Heute ist also der Ändere-Dein-Passwort-Tag. Anwender sollen diesen Tag zum Anlass nehmen, ein bewährtes Passwort über Bord zu werfen, sich ein möglichst langes und kompexes Passwort neu auszudenken — und zu merken. Das Ganze möglichst für jede Anmeldung und Software separat. Und wieso? Na, das ist doch sicher! Und das haben wir ja schon immer so gemacht! Und im Zweifel verlangt es auch noch die Passwort-Richtlinie des einen oder anderen Unternehmens oder auch der Behörde.
Die Sinnhaftigkeit eines regelmäßigen Wechsels darf bezweifelt werden. In unserem Beitrag “Über Bord mit veralteten starren Passwort-Richtlinien” haben wir im August 2016 bereits auf allerlei Unfug in der Praxis rund um das Thema Passwort hingewiesen. Neben den Mythen Passwortlänge und Kompexität war darin das Wechselintervall von Passwörtern ebenfalls Thema.
Wenn bei der Auswahl von Passwörtern die vorhandene Technik (z.B. Accountsperre bei 5 Fehlversuchen) sowie die tatsächliche Bedrohungslage berücksichtigt und konfiguriert werden, gibt es eigentlich nur drei Anlässe, ein Passwort zu ändern. Kurioserweise befindet sich unter diesen 3 weder der Ändere-Dein-Passwort-Tag oder ein starres Intervall wie 90 Tage :-), sondern
- das Passwort wurde ausgespäht, zumindest besteht der Verdacht.
- das Passwort wurde unnötigerweise einer Kollegin oder einem Kollegen bekanntgegeben, obwohl dazu technisch normalerweise gar kein Grund besteht.
- es handelt sich um ein Initialisierungspasswort, das nach der Nutzung durch das eigentliche Passwort ersetzt werden muss.
Und das war es!
Alles andere nervt Ihre Anwender, führt im Zweifel zu notierten Passwörtern (am Besten gleich per Haftnotiz am Monitorfuss, inklusive Passwort vom Kollegen) und reduziert damit nachweisbar das Sicherheitsniveau. Lesen Sie mehr in unserem Beitrag vom August 2016.
Wir beantragen hiermit die Umbenennung des Ändere-Dein-Passwort-Tages in Überarbeite-Deine-Passwort-Strategie-generell-Tag 🙂 Die Hoffnung stirbt zuletzt.