Partnerzone Kaspersky 03.08.2020, 07:54 Uhr

Passwörter regelmässig ändern ist keine gute Idee

Passwörter sind für die meisten Benutzer ein notwendiges Übel. Noch immer lässt sich so mancher zum klassischen «123456» hinreissen. Dies kann sich schmerzlich rächen – allerdings sollte man Kennwörter dennoch nicht regelmässig ändern.
(Quelle: Shutterstock )
Es ist ein Dilemma: So ziemlich jeder Internetsurfer weiss, dass Passwörter mit mehreren Sonderzeichen und Zahlen versehen sein sollten, um grösstmöglichen Schutz zu bieten. Je weiter entfernt das Kennwort von einer einfachen Zahlenreihenfolge oder einem normalen Wort ist, desto unwahrscheinlicher ist es, dass ein Hacker es erraten oder durch einen sogenannten «Brute Force Attack» herausfinden kann. Trotzdem muss man die Schlüssel irgendwo speichern – das eigene Gedächtnis ist hierbei wohl die beste Variante hinsichtlich Sicherheit, doch wer soll sich eine Zeichenfolge wie «6%-!*1bEOpk» bitte merken?
Wer von sich selbst weiss, etwas zur Zerstreutheit zu neigen, benötigt also eine andere Lösung. Dabei zeigt eine Kaspersky-Umfrage, dass noch immer 30 Prozent aller Befragten ihre Passwörter handschriftlich niederschreiben. Daneben benutzen 18 Prozent die in vielen Browsern eingebaute Passwortsicherung, nur etwa 12 Prozent glauben an einen dedizierten Passwortmanager. Jene Nutzer, welche sehr auf Sicherheit bedacht sind oder durch ihren IT-Manager dazu gezwungen werden, ändern regelmässig ihre Passwörter. Doch der Kaspersky-Experte Christian Funk weiss, dass dies aufgrund der menschlichen Natur keine gute Idee ist: «Nutzer neigen erfahrungsgemäss dazu, der Einfachheit halber mit jeder Änderung graduell eher einfachere und leichter zu merkende Passwörter zu wählen und somit den Schutz der Konten Stück für Stück herabzusetzen» – ein Paradoxon, denn damit verringert die Übung ja gerade die Sicherheit der Passwörter.
Ein sicheres Passwort ist eines, auf welches man nicht einfach so schliessen kann, wenn man seinen Erfinder kennt. Dabei sollte man darauf achten, mindestens 16 Gross- und Kleinbuchstaben sowie Sonderzeichen zu verwenden. Gerade der wichtigste Aspekt ist jener, welcher Benutzern am meisten Ärger bereitet: Jeder Online-Account sollte sein eigenes Passwort haben – das kann sich schnell läppern. Wer sich auf selbst gewählte Schlüssel verlassen will, sollte sich einen eigenen Algorithmus für den Aufbau seiner Kennwörter erarbeiten, denn so ist auch die Chance grösser, ein vergessenes Passwort nachzubauen.
Will man allerdings lieber auf Nummer sicher gehen, leisten Passwortmanager wie jener der Komplettlösung «Kaspersky Total Security» unschätzbare Dienste. Nicht nur verschlüsselt die Software alle Passwörter hinter einem starken Masterpasswort, sie hilft auch beim Ausfüllen auf Webseiten und spart damit Zeit. Darüber hinaus hilft das Programm dabei, komplizierte Zeichenfolgen zufällig zu generieren, um ideale Passwörter zu erhalten, welche auch auf Mobilgeräten abgerufen werden können. So schlägt man alle Passwort-Fliegen mit einer Klappe und spart erst noch Zeit und Nerven.
Kaspersky Total Security
Quelle: Kaspersky
Deckt nicht nur den Passwortschutz elegant ab: Kaspersky Total Security. Hier bestellen.

Autor(in) Kaspersky Schweiz

Kommentare

Avatar
stebra
05.08.2020
Diese Werbung für Kapersky ist schon etwas aufdringlich, wenn im ersten Moment auch noch gut versteckt. Als ich mich einloggen wollte, war doch wirklich das Kapersky-Fenster im Weg und liess sich nicht einfach verschieben oder wegklicken. Dass oben das PCTipp-Logo immer wieder zuckt, ist auch sehr nervend. Nun zur Sache: Es werden immer und überall die Passwortmanager gelobt. Einerseits ist da das Problem, dass wenn jemand dessen Master-Passwort hat, so liegen ihm ALLE Passwörter zu Füssen. Ich weiss nicht, ob dieses Risiko (Wahrscheinlichkeit x Schadensgrösse) unter Umständen grösser ist. Der andere nicht so unwahrscheinliche Schaden ist, dass man selbst keinen Zugriff hat: Wenn man nämlich mal an einem fremden oder neuen Computer (Smartphone) auf ein Konto zugreifen will, hat man keine Chance.

Avatar
ROGEZH
07.08.2020
Ein Glück, dass der Kaspersky-Experte Christian Funk nicht die Köpfe von Usern hineinsieht! Ich empfinde Ihr Statement "Passwörter regelmässig ändern ist keine gute Idee", als eine höchst unseriöse, unverantwortliche und irreführende Aussage! Ich hatte mehr als ein Jahrzehnt in einem internationalen Konzern in einem hochsensiblen Bereich gearbeitet, war Mil.-zertifiziert, musste regelmässig Sicherheits-Trainings absolvieren (von Social Engineering über IT bis zur Werksspionage), wurde regelmässig auditiert und habe deshalb ein ganz anderes Verständnis für sichere Passwörter, als es so mancher User und Herr Christian Funk vermutlich jemals haben werden. Ausserdem scheint Herr Funk nicht mehr so ganz uptodate zu sein, denn wir haben streckenweise längst die Drei-Faktor-Authentifizierung! Deshalb hatte ich zu jenen Menschen gehört, welche alle 3 Monate ihre Passwörter gewechselt haben. Das hatte mich jedoch keineswegs dazu motiviert (so wie es Herr Funk fälschlicherweise darstellt), deswegen einfache, unsichere Passwörter zu verwenden. Im Gegenteil ich hatte 16-20 stellige komplexe und trotzdem leicht zu merkende Passwörter verwendet. Mit etwas Fantasie und System lässt sich das sehr leicht bewerkstelligen. Mit anschliessender Kontrolle unter dem Link des Datenschutzbeauftragten des Kantons Zürich (CH) lässt sich die Passwortstärke zudem leicht und kostenlos überprüfen. Dazu kann ich jedem User nur DRINGEND raten: https://www.passwortcheck.ch/passwortcheck/passwortcheck Und ganz wichtig: Passwörter sollten NIEMALS in einem Internet-Browser gespeichert werden, auch wenn es noch so bequem erscheint! Es ist schliesslich hinreichend bekannt (um es vornehm auszudrücken), welche Browser und Provider zu den wissensdurstigsten gehören. Was ich aus o. g. Gründen jedoch NIEMALS tun würde, meine Passwörter einem KASPERSKY-Passwort-Manager (aber auch keinem anderen) anvertrauen, ausgerechnet einer Firma mit Sitz in Russland, einem Land, in welchem die hoch professionellsten und kriminellsten Hackerbanden sitzen, welche den letzten US-Wahlkampf negativ beeinflusst hatten. Das Resultat kennt ja nun wirklich jede/r. Ohne ausgiebig Googlen zu müssen ist mir aufgefallen, dass sich der CEO Jewgeni Kasperski in den letzten Jahren mehrfach gegen Vorwürfe der Softwarespionage wehren musste. Zitat Wickipedia: "Im Jahr 1987 erhielt er in Moskau seinen Abschluss an der KGB-Hochschule (im Jahr 1992 umbenannt in Institute für Kryptographie, Fernmeldewesen und Informatik der späteren FSB-Akademie, an der er Mathematik, Kryptographie und Computertechnologie studiert hatte." Zitat Ende. Doch auch ihm gebührt UNSER demokratischer Rechtsgrundsatz, bis zu einer Anklage und einer gerichtlichen Verurteilung gilt die "Unschuldsvermutung". Ich kann mir allerdings nur sehr schwer vorstellen, dass sich MOSSAD und NSA dabei vollständig irren. All das stimmt mich äusserst nachdenklich. Auch wenn der Kaspersky-Experte Christian Funk in vielen Punkten das "teilweise blauäugige und dilettantische Verhalten von Passwort-Banausen" zurecht und korrekt anspricht, so empfinde ich diesen Artikel mit mehreren Links zu entsprechenden Produkten als einen reinen Kaspersky Werbefeldzug! Bedauerlich, dass dieser Werbefeldzug mit einem derart dummen und unseriösen Titel wie "Passwörter regelmässig ändern ist keine gute Idee" eingeleitet wird. Das lässt in mir zusätzlich ernste und erheblich Zweifel an der redaktionellen Seriosität von PCtipp aufkommen!

Avatar
Geoffrey
08.08.2020
Dass ein regelmässiger Passwortwechsel nichts bringt, ist seit einger Zeit bekannt und sollte Sicherheits-Interessierten eigentlich bekannt sein. Um das Gegenteil beweisen zu wollen hilft auch ein Posting mit vielen Schlagwörtern drin nicht. Schaut man einmal die Statistik an, dann sieht man darin, dass Passwortklau zu 90% durch Abgriffe infolge gehackter Seiten erfolgt. Dabei spielt es keine Rolle wie oft das Passwort geändert wird und aus wievielen kryptischen Zeichen es besteht. Die Hacker greifen das aktuelle Passwort ab, egal wie lange und unleserlich das ist. Hacking durch Bruteforce ist sehr selten. Ein Passwortwechsel ist dann notwendig, wenn man vom Leck erfahren hat, vorher nicht. Zu Kapersky: Diese getarnte Reklame stört mich schon lange. Sowieso erscheint dieser Text schon seit Ewigkeiten und ist enifach nur noch lästig. Bezeichnet solche Artikel unmissverständlich als Reklame und erfindet nicht immer wieder neue verwirrende Bezeichnungen dafür. (Publireportage, Partnerzone, Freundeblog etc.) Etwas mehr Seriosität wäre angebracht. Es ist ganz einfach mit dem Newsletter. Ist mehr Werbung als News, wird abgemeldet. Und dass bei einem neuen Thread der Bot als Themenstarter angegeben wird, verstehe wer will. In allen andern Foren die ich regelmässig besuche, habe ich noch nie so einen bescheuerten Bot gesehen wie bei Pctipp. geoffrey

Avatar
Gaby Salvisberg
10.08.2020
Hallo ROGEZH und Geoffrey Auch wenn der Kaspersky-Experte Christian Funk in vielen Punkten das "teilweise blauäugige und dilettantische Verhalten von Passwort-Banausen" zurecht und korrekt anspricht, so empfinde ich diesen Artikel mit mehreren Links zu entsprechenden Produkten als einen reinen Kaspersky Werbefeldzug! Bedauerlich, dass dieser Werbefeldzug mit einem derart dummen und unseriösen Titel wie "Passwörter regelmässig ändern ist keine gute Idee" eingeleitet wird. Das lässt in mir zusätzlich ernste und erheblich Zweifel an der redaktionellen Seriosität von PCtipp aufkommen! Du kommentierst hier keinen redaktionellen Artikel, sondern eine Werbeanzeige, wie Geoffrey (s. unten) richtig erkannt hat. Artikel mit Begriff "Partnerzone" sind immer nur Deals der Anzeigenabteilung und der Text stammt in diesem Fall vom Unternehmen Kaspersky selbst. Dass ein regelmässiger Passwortwechsel nichts bringt, ist seit einger Zeit bekannt und sollte Sicherheits-Interessierten eigentlich bekannt sein. Um das Gegenteil beweisen zu wollen hilft auch ein Posting mit vielen Schlagwörtern drin nicht. Das ist mir auch durch den Kopf gegangen ;) Schaut man einmal die Statistik an, dann sieht man darin, dass Passwortklau zu 90% durch Abgriffe infolge gehackter Seiten erfolgt. Dabei spielt es keine Rolle wie oft das Passwort geändert wird und aus wievielen kryptischen Zeichen es besteht. Die Hacker greifen das aktuelle Passwort ab, egal wie lange und unleserlich das ist. Hacking durch Bruteforce ist sehr selten. Ein Passwortwechsel ist dann notwendig, wenn man vom Leck erfahren hat, vorher nicht. Von welcher Statistik sprichst du? Ich gehe davon aus, dass Passwortklau zum überwiegenden Anteil via Phishing erfolgt. Da spielt es ebenfalls keine Rolle, wie kompliziert das Passwort ist. Wenn der abgephishte User dasselbe Passwort dann aber auch noch für 20 andere Dienste verwendet, hat der Angreifer nicht nur ein Passwort in den Händen, sondern noch 20 mehr. Zu Kapersky: Diese getarnte Reklame stört mich schon lange. Sowieso erscheint dieser Text schon seit Ewigkeiten und ist enifach nur noch lästig. Bezeichnet solche Artikel unmissverständlich als Reklame und erfindet nicht immer wieder neue verwirrende Bezeichnungen dafür. (Publireportage, Partnerzone, Freundeblog etc.) Etwas mehr Seriosität wäre angebracht. Es ist ganz einfach mit dem Newsletter. Ist mehr Werbung als News, wird abgemeldet. Das werde ich intern sehr gerne weiterleiten. Und dass bei einem neuen Thread der Bot als Themenstarter angegeben wird, verstehe wer will. In allen andern Foren die ich regelmässig besuche, habe ich noch nie so einen bescheuerten Bot gesehen wie bei Pctipp. Damit bei einem Online-Artikel beim Klick auf den Kommentieren-Knopf ein neuer Thread im Forum entsteht, braucht es ein Skript, das dies erledigt. Offenbar war es dem Webentwickler-Team bis zum Relaunch-Termin nicht möglich, ein Skript zu bauen, das zum Zeitpunkt des Klicks den aktuell eingelogten User als Themenstarter ausliest. Darum hat man sich offenbar für den Bot entschieden. Ich bin auch nicht sehr glücklich mit dem Bot, aber im Moment müssen wir damit leben. Leite ich aber ebenfalls gerne weiter. Herzliche Grüsse Gaby

Avatar
Geoffrey
10.08.2020
Ok, danke für die ausführlichen sachlichen Erklärungen. Zur angesprochenen Statistik. Ich kann keine entsprechende Links oder Dokumente nennen. Ich lese einfach viel über diese Themen und merke mir die Inhalte aber eine eigene Link- und Dokumentensammlung lege ich nicht an. Es wurde sehr viel zu diesem Thema geschrieben in letzter Zeit, auch von anerkannten Fachleuten. Vor etwa einem Jahr wurde ein langes Dokument plubliziert indem zu sehen war, dass füer die meisten vergangenen Hackerangriffe eben solche erbeuteten Daten verwendet wurden und nicht Bruteforce zur Anwendung kam. Das Thema Bruteforce gewinnt aber wieder an Bedeutung weil viel zu viele Router und IOT und Smart Home Gadgets mit den Default Einstellungen betrieben werden. Das ist bedenklich und wird in nächster Zeit sicher Spam- und Hacker- Wellen geben. geoffrey

Das könnte Sie auch interessieren