Der Glaube, das häufige Ändern von Passwörtern schütze vor Hackern und Datendieben, hält sich wacker. Dabei richtet man damit eher sogar noch mehr Schaden an. Nun rückt auch die Regierung von ihrer langjährigen Empfehlung zu ständig neuen Passwörtern ab. Experten sind sich einig: Das wurde auch Zeit.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rückt von seiner Empfehlung ab, Passwörter regelmäßig zu ändern. In der aktuellen Ausgabe des BSI-Grundschutz-Kompendiums wurde die entsprechende Textpassage gestrichen. Die BSI-Experten raten im Kapitel zur Regelung des Passwortgebrauchs nur für den Fall, dass ein Passwort in fremde Hände geraten sein könnte, das Kennwort zu ändern. Auch die dort bisher aufgeführte Verpflichtung, feste Regeln für Länge und Komplexität vorzuschreiben, ist verschwunden.

Bereits seit Jahren sind viele Sicherheitsexperten der Ansicht dass solche Regeln eher schaden als nützen. "Ein gutes Passwort kann man bedenkenlos über Jahre hinweg nutzen", schreibt etwa Heise Security. "Das regelmäßige Ändern führt eher dazu, dass man schwache Passwörter benutzt und diese beispielsweise nach einem Schema (geheim1, geheim2, ...) erzeugt."

Ratgeber 11.11.19 03:16 min

n-tv Ratgeber So schützen Sie sich vor Phishing-Betrügern

Wichtiger ist, dass man für jeden Zugang ein eigenes sicheres Passwort verwendet und nicht für alle Online-Konten dasselbe. Denn so haben Hacker durch einen erfolgreichen Angriff Zugriff auf alle Logins eines Opfers.

"BSI hat sehr lange gebraucht"

Sogenannte Brute-Force-Angriffe, bei denen Hacker versuchen, mit maschineller Hilfe Passwörter zu erraten, sind durch lange und möglichst sinnlose Kombinationen mit Sonderzeichen, Buchstaben, Zahlen und Groß- und Kleinschreibung gut abzuwehren. Das gilt vor allem bei wahllos durchgeführten Angriffen, die kein spezielles Ziel haben.

Wenn immer möglich, sollte man die Zwei-Faktor-Authentifizierung (Bestätigung in zwei Schritten) nutzen. Noch besser sind Sicherheitsschlüssel auf einem USB-Stick, der zusätzlich zu E-Mail-Adresse und Passwort zum Einsatz kommen muss, bevor ein Zugang gewährt wird. Zusätzlich helfen Passwortmanager dabei, den Überblick zu bewahren.

Sicherheitsexperte Prof. Markus Dürmuth, der an der Ruhr-Uni Bochum zu Themen wie Passwort-Sicherheit forscht, begrüßte den Kurswechsel des BSI: "Das ist ein sehr wichtiger Schritt, für den das BSI allerdings sehr lange gebraucht hat."