Gedanken zum internationalen "Ändere dein Passwort" Tag
Es ist wieder so weit. Der international „ändere dein Passwort“-Tag ist gekommen, und User sind aufgefordert, ihre Passwörter zu rotieren. Aber ist das überhaupt noch notwendig? Unser IT-Sicherheitsexperte Tobias Philipsen hat zum Thema Passwortrotation einige Gedanken. Ob Sie heute also Ihr Kennwort ändern sollten, erfahren Sie in diesem Blog-Post.
Das gute an der Passwort-Rotation
Generell ist es gut, dass User über die Wichtigkeit von Passwörtern informiert werden. Leider sind die Passwörter „123456“ und „Password“ immer noch in den Top Ten der weltweit meistgenutzten Credentials. Man könnte also argumentieren, dass User mit einem Bewusstsein für IT-Sicherheit weniger häufig ein unsicheres Passwort verwenden. Zudem ist an einem geänderten Passwort an sich auch nichts Schlechtes zu finden. Insbesondere für Accounts mit hohen Privilegien sind regelmäßige Passwortwechsel (im Idealfall sogar nach jeder Benutzung, also sog. „One Time Passwords“) sogar sehr empfehlenswert. Entsprechend spricht aus technischer Sicht eigentlich nichts gegen periodische Passwortrotationen.
Zudem gab es im Jahr 2022 einige größere Leaks von Passwort-Sammlungen, sowohl in Klartext als auch in Hashes. Gleichzeitig gab es in den letzten Monaten einige großangelegte Credential-Stuffing und Password-Spraying (z.B. letzte Woche bei PayPal) Attacken. Dies macht Passwortwechsel also zu einer nicht unvernünftigen Vorsichtsmaßnahme.
Gründe für das Behalten von Passwörtern
Ist Ihnen das auch schon mal passiert? Sie geben Ihr vor einigen Tagen geändertes Passwort im fünften Versuch ein, dieser schlägt fehl und Ihr Account wird vorläufig gesperrt. Ihr einziger Rettungsanker ist eine Meldung beim Admin à la „ich habe meine Passwort (schon wieder) vergessen“. Allein der in Unternehmen aufkommende Arbeitszeitverlust durch das Warten auf den Passwort-Reset kann schon als Grund aufgeführt werden, Personal nicht mit ständig zu wechselnden Passwörtern zu verwirren.
Eine weitere Gefahr der periodischen Passwortwechsel ist der Hang der User zur Wahl von leicht zu merkenden (und leicht zu erratenden) Passwörtern. „Frühling2023“, „Sommer2023“, „Herbst2023“ und „Winter2023“ sind periodisch passende Kennwörter, die einem Brute Force-Angriff keine fünf Minuten standhalten würden. Schlimmeres kommt hier noch hinzu, wenn es sich bei der Passwort-Wahl um ein Kennwort handelt, dass für private und geschäftliche Accounts gleichermaßen genutzt wird. Um der Wahl dieses Weges des geringsten Wiederstandes vorzubeugen, empfiehlt es sich doch, eine andere Richtung der Passwortregeln einzuschlagen.
Passwortumgang mit Augenmaß und Verhältnismäßigkeit
Vorsicht ist besser als Nachsicht, das gilt insbesondere bei Credentials. Accounts mit hohen Privilegien sollten selbstverständlich erstklassig abgesichert sein. Dazu gehören Multi-Faktor Authentifizierungen sowie One-Time Passwörter. Bei der Vermutung einer Kompromittierung ist es unabdingbar, sämtliche Passwörter gegen neue auszutauschen – dies sollte für alle Accounts jedweder Privilegierung gelten. Der „normale“ User kann sich durch die Nutzung eines vom Unternehmen sanktionierten Passwort-Managers bei der Vergabe von sicheren Credentials helfen lassen. Dies sorgt der Speicherung von Passwörtern in Excel-Listen auf dem Desktop vor. Zudem sollten Passwort-Blacklists geführt werden, um häufig genutzten oder leicht zu erratenden Passwörtern vorzubeugen.
Wie immer gilt: Kommunikation auf Augenhöhe mit den Usern ist eines der besten Schutzschilde zum Patching der „Schwachstelle Mensch“. Ob bei Phishing oder Passwort-Wahl, Bewusstsein für Sicherheit ist der erste Schritt zum Erfolg. Verständnisvolle User ausgerüstet mit den richtigen Tools sind ein starkes Fundament für die IT-Sicherheit der Organisation.
Complion bietet Beratungsleistungen im Bereich IT-Sicherheit, wie z.B. Trainings und Self-Assessments durch. Wenn auch Sie von unserer Expertise profitieren wollen, informieren Sie sich hier über unser Portfolio.
Autor: Tobias Philipsen