"Ändern Sie Ihre Kennwörter regelmäßig" ist eine übliche Kennwortempfehlung, aber es ist nicht unbedingt eine gute Beratung. Sie sollten die meisten Kennwörter nicht regelmäßig ändern - es empfiehlt Ihnen, schwächere Kennwörter zu verwenden, und verschwendet Ihre Zeit.

Ja, es gibt Situationen, in denen Sie Ihre Kennwörter regelmäßig ändern möchten. Aber das wird wahrscheinlich eher die Ausnahme als die Regel sein. Normalen Computerbenutzern mitzuteilen, dass sie regelmäßig ihre Kennwörter ändern müssen, ist ein Fehler.

Die Theorie der regelmäßigen Passwortänderungen

Regelmäßige Kennwortänderungen sind theoretisch eine gute Idee, da sie sicherstellen, dass jemand Ihr Kennwort nicht abrufen und verwenden kann, um Sie über einen längeren Zeitraum hinweg auf sich aufmerksam zu machen.

Wenn zum Beispiel jemand Ihr E-Mail-Passwort erhalten hat, könnte er sich regelmäßig bei Ihrem E-Mail-Konto anmelden und Ihre Kommunikation überwachen. Wenn jemand Ihr Online-Banking-Passwort erworben hat, kann er sich über Ihre Transaktionen informieren oder in einigen Monaten zurückkommen und versuchen, Geld auf seine eigenen Konten zu überweisen. Wenn jemand Ihr Facebook-Passwort erhalten hat, kann er sich als Sie anmelden und Ihre private Kommunikation überwachen.

Theoretisch wird das regelmäßige Ändern Ihrer Passwörter - vielleicht alle paar Monate - dazu beitragen, dies zu verhindern. Selbst wenn jemand Ihr Passwort erhalten hat, hat er nur wenige Monate, um seinen Zugang für schändliche Zwecke zu verwenden.

Die Schattenseiten

Passwortänderungen sollten nicht im luftleeren Raum betrachtet werden. Wenn der Mensch unendlich viel Zeit und ein perfektes Gedächtnis hätte, wären regelmäßige Passwortänderungen eine gute Idee. In der Realität ist das Ändern von Passwörtern eine Belastung für die Menschen.

Das regelmäßige Ändern Ihres Passworts macht es schwieriger, sich an gute Passwörter zu erinnern. Anstatt ein sicheres Kennwort zu erstellen und in den Speicher zu speichern, müssen Sie sich alle paar Monate ein neues Kennwort merken. Benutzer, die von einem Computersystem regelmäßig dazu gezwungen werden, ihr Passwort zu ändern, können am Ende eine Nummer anhängen - daher können sie password1, password2 usw. verwenden.

Es ist schwer genug, Ihr Passwort regelmäßig für ein einzelnes Konto zu ändern und sich jedes Mal Ihr neues Passwort zu merken. Aber wir haben alle viele Passwörter. Stellen Sie sich vor, Sie müssen Ihr Passwort regelmäßig ändern und sich ständig an eindeutige, sichere Passwörter für eine Vielzahl von Diensten erinnern.

Es ist grundsätzlich nicht möglich, für jede Website sichere, eindeutige Kennwörter zu wählen und sich daran zu erinnern. Aus diesem Grund empfehlen wir die Verwendung eines Kennwort-Managers wie LastPass oder KeePass. Wenn Sie Ihr Passwort alle paar Monate ändern, werden Sie wahrscheinlich schwächere Passwörter verwenden und diese auf mehreren Websites wiederverwenden. Es ist viel wichtiger, überall sichere, eindeutige Kennwörter zu verwenden, als Ihr Kennwort regelmäßig zu ändern.

Warum das Ändern von Kennwörtern nicht unbedingt hilfreich ist

Das regelmäßige Ändern Ihres Passworts hilft nicht so sehr, wie Sie vielleicht denken. Wenn ein Angreifer Zugriff auf Ihre Konten erhält, wird er höchstwahrscheinlich den Zugriff sofort verwenden, um Schaden zu verursachen. Wenn sie Zugriff auf Ihr Online-Banking-Konto erhalten, melden sie sich an und versuchen, Geld zu überweisen, anstatt sich hinzusetzen. Wenn sie Zugang zu einem Online-Shopping-Konto erhalten, melden sie sich an und versuchen, Produkte mit Ihren gespeicherten Kreditkarteninformationen zu bestellen. Wenn sie Zugriff auf Ihre E-Mails erhalten, verwenden sie sie wahrscheinlich für Spam und Phishing oder versuchen, Kennwörter auf anderen Websites damit zurückzusetzen. Wenn sie Zugriff auf Ihr Facebook-Konto erhalten, versuchen sie wahrscheinlich, Ihre Freunde sofort zu spammen oder zu betrügen.

Typische Angreifer behalten Ihre Kennwörter nicht für längere Zeit und können Sie nicht auslassen. Das ist nicht rentabel - und Angreifer sind nur nach Gewinn. Sie werden feststellen, wenn jemand Zugriff auf Ihre Konten erhält.

Das regelmäßige Ändern Ihres Kennworts ist auch wichtig, wenn Sie überall dasselbe Kennwort verwenden, da es wahrscheinlich ist, dass Ihr Kennwort ständig durchgesickert wird, wenn einer der von Ihnen verwendeten Dienste gefährdet ist. Anstatt das einzelne Passwort regelmäßig zu ändern, sollten Sie sich hier mit dem eigentlichen Problem befassen und überall eindeutige Passwörter verwenden.

Wenn Sie Passwörter ändern möchten

Das Ändern von Kennwörtern kann hilfreich sein, wenn jemand, der kein herkömmlicher Angreifer ist, Zugriff auf Ihr Konto hat. Angenommen, Sie haben Ihre Netflix-Anmeldedaten für einen Ex-Benutzer freigegeben. Sie möchten Ihr Kennwort ändern, damit Ihr Konto nicht für immer verwendet werden kann. Oder nehmen wir an, jemand in Ihrer Nähe hat Zugang zu Ihrem E-Mail- oder Facebook-Kennwort erhalten und Ihr Kennwort verwendet, um Sie auszuspähen. Wenn Sie Ihre Kennwörter ändern, verhindern Sie in erster Linie diese Art der Kontenfreigabe und das Schnüffeln und verhindern nicht, dass jemand auf der anderen Seite der Welt Zugriff erhält.

Regelmäßige Kennwortänderungen können für einige Arbeitssysteme ebenfalls nützlich sein, sollten jedoch mit Bedacht verwendet werden. IT-Administratoren sollten die Benutzer nicht dazu zwingen, ihre Kennwörter ständig zu ändern, es sei denn, es gibt einen triftigen Grund. Die Benutzer beginnen lediglich, schwache Kennwörter zu verwenden, Kennwörter aufzuschreiben oder sogar zwischen zwei bevorzugten Kennwörtern hin und her zu wechseln.

Eine Passwortänderung als Reaktion auf bestimmte Ereignisse ist natürlich eine gute Sache. Es ist eine gute Idee, Ihre Passwörter auf Websites zu ändern, die für Heartbleed anfällig waren, aber jetzt gepatcht wurden. Das Ändern des Passworts nach dem Diebstahl einer Datenbank für eine Website ist ebenfalls eine gute Idee.

Wenn Sie Kennwörter für verschiedene Websites wiederverwenden, ist es ratsam, das Kennwort auf allen diesen Websites zu ändern, wenn eine dieser Websites gefährdet ist. Dies ist jedoch das Schlimmste, was Sie tun können. Die eigentliche Lösung besteht darin, eindeutige Kennwörter zu verwenden, ohne dass Sie Ihr freigegebenes Kennwort bei allen von Ihnen verwendeten Diensten ständig ändern.

Konzentrieren Sie sich auf nützliche Ratschläge

Das Problem bei der Empfehlung, das Passwort regelmäßig zu ändern, besteht darin, dass der Rat so ablenkend ist. Die Verwendung starker, eindeutiger Kennwörter überall ist schon fast unmöglich, wenn Sie keinen Kennwort-Manager verwenden, um sich an sie zu erinnern. Die Zwei-Faktor-Authentifizierung ist auch hilfreich, da dadurch der Zugriff auf Ihre Konten auch dann verhindert werden kann, wenn jemand Ihre Kennwörter stiehlt. Anstatt den Leuten zu sagen, dass sie ihre Passwörter regelmäßig ändern müssen, sollten wir nützliche Ratschläge wie „überall eindeutige Passwörter verwenden“ weitergeben - etwas, was die meisten Leute derzeit nicht tun.

Dies ist nicht der einzige Rat, dem wir nicht zustimmen. Für die meisten Heimanwender ist das Aufschreiben einiger Passwörter eigentlich keine schlechte Idee - es ist definitiv besser, als dasselbe Passwort überall zu verwenden.


Wir sind nicht die einzigen, die von regelmäßigen, unterschiedslosen Passwortänderungen abraten. Der Sicherheitsexperte Bruce Schneier hat geschrieben, warum das regelmäßige Ändern von Kennwörtern kein guter Rat ist, während Microsoft Research zu dem Schluss gekommen ist, dass das regelmäßige Wechseln von Kennwörtern Zeitverschwendung ist. Ja, es gibt Situationen, in denen Sie dies vielleicht tun möchten - aber die Weitergabe von Ratschlägen wie "Ändern Sie Ihre Kennwörter alle drei Monate" an typische Computerbenutzer schadet mehr als nur gut.

Top-Tipps:
Kommentare: