Wie viele Passwörter benutzen Sie eigentlich? Und wie oft wechseln Sie Ihre wichtigsten Zugangsdaten? Der von US-Medien ins Leben gerufene «Change Your Password Day» soll Anwender jeweils am 1. Februar sensibilisieren, ihre Passwörter zu ändern. Regelmässige Aufforderungen zum Passwortwechsel seien jedoch überflüssig, meinten schon Experten des Instituts für Standards und Technologie (NIST). Die US-Behörde legt unter anderem Standards für öffentlichen Einrichtungen der USA fest. Ähnlich tönt es auch beim deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) und bei der Melde- und Analysestelle Informationssicherung des Bundes (Melani). Nur haben die Experten teilweise unterschiedliche Ansichten, wenn es darum geht, sich eine Strategie für das sichere Passwort zurechtzulegen. Sowohl das BSI als auch Melani eher zu leicht einprägsamen Verhaltensregeln wie der Kombination von Gross- und Kleinbuchstaben, während die US-Behörde eher Merksätze wie «Ich mag Kaugummi mit Menthol» empfehlen würde. Sicher keine gute Idee sind Namen und Telefonnummern als Passwörter oder zu simple Phrasen wie 124356.

Wie oft man jedoch das Passwort wechseln soll, darüber herrscht offensichtlich Uneinigkeit. So könnten etwa Anwender, die schon zuvor für mehrere Dienste dieselben Passwörter verwendet haben, plötzlich auf die Idee kommen, ihre ohnehin schon schwachen Kennwörter der Einprägsamkeit wegen geringfügig zu ändern. Aus wurstsalat02 wird dann vielleicht nur wurstsalat03. Viele Unternehmen dürften ihren Angestellten Ratschläge erteilen, Passwörter jeden Monat oder (wie Melani) alle 60 Tage zu ändern. Besonders streng nimmt es etwa Swisscom bei internen Weisungen. «Nebst klaren Regeln für die Erstellung des Passworts werden unsere Mitarbeitenden aufgefordert, ausserhalb des Unternehmens nie dasselbe Passwort wie im Geschäft zu verwenden», sagt Sprecher Armin Schädeli auf Anfrage.

Trotzdem tauchen dann im Darknet immer wieder grössere Datenbanken frischer Anmeldedaten von Firmen auf. Jedoch dauert es aber oft Monate, bis überhaupt bekannt wird, dass Onlinekonten geknackt wurden. «Zu häufiges Wechseln des Passwortes kann schlecht sein, weil man dann die Passwörter eher vergisst oder immer zwischen ein paar wenigen hin und her wechselt», betont der Sicherheitsexperte Candid Wüest von Symantec. Passwörter die man jedoch seit Jahren nicht gewechselt hat, solle man unbedingt erneuern, so auch Wüest. Ergo ist die Grundregel, regelmässig Passwörter zu ändern, keine schlechte Idee.

Symantec und Computerworld raten deswegen dennoch: Nutzen Sie die heutige Chance am «Change am Change Your Password Day» ändern Sie Ihre Passwörter, wenn Sie das schon länger nicht mehr gemacht haben. Vor allem bei wichtigen Accounts sollte man starke Passwörter verwenden, also nicht den Namen der Katze oder des Hundes, denn Hackern können in Sekunden Millionen von Passwörtern aus Wörterbüchern durchprobieren. Es ist aber wichtig, dass man nicht bei allen Accounts das gleiche Passwort verwendet. Ansonsten reicht ein gekaperter Anbieter aus, um alle anderen Konten auch gleich zu öffnen. Mindestens bei der Kreditkarte oder der E-Mail sollte man sich daran halten.