Der “Ändere dein Passwort"-Tag ist Blödsinn
Es ist einer der hartnäckigsten Mythen der Computersicherheit, dass das regelmäßige Ändern der Passwörter auch nur irgendwas bringt. Dennoch wird immer noch am 1. Februar der "Ändere dein Passwort"-Tag begangen. Auch hält es Abertausende Unternehmen nicht davon ab, ihre Mitarbeiter*innen in regelmäßigen Abständen dazu zu zwingen, genau das zu tun (ich will aber keine Namen nennen).
Da Menschen aber keine Lust haben, sich alle paar Monate ein neues - sicheres - Passwort zu merken, werden manche stattdessen "kreativ". Ihr glaubt nicht, dass jemand tatsächlich so fahrlässig wäre, Passwörter wie “Februar2024” oder “Winter2024” zu nutzen? Weit gefehlt, genau das habe ich schon mehrfach mitbekommen.
3 Gründe sein Passwort zu ändern
Das heißt nicht, dass man sein Passwort keinesfalls ändern sollte. Es gibt aber nur 3 Gründe, das zu tun und ein Tag ist nicht darunter:
- Euer Konto wurde geknackt - Stichwort haveibeenpwned.com
- Ihr habt es auf mehreren Seiten gleichzeitig verwendet - Ernsthaft?
- Es ist einfach ein schlechtes Passwort - Inspiration, was schlecht ist, findet ihr zb. hier.
Passwortmanager und 2FA
Wenn ihr im Netz wirklich sicher unterwegs sein wollt, verwendet für jeden Dienst oder Webseite ein eigenes, langes Passwort. Am besten so lange, dass ihr es euch keinesfalls merken könnt. Stattdessen verwendet einen Passwortmanager (Keepass oder 1Password).
Das Passwort für den Manager selbst soll lang sein, Sonderzeichen und Zahlen enthalten. Ja, schwer zu merken, aber es ist das einzige, das ihr euch merken müsst. Und regelmäßig ändern müsst ihr es auch nicht (außer: siehe oben) Wenn es wirklich sein muss, schreibt es euch auf Papier auf, verwahrt den Zettel aber an einem sicheren Ort zu Hause. Das ist jedenfalls besser, als den Manager mit einem Wort zu sichern, das in jedem Wörterbuch steht.
Und aktiviert überall, wo es möglich ist, Zweifaktorauthentifizierung. Dann habt ihr ein Basislevel an Passwortsicherheit, das ausreichend ist. Und dann vergesst den "Ändere dein Passwort"-Tag wieder.
Kommentare