Mythos 2: Häufige Passwortwechsel erhöhen die Sicherheit
Viele Angestellte kennen das: Die IT-Abteilung hat schon mehrmals den Tausch des Passworts verlangt, weil: “ Sicherheitsgründe“. Widerwillig haben die Mitarbeiter dann ihrem alten Passwort ein neues Ausrufezeichen hinzugefügt – schon das Sechste! Aber bringt es überhaupt etwas, regelmäßig neue Passwörter zu nutzen?
Im Prinzip ja, wenn man komplett neue Passwörter verwendet. Aber das tun nur die wenigsten, haben Forscher der University of North Carolina bereits 2010 herausgefunden. Denn ein Großteil der untersuchten Nutzer hat eben nur das vorherige Passwort ein wenig verändert. Aus „Password“ wird beispielsweise „Passw0rd“. Das hilft niemandem, denn Hackerprogramme probieren auch solche einfachen Änderungen durch. Außerdem neigen Menschen eher dazu, ein schwächeres Passwort auszuwählen, wenn sie wissen, dass sie es ohnehin bald ändern müssen.
Der Befehl aus der IT-Abteilung ist also gut gemeint, scheitert aber an den Mitarbeitern, die vor den Firmenrechnern sitzen. Der Mensch ist aus Sicht der IT-Sicherheit eine Schwachstelle. Der Nutzen der regelmäßigen Umstellung sei „relativ gering“, urteilen Forscher der Carleton University in Ottawa. Ihr Fazit: Der Mehraufwand durch die ständigen Passwortwechsel lohnt sich nicht. Man sollte Kennwörter lieber dann wechseln, wenn es einen Angriff gab und das Passwort gestohlen worden sein könnte. In so einem Fall sollte man dann schnell handeln.