Passwörter ändern: Ja, aber mit Bedacht

Wie viele Passwörter benutzen Sie eigentlich? Und wie oft wechseln Sie Ihre wichtigsten Zugangsdaten? Der von US-Medien ins Leben gerufene «Change Your Password Day» soll Anwender jeweils am 1. Februar sensibilisieren, ihre Passwörter zu ändern. Regelmässige Aufforderungen zum Passwortwechsel seien jedoch überflüssig, meinten schon Experten des Instituts für Standards und Technologie (NIST). Die US-Behörde legt unter anderem Standards für öffentlichen Einrichtungen der USA fest. Ähnlich tönt es auch beim deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) und bei der Melde- und Analysestelle Informationssicherung des Bundes (Melani). Nur haben die Experten teilweise unterschiedliche Ansichten, wenn es darum geht, sich eine Strategie für das sichere Passwort zurechtzulegen. Sowohl das BSI als auch Melani eher zu leicht einprägsamen Verhaltensregeln wie der Kombination von Gross- und Kleinbuchstaben, während die US-Behörde eher Merksätze wie «Ich mag Kaugummi mit Menthol» empfehlen würde. Sicher keine gute Idee sind Namen und Telefonnummern als Passwörter oder zu simple Phrasen wie 124356.

Wie oft man jedoch das Passwort wechseln soll, darüber herrscht offensichtlich Uneinigkeit. So könnten etwa Anwender, die schon zuvor für mehrere Dienste dieselben Passwörter verwendet haben, plötzlich auf die Idee kommen, ihre ohnehin schon schwachen Kennwörter der Einprägsamkeit wegen geringfügig zu ändern. Aus wurstsalat02 wird dann vielleicht nur wurstsalat03. Viele Unternehmen dürften ihren Angestellten Ratschläge erteilen, Passwörter jeden Monat oder (wie Melani) alle 60 Tage zu ändern. Besonders streng nimmt es etwa Swisscom bei internen Weisungen. «Nebst klaren Regeln für die Erstellung des Passworts werden unsere Mitarbeitenden aufgefordert, ausserhalb des Unternehmens nie dasselbe Passwort wie im Geschäft zu verwenden», sagt Sprecher Armin Schädeli auf Anfrage.