Heute ist der Change Your Password Day, der jährliche Termin um sich Gedanken um den eigenen Umgang mit Passworten zu machen. Das ist wichtig, denn Passworte sind immer noch der primäre — und oft auch einzige — Zugangsschutz. Angriffe auf Accounts gibt es nicht nur jeden Tag, sondern praktisch an jedem Zugangspunkt — bei Web-diensten, SSH-Servern oder Email-Zugängen — versuchen Angreifer durchgängig Passworte zu erraten. Und trotz aller Maßnahmen diese Rateversuche auszubremsen, früher oder später sind diese Versuche erfolgreich.
Deshalb sollten einige einfache Regeln beachtet werden, die ich in einem Passwort-Tutorial zusammengefasst habe. Ein guter Zeitpunkt um die eigene Passwort-Hygiene zu verbessern und zumindest die wichtigsten Passworte zu erneuern. Dabei sollte unbedingt sichergestellt werden, dass kein Passwort doppelt verwendet wird — sonst haben die Angreifer mit einem Versuch nicht nur einen, sondern gleich mehrere Accounts unter ihre Kontrolle gebracht.
Bei der Verwaltung der Passworte hilft ein Passwort-Manager und das wichtige zentrale Passwort dafür speichert man am besten auch nicht nur im Gehirn, sondern notiert es zusätzlich.
Eine weitere Möglichkeit sind Hardware-Password-Manager. Damit lassen sich komplexe Passworte nicht nur sicher speichern sondern auch “ohne Tastatur” eingeben. Der Vorteil ist, dass die Passwort nicht länger erinnert werden müssen und deshalb komplizierter und länger werden können. Ausserdem lassen sich Passworte nicht mehr durch “Shoulder-Surfing” abspicken. Ein Nachteil ist, dass der Zugang nun durch den Besitz eines kleinen elektronischen Gerätes abhängig ist.
Unabhängig von der gewählten Technologie, regelmäßige Passwortwechsel reduzieren die Gefahr, dass ein erspähtes Passwort von Angreifern genutzt werden kann. Bestimmte Rateangriffe erfordern ausserdem Zeit, es besteht die Möglichkeit, den Angreifern “davonzurennen”.
Das wichtigste ist aber weiterhin, dass die Passworte möglichst zufällig aussehen, nicht doppelt genutzt und vor allem nicht mit anderen Personen geteilt werden.
Studierende an der Hochschule können ihr aktuelles Passwort im Self-Service ändern. Mitarbeiter erledigen dies über den SSO-Service. Und auf Linux/Unix-Rechner lässt sich das Passwort mit dem Kommando “passwd” ändern. Notiert das Passwort mindestens für die Zeit in der es noch nicht sicher auswendig im Kopf ist. Vielleicht ist es sinnvoll nicht alle Passworte auf einmal zu ändern, sondern nach und nach, damit man sich eines nach dem anderen einprägen kann.