zusätzliche Risiken entstehen würden.
Wie allgemein bekannt ist, müssen Kennwörter gewisse Anforderungen erfüllen. So dürfen auf keinen Fall Trivialpasswörter oder Passwörter verwendet werden, die einen Bezug zum Besitzer aufweisen (z. B. Namen, Geburtsdatum oder Telefonnummern). Stattdessen sollten Passwörter verwendet werden, die nicht einfach zu erraten sind.
Zusätzlich sollten zur Erhöhung der Sicherheit Ziffern und Sonderzeichen eingestreut werden. Solche komplizierten Passworte lassen sich natürlich nur durch häufige Benutzung merken. Deshalb sollte sich jeder Anwender nach jedem Passwortwechsel mehrmals hintereinander anmelden, um sich so das Kennwort besser einprägen zu können.
Bisher galt auch die Regelung, dass Passwörter in regelmäßigen Zeitabständen geändert werden müssen. Dabei sollte der Zeitpunkt der Änderung nicht dem Anwender überlassen werden, sondern er sollte maschinell dazu gezwungen werden, sein Passwort regelmäßig (z. B. nach 90 Tagen) zu ändern. Doch diese Vorgabe kommt nunmehr ins Wanken.
In letzter Zeit mehren sich die Stimmen von Sicherheitsexperten, die behaupten, dass ein regelmäßiger Passwortwechsel nicht zu einer Erhöhung der Zugriffssicherheit beitrage, sondern im Gegenteil zusätzliche Risiken entstehen würden.
So führt nach Ansicht dieser Experten die Anforderung, möglichst lange und komplexe Passwörter zu verwenden bei einem regelmäßigen Passwortwechsel dazu, dass sich die Anwender die Passwörter nicht mehr merken können und diese aufschreiben. Der Zettel wird dann häufig in der Nähe des IT-Geräts – z. B. unter dem Mousepad aufgehoben.
Diese Einwände sind nicht von der Hand zu weisen. Statt eines regelmäßigen Passwortwechsels sollte lieber ein mindestens 12stelliges Passwortwechsel gewählt werden, das nicht leicht zu erraten ist. Zudem sollte das Passwort
- nicht nur Buchstaben beinhalten sondern aus Groß- und Kleinbuchstaben, Sonderzeichen (Satzzeichen u. ä.) und Zahlen bestehen,
- möglichst kein Wort sein, das im Duden oder in einem anderen Wörterbuch aufgeführt ist,
- nicht aus einem Trivialpasswort bestehen (z. B. Namen von Prominenten, Passwort),
- nicht aus Zeichen aufgebaut sein, die auf der Tastatur nebeneinander liegen (z. B. 123456),
- nicht das gleiche Zeichen mehrfach hintereinander enthalten (z. B. AAAA),
- keinen Bezug zum Benutzer erkennen lassen (z. B. nicht Benutzerkennung, Name, Geburtsdatum, Kraftfahrzeugkennzeichen, usw.).
Zusätzlich sind alle erfolglosen Anmeldeversuche zu protokollieren und auszuwerten. Die Anzahl an aufeinander folgenden Fehlversuchen ist systemtechnisch auf maximal 5 zu begrenzen. Nach mehrfachen erfolglosen Anmeldeversuchen muss eine systemtechnische Sperrung der Benutzerkennung und/oder des Endgerätes i. d. R. auf Dauer erfolgen.
Natürlich muss bei einem Verdacht des Bekanntwerdens des Passwortes trotzdem jederzeit ein Passwortwechsel durch den Benutzer möglich sein.