Jedes Jahr am 1. Februar ist „Ändere-dein-Passwort“-Tag. Vor sieben Jahren riefen die US-Technik-Blogs „Gizmodo“ und „Lifehacker“ zum ersten Mal dazu auf, um dafür zu sorgen, dass Nutzer mindestens einmal im Jahr ihre Passwörter ändern. Aber wie sinnvoll ist es tatsächlich, einmal im Jahr alle Passwörter zu ändern?
Für wichtige Accounts über Jahre hinweg das gleiche einfache Passwort zu nutzen ohne zusätzlichen Schutz durch Zwei-Faktor-Authentifizierung, ist ohne Zweifel ein Risiko. Wird das Passwort gehackt, können Angreifer auf den Account zugreifen. Hier hilft natürlich ein Passwort-Wechsel.
Also einfach regelmäßig alle Passwörter ändern und meine Konten sind geschützt?
Diesem Irrglauben sollte man nicht verfallen. Einige IT-Sicherheitsexperten sehen die Empfehlung zum alljährlichen Passwort-Wechsel daher auch skeptisch. Grund dafür sind vor allem Bedenken, dass durch den häufigen Wechsel von zahlreichen Passwörtern, Nutzer dazu neigen, einfach zu merkende und sich wiederholende Passwörter zu verwenden.
(Hier finden Sie die Empfehlung vom BSI zur Passwort-Sicherheit.)
Zusätzlich ist zu beachten, dass vielleicht nicht alle Accounts gleich geschützt werden müssen. Dass es nicht zwingenderweise problematisch sein muss, für einige Accounts einfache Passwörter zu verwenden, erläuterte zum Beispiel heise Security Chefredeakteur Jürgen Schmidt bereits vor einigen Jahren in seinem Kommentar "Warum 123456 als Passwort okay ist"
Definitiv lässt sich sagen, dass ein Passwort-Wechsel allein nicht zwingend zu mehr Sicherheit führt. Wir sollten den „Ändere-dein-Passwort“-Tag daher nicht nur dazu nutzen, einfach stupide alle Passwörter zu ändern, sondern sollten die Gelegenheit nutzen, zu überdenken, wie wir mit unseren Accounts und Passwörtern umgehen und zu überprüfen, wo vielleicht Zwei-Faktor-Authentifizierung nutzbar und auch geboten ist.