Passwörter sind seit Jahrzehnten eine der grundlegenden Methoden zur Sicherung digitaler Zugänge und sensibler Daten. Lange Zeit galt die Strategie, Nutzer dazu zu verpflichten, ihre Passwörter regelmäßig zu ändern, als bewährte Methode, um potenzielle Angriffe abzuwehren und Kompromittierungen zu verhindern. Doch diese Praxis wird mittlerweile zunehmend infrage gestellt. Wissenschaftliche Studien und Expertenmeinungen zeigen, dass häufige Passwortwechsel nicht nur mit erheblichen Nachteilen behaftet sind, sondern die Sicherheit mitunter sogar verschlechtern können. Die Anforderungen an die Informationssicherheit verändern sich kontinuierlich.
Neue Angriffsvektoren, leistungsfähigere Technologien und verändertes Nutzerverhalten zwingen Unternehmen und IT-Sicherheitsverantwortliche dazu, bewährte Maßnahmen zu hinterfragen und an aktuelle Gegebenheiten anzupassen. Die US-amerikanische Federal Trade Commission (FTC) hat bereits 2016 wichtige Erkenntnisse zu diesem Thema veröffentlicht, die im Folgenden zusammengefasst und analysiert werden. Das Grundprinzip hinter regelmäßigen Passwortänderungen bestand darin, dass Angreifer, die ein Passwort gestohlen oder erraten haben, spätestens nach Ablauf der Änderungspause ausgesperrt würden. Auf den ersten Blick klingt das logisch: Die Zeitfenster, in denen ein kompromittiertes Passwort zum Zugriff genutzt werden kann, werden begrenzt. Allerdings zeigen Studien, dass Nutzer unter dem Druck, ständig neue Passwörter zu wählen, oftmals schwächere oder leicht vorhersehbare Varianten auswählen.
Forschende der University of North Carolina führten zwischen 2009 und 2010 eine umfangreiche Untersuchung durch, in deren Rahmen sie über 10.000 Nutzerpasswörter eines Hochschulsystems analysierten. Die Benutzer waren verpflichtet, ihre Passwörter alle drei Monate zu ändern. Die Untersuchung enthielt mehr als 50.000 Passwortversionen, die alle gehasht vorlagen – eine gängige Methode zur Sicherung von Passwörtern in IT-Systemen.
Die Forscher versuchten, diese Passwörter mittels moderner Cracking-Algorithmen zu entschlüsseln, und konnten rund 60 % der Passwörter knacken. Besonders aufschlussreich war, dass viele Nutzer ihre neuen Passwörter nach vorhersehbaren Mustern erstellten. So wurden häufig nur einzelne Zeichen verändert, Zahlen inkrementiert oder spezielle Symbole hinzugefügt bzw. entfernt. Selbst das Einfügen von Monats- oder Jahreszahlen zur Erinnerung kam häufig vor.
Dieses Verhalten erleichtert es Angreifern, nach einem Passwortwechsel mit wenigen Versuchen Zugriff auf das neue Passwort zu erlangen. Die Studie zeigte zudem, dass Nutzer mit anfänglich schwachen Passwörtern besonders anfällig für solche Muster waren und dass einmal identifizierte Transformationsmuster auf das gesamte Passwort-Portfolio eines Nutzers angewendet werden konnten, um weitere Passwörter erfolgreich zu knacken. Somit bietet die Pflicht zu regelmäßigen Passwortwechseln Angreifern unter Umständen sogar einen strategischen Vorteil. Eine weitere Studie der Carleton University ergänzte diese Erkenntnisse durch eine mathematische Analyse der Auswirkungen von Passwortablauf-Richtlinien. Die Forschenden kamen zu dem Schluss, dass häufige Passwortänderungen Angreifer, die Zugang zu gehashten Passwortdateien besitzen und Offline-Angriffe durchführen, kaum stoppen oder verlangsamen können.
Moderne Passwort-Cracking-Verfahren, unterstützt durch leistungsstarke Hardware, sind in der Lage, große Mengen potenzieller Passwörter in kurzer Zeit durchzuprobieren. Wichtiger als die bloße Änderung der Passwörter sei es, Zeit und Ressourcen darauf zu verwenden, sichere Passwörter zu wählen, die komplex und schwer zu erraten sind. Hierbei helfen nicht nur Richtlinien zur Passwortlänge und -komplexität, sondern auch der Einsatz von sogenannten 'langsamen Hashfunktionen' wie bcrypt, die es Angreifern erschweren, massenhaft Passwörter zu entschlüsseln. Darüber hinaus zeigt die Forschung, dass Nutzer, die wissen, dass sie ihre Passwörter regelmäßig wechseln müssen, tendenziell geringeren Aufwand in die Erstellung sicherer Passwörter investieren. Häufig werden Passwörter irgendwo notiert oder leicht zu merkende, aber schwache Passwörter gewählt, um den Aufwand beim nächsten Wechsel zu verringern.
Dies steht im Widerspruch zum eigentlichen Ziel, die Sicherheit zu erhöhen. Wann ist es also sinnvoll, das Passwort zu ändern? Experten raten dazu, die Änderung nur dann vorzunehmen, wenn tatsächliche Anzeichen für eine Kompromittierung vorliegen. Dazu gehören beispielsweise der Verdacht, dass das Passwort gestohlen wurde, der unbefugte Zugang durch Dritte möglich war oder das Passwort versehentlich an unsichere Stellen weitergegeben wurde. Auch bei der Verwendung eines besonders schwachen Passwortes ist ein Wechsel ratsam. Wer das Passwort ändert, sollte darauf achten, ein neues, unabhängiges Passwort zu wählen, das nicht auf dem alten basiert oder mehrfach verwendet wird.
Zudem sollte die Änderung möglichst mit weiteren Sicherheitsmaßnahmen wie einer umfassenden Überprüfung des Systems auf Schadsoftware oder Malware begleitet werden, um eventuelle Hintertüren zu schließen. Institutionen sollten ihren Umgang mit Passwortänderungen überdenken und die Vor- und Nachteile sorgfältig abwägen. Offizielle Stellen wie das National Institute of Standards and Technology (NIST) empfehlen seit 2009, Passwortablaufmechanismen nur dann einzusetzen, wenn sie tatsächlich die Auswirkungen von bestimmten Passwortkompromittierungen mildern können. Gleichzeitig sollten andere Maßnahmen genutzt werden, die nachweislich effektiver sind. Hierzu zählen Anforderungen an die Passwortlänge und -komplexität sowie der Einsatz sicherer Hashalgorithmen mit individueller ‚Salz‘-Beigabe, die dafür sorgt, dass gleiche Passwörter unterschiedlich gespeichert werden.
Noch besser als regelmäßig wechselnde Passwörter sind Multi-Faktor-Authentifizierungen, die neben dem Passwort weitere Sicherheitsprüfungen einbinden, etwa biometrische Daten, Hardware-Token oder Einmalkennwörter. Diese Methoden erschweren Angreifern den Zugriff auch dann, wenn das Passwort bereits bekannt ist. Insgesamt gilt es, bei der Gestaltung von Passwort- und Sicherheitsrichtlinien eine Balance zu finden zwischen Sicherheit und Benutzerfreundlichkeit. Strenge, aber wenig effektive Maßnahmen können insbesondere dazu führen, dass Nutzer den Schutz eher umgehen oder durch schlechte Passwortpraktiken Kontraproduktives schaffen. Die Praxis der regelmäßigen, verpflichtenden Passwortänderungen stellt in vielen Fällen nicht nur einen erheblichen Mehraufwand für Nutzer dar, sondern kann die Situation sogar verschlechtern.
Unternehmen und Organisationen sollten deshalb darüber nachdenken, wie sie ihre Maßnahmen modernisieren und besser an aktuelle Erkenntnisse anpassen können. Durch gezielte Risikoanalysen, den Einsatz moderner kryptografischer Verfahren, Nutzeraufklärung sowie stärkere Authentifizierungsmechanismen lässt sich das Schutzniveau deutlich verbessern, ohne unnötige Belastungen zu erzeugen. Fazit: Das Thema Passwörter ist komplex und dynamisch. Der bisherige Standard, regelmäßig verpflichtende Passwortwechsel vorzuschreiben, hat sich als nicht optimal erwiesen und sollte durch zeitgemäßere und sicherere Strategien ersetzt werden. Nutzer profitieren von längeren, komplexeren und individuellen Passwörtern in Kombination mit Multi-Faktor-Authentifizierung.
Organisationen sind gut beraten, ihre Sicherheitsrichtlinien regelmäßig auf den Prüfstand zu stellen, um sowohl Schutz als auch Nutzerfreundlichkeit bestmöglich zu gewährleisten.
