25 Online-Accounts besitzt der deutsche Durchschnitts-Internet-Nutzer.
Für diesen Beitrag habe ich mir den Spaß gemacht, meine eigenen Accounts durchzugehen: Ich komme auf 37 Online-Zugänge mit zugehörigen Passwörtern. Alleine als Privat-Nutzer. Für Unternehmensanwendungen und verschiedene Online-Portale, die ich als Marketing Manager beruflich nutze, sind es sicherlich auch noch mal so viele. Ich frage mich wirklich, wer meinen Durchschnitt so nach unten zieht … Sie wahrscheinlich nicht, sonst würden Sie diesen Blog nicht lesen.
Und für jeden dieser Accounts benötige ich – benötigen Sie – Zugangsdaten, in den allermeisten Fällen einen Nutzernamen und ein Passwort.
Und jetzt mal ehrlich: Können Sie sich diese Zugangsdaten merken? – Ich nämlich bin schon froh, wenn ich weiß, welchen Nutzernamen ich vergeben bzw. welche E-Mail ich bei der Registrierung hinterlegt habe. Bevor ich bei der HWS auf unseren Passwortmanager DoubleClue umgestiegen bin, war dieses Wissen extrem relevant für mich, da ich mir mein Passwort ohne technische Hilfe dann bei jedem – und ich meine wirklich jedem! – Login zurücksetzen musste. Das kann natürlich nicht Sinn der Sache mit den Passwörtern sein.
Die einzige Ausnahme war das Passwort meiner Haupt-E-Mail-Adresse, das ich dann leichtsinnigerweise aus logistischen Gründen über mehrere Jahre beibehalten hatte.
Leichtsinnigerweise? Bedenkt man, dass das Bundesamt für Sicherheit in der Informationstechnologie (BSI) bis 2020 noch dazu aufgefordert hat, alle Passwörter regelmäßig zu ändern, müsste man sagen ja. Dafür habe ich fleißig den am 1. Februar zelebrierten “Ändere-dein-Passwort”-Tag ignoriert. Warum auch nicht? Die Chancen waren sehr hoch, dass ich nach einem Passwortwechsel dieser E-Mail-Adresse anschließend in keinen meiner Accounts mehr gekommen wäre.
Gleichzeitig denke ich nicht, dass ich mit diesem langjährigen und vertrauten Passwort meiner E-Mail-Adresse leichtsinnig war. Denn dieses war tatsächlich das Einzige, in das ich damals wirklich Zeit investiert hatte: lang, komplex, mit Sonderzeichen, Zahlen, Groß- und Kleinschreibung, kein direkter Bezug zu meiner Person. Das volle Programm.
Regelmäßiger Passwortwechsel führt zu Frust und verleitet zu unsicheren Passwörtern
Wenn ich mir meine übrigen – damaligen – 36 Passwörter (wahrscheinlich ein paar weniger) ansehe, dann sah das doch anders aus. Es war meistens eine relative ähnliche Kombination aus einem Wort und mit einer – vermutlich – anderen Endung. So genau kann ich das nicht sagen, denn wie gesagt: ich wechselte meine Passwörter sehr oft. Doch dadurch wurden sie nicht sicherer: im Gegenteil.
Meine Erfahrung, dass der häufige Wechsel von Zugangsdaten zu einem unsicheren Einheitsbrei an leicht knackbaren bzw. dann auch erratbaren Passwörtern führt, wird durch verschiedene Untersuchungen belegt. Je mehr Passwörter wir uns merken müssen, desto einfacher werden sie. Denn wer möchte schon jedes Mal gefrustet vor dem PC sitzen, weil der Log-in (erneut) nicht geklappt hat?
Hinzukommt, dass wir meist ziemlich fantasielos sind, wenn es um die Vergabe von Passwörtern geht: schließlich müssen und wollen wir sie uns ja merken. Und da rede ich noch nicht von den Klassikern 123456, qwertz, Passw0rt usw., sondern auch von – vermeintlich – individuellen Passwörtern: Haustier1!, auch in der Variation Haustier2!, usw. Je öfter wir unsere Passwörter ändern – je mehr Denkleistung wir also zum Merken benötigen – desto unsicherer und ähnlicher werden unsere Passwörter. Und das ruiniert doch den ganzen Ansatz, unsere Online-Identität bestmöglich zu schützen.
Darum rät auch das BSI mittlerweile von einem regelmäßigen Wechsel ab. Denn für wirklich sichere Zugangsdaten gibt es bessere Möglichkeiten.
Lange, komplexe und einzigartige Zugangsdaten sind besser als ein regelmäßiger Passwortwechsel
Die grundlegend wichtigste Sicherheitsmaßnahme sind starke und einzigartige Passwörter. Für die Sicherheit kommt es – Achtung! – ganz besonders auf die Länge an: Denn je länger ein Passwort ist, desto mehr Zeit benötigt eine Software, um dieses automatisiert zu knacken. Nur, damit Sie eine Größenordnung haben: Mit Sonderzeichen benötigt eine Software bei einer Brute-Force-Attacke für ein achtstelliges Passwort nur knapp 8h. Also einen Arbeitstag. Und wir wissen alle: Das kann sich zwar ziehen, ist letztlich doch schnell vorbei.
Doch nicht nur die Länge eines Passworts ist entscheidend: Daneben bleibt noch das Problem der Fantasielosigkeit: Sich für 37+ Log-ins ein individuelles Passwort auszudenken, ist durchaus eine Herausforderung. Für all jene, die weiterhin ihre Passwörter selbst erstellen möchten, gibt es Tricks wie „Nutzen Sie den ersten Satz Ihres Lieblingsbuchs und nehmen Sie die Anfangsbuchstaben als Passwort“ oder „Nutzen Sie drei zufällige Wörter und kombinieren Sie in dieser Phrase“ ggf. Sonderzeichen. Das alles hilft jedoch bei der schieren Menge an Zugangsdaten nur bedingt weiter.
Glücklicherweise gibt es hierfür verschiedene technische Lösungen. Auf datenschutz.org können Sie z. B. sich ganz einfach sichere Passwörter nach aktuellen Sicherheitsstandards generieren lassen. Wie Sie sich diese komplexen Passwörter dann merken? Dazu komme ich gleich.
Zwei-Faktor-Authentifizierung: Denn zwei Barrieren sind stärker als eine
Denn zunächst sei noch angemerkt, dass es noch eine einfache technische Möglichkeit gibt, Log-ins sicherer zu gestalten. Viele Dienste, darunter verschiedene Social Media-Plattformen, PayPal, Google, Windows usw. bieten mittlerweile eine sog. Zweifaktor-Authentifizierung (2-FA) an. Teilweise ist die 2-FA sogar zur Nutzung des Dienstes verpflichtend. Diese zweite Anmeldehürde – etwa in Form einer SMS- oder Push-Approval am Smartphone – macht selbst den lumpigsten Log-in sicherer. Natürlich sollte sich dadurch niemand verleitet fühlen, 1234 als Passwort zu verwenden, doch schützt eine Zweifaktor-Authentifizierung Ihren Account auch dann noch, wenn das Passwort selbst geknackt wurde. Bei diesen Zugängen ist es daher wieder möglich, sich merkbare und kurze – jedoch auch unsichere – Passwörter zu erstellen.
Passwortmanager sind besser im Passwortmerken als wir
Speaking of Passwortmerken. Bei mir fängt es sogar schon zuvor an: Bei welchem Online-Dienst genau habe ich eigentlich alles einen Account? Ich bin mir sicher, hätte ich keine Liste mit meinen Passwörtern, könnte ich Ihnen die genau Anzahl meiner aktiven Online-Accounts nicht nennen. Und da spreche ich noch nicht von der Verknüpfung dieser Accounts zu den richtigen Zugangsdaten. Sondern tatsächlich von der reinen Frage: Wo genau bin ich eigentlich alles im Internet unterwegs?
Darum ist es gut, dass Technik mir hier die Arbeit ebenfalls abnimmt. Und NEIN – keine Excel-Liste, kein Word-Dokument auf dem Desktop – Was, wenn mein Computer gehakt wird? – oder ein analoger Zettel auf dem Schreibtisch.
Sinnvoller ist da ein Passwortmanager, in denen Sie Zugangsdaten abspeichern und thematisch ordnen können. Hier gibt es verschiedene Lösungen am Markt, sinnvoll sind diejenigen, die geräteübergreifend synchronisierbar sind. Denn was bringt Ihnen der Zugang zur z. B. Deutschen Bahn-App, wenn Sie unterwegs ein Ticket benötigen, das Passwort aber auf dem heimischen PC ist?
Sollten wir unsere Passwörter dann überhaupt noch ändern?
Mit unseren modernen Hilfsmitteln ist ein Passwortwechsel so gut wie unnötig. Mittlerweile gilt: Regelmäßig wechseln sollten Sie nur Zahnbürsten und Unterhosen. Und vielleicht den Bettbezug.
Es gibt jedoch auch Situationen, die für einen zeitnahen Passwortwechsel sprechen: Denn gibt es einen sicherheitsrelevanten Anlass, sollte auch das sicherste Passwort geändert werden. Das ist z. B. der Fall, wenn Zugangsdaten eines Online-Netzwerkes offengelegt wurden, etwa indem in die Systeme des Anbieters eingedrungen wurde. Oder auch dann, wenn insgesamt ein DSGVO-kritischer Vorfall in diesem Unternehmen vorliegt. Das bedeutet zwar nicht zwangsläufig, dass Ihre Zugangsdaten tatsächlich betroffen sind: Doch Vorsicht ist besser als Nachsicht.
Manche Passwortmanager haben daher bereits einen Passwort Health Check integriert. Dieser zeigt nicht nur an, ob das Passwort stark ist und nur einmalig verwendet wird, sondern auch, sollte es einen datenschutzrelevanten Vorfall gegeben haben. Daneben gibt es auch Möglichkeiten, im Internet die Qualität eines Passworts zu prüfen. Seiten wie Have I Been Pwned durchsuchen zudem das (Dark)Web nach offengelegten Zugangsdaten und prüfen für Sie, ob Ihr Passwort betroffen ist.
Wenn ein regelmäßiger Passwortwechsel eigentlich nicht nötig ist, ist der Ändere-dein-Passwort-Tag dann überhaupt noch sinnvoll?
Ja – auch wenn der Name sicherlich heute nicht mehr richtig ist: Warum nutzen wir diesen Tag nicht dafür, uns bewusst zu machen, dass unsere Online-Identität gut geschützt sein sollte?
Auch wenn wir dann nicht gleich all unsere Passwörter ändern müssen, sollten wir doch unsere Passwörter und Zugänge hinterfragen. Gibt es bestimmte Accounts, die ich über einen längeren Zeitraum nicht genutzt habe? Dann sollte ich diese ggf. schließen. Denn ein Account, den ich nicht besitze, kann auch nicht gehackt werden. Wie steht es um die Gesundheit und Integrität meiner genutzten Accounts? Muss ich hier vielleicht Maßnahmen ergreifen?
Darum nutzen Sie den Ändere-dein-Passwort-Tag, um Ihre Passwörter zu hinterfragen. Und ggf. auch zu überlegen, wo und wie Sie Ihre Passwörter sicher ablegen können.
