Fachrat Informatik - Forum

Hallo!

Wie viele von euch sicherlich mitbekommen haben, hat sich vor kurzem die BITKOM zu Wort gemeldet und beklagt, dass die meisten Deutschen ihre Passwörter zu selten ändern (s. Presseinfo von BITKOM ).
Die Empfehlung von der BITKOM lautete, alle "3 Monate" seine Passwörter zu wechseln.

Ganz blöde Frage: Was genau bringt ein Passwortwechseln?

Obwohl ich lange nach einer plausiblen Begründung gesucht habe, habe ich bisher keine gefunden, die mich wirklich überzeugt.
Warum sollte ich ein Passwort, dass aus 40 Zeichen mit Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen besteht, alle 3 Monate ändern? Ein Brute-Force-Angriff wäre sowieso aussichtslos, genauso wie eine Wörterbuch-Attacke. Warum also das Passwort wechseln?

Selbst bei einem unsicheren Passwort wie z.B. aabaacde würde ein Wechseln nur wenig bringen: Ein Brute-Force-Angriff knackt so ein Passwort schnell und selbst wenn ich es wechsele in babaacde
habe ich damit den Zeitpunkt, zu dem das Passwort geknackt wird, nur unwesentlich hinausgezögert. Schlimmer noch wenn das Passwort z.B. zzzaazaz lautet. Wenn ich dann z.B. czzaazaz als neues Passwort
wähle, hab ich den Brute-Force-Angriff sogar beschleunigt.

Der einzige Fall, der mir einfällt ist, dass jemand mit Keylogger/Trojaner oder Social Engineering das Passwort ausgespäht hat und ich ihn mit einem Wechsel des Passworts wieder von dem betroffenen System "aussperren" könnte (aber bis dahin konnte der Angreifer sowieso schon genug Schaden anrichten [u.a. auch das Passwort selbst ändern um mich als Besitzer auszusperren] und falls es mein System mit Malware infiziert hat, wird er auch problemlos an das neue Passwort kommen).

Also was genau soll der Passwortwechsel bringen?

Quoted

Ein Angriff gegen Passwörter erfolgt häufig auch gegen die Hash-Werte, die ein Cracker vom Server kopiert hat. Hier bekommt man nicht mit, wann das eigene Passwort geknackt wurde.

Man bekommt eh selten mit, ob und wann das eigene Passwort geknackt wurde. Ich schätze, dass du mit Hash-Werten die Rainbow-Tables meinst? Wenn ja: Zum einen sollte der Serverbetreiber durch Hinzufügen eines Salt-Wertes dafür sorgen, dass solche Angriffe ins Leere laufen und andererseits würde hier bereits die Wahl eines sicheren Passworts den Angriff auch so verhindern, da Rainbow-Tables nur Passworte bis zu einer bestimmten Länge und bis zu einem bestimmten Zeichenvorrat enthalten.

Quoted

Oder das Passwort wurde von einem Trojaner/Keylogger/... ausgespäht, vielleicht auch auf einem Rechner auf den mehrere Leute Zugang haben (Internet-Cafe, Zip-Pool, ...), aber die zugehörigen Accounts wurden nicht sofort benutzt, da sie nicht „interessant genug“ schienen. Ein zukünftiger Mißbrauch wäre aber nicht auszuschließen.

Ok, wäre ein Argument für den Wechsel. Allerdings: Hilft nichts, wenn ich mit dem gewechselten Passwort wieder am Trojaner-PC arbeite (oder von dort aus sogar mein Passwort ändere)

Quoted

Außerdem gibt es bestimmt auch viele Leute, die ihr Passwort „vertrauenswürdigen“ Leuten weitergeben, um z.B. das Sitten in Onlinespielen zu ermöglichen. Da hilft ein regelmäßiger Wechsel, die Übersicht zu behalten, wer denn Zugriff auf den Account hat.

Äh... ok. Die beste Übersicht habe ich, wenn NUR ich mein Passwort kenne

Quoted

Sehr sinnvoll gegen diese Angriffe wären vor allem verschiedene Passwörter für verschiedene Accounts. Ob man dann bereit ist, sich für alle Accounts im 3monatlichen Rhythmus neue Passwörter zu erzeugen und sicher zu merken oder ob es da sinnvoller ist, diese seltener zu wechseln, damit man nicht einen Zettel mit allen Passwörtern in der Brieftasche hat hängt in erster Linie davon ab, wie schnell man sich neue Passwörter merken kann.

Ich vermute mal, dass mind. 90% der Benutzer nur ein einziges Universalpasswort haben, da sie keine Lust haben sich diese Passwörter zu merken und auch zu bequem sind einmal auf ihren Passwort-Zettel in ihrer Brieftasche zu gucken (könnte ja 10 Sekunden Zeit kosten - sorry für meinen Sarkasmus). Eine Lösung wäre hier eventuell ein Passwort-Safe Programm (wobei dann natürlich das Universalpasswort um Gottes Willen sicher gewählt und geheim bleiben sollte).



Also wenn ich es richtig verstanden habe: Passwortwechsel soll präventiv wirken für den hypothetischen Fall, dass mein Passwort irgendwie, irgendwann und irgendwo ausgespäht worden oder sonst wie bekannt geworden ist, richtig? Überzeugt mich irgendwie nur halb: Denn wenn ich mein Passwort wie meine Handynummer in meinem Bekanntenkreis verteile oder Online-Banking im Internet-Café mache, wo die Rechner mit Viren und Trojanern bis Netzteil-Oberkante voll sind oder sogar mein eigener PC besser den Namen "Virenfarm" tragen sollte, sind 3 Monate zum Passwort-Wechsel viel zu lang. Da müsste man schon täglich alle Passwörter wechseln (oder sich vielleicht Gedanken machen, warum seine Passwörter in falsche Hände geraten und dafür sorgen, dass dies in Zukunft nicht mehr passiert) .

Ich bin der Meinung, dass ein Passwortwechsel zu festen Intervallen in den meisten Fällen nicht so richtig Sinn macht. Besser ist meiner Meinung nach, dass man quasi event-basiert die Passwörter ändert z.B. E-Mail Check im Internet-Café (wenn's unbedingt sein muss) -> so schnell wie möglich Passwort ändern, Trojaner auf PC gefunden -> SOFORT Passwörter ändern usw.