Sollten Benutzer gezwungen werden, ihre Passwörter regelmäßig zurückzusetzen?

Einer der häufigsten Ratschläge zur Kontosicherheit lautet, dass Benutzer ihre Passwörter regelmäßig ändern sollten. Der Grund für diesen Ansatz besteht darin, die Gültigkeitsdauer eines Passworts zu minimieren, falls es jemals kompromittiert wird. Diese gesamte Strategie basiert auf historischen Ratschlägen von führenden Cybersicherheitsgruppen wie dem amerikanischen NIST oder dem National Institute of Standards and Technology.

Jahrzehntelang folgten Regierungen und Unternehmen diesem Rat und zwangen ihre Benutzer dazu, ihre Passwörter regelmäßig zurückzusetzen, normalerweise alle 90 Tage. Im Laufe der Zeit zeigten jedoch Untersuchungen, dass dieser Ansatz nicht wie beabsichtigt funktionierte, und im Jahr 2017 änderten NIST zusammen mit dem britischen NCSC oder National Cyber ​​Security Centre ihre Empfehlung, Passwortänderungen nur dann zu verlangen, wenn ein begründeter Verdacht auf eine Kompromittierung besteht.

Warum wurde der Rat geändert?

Die Empfehlung, Passwörter regelmäßig zu ändern, wurde ursprünglich implementiert, um die Sicherheit zu erhöhen. Rein logisch ist der Ratschlag, Passwörter regelmäßig zu aktualisieren, sinnvoll. Die reale Erfahrung ist jedoch etwas anders. Untersuchungen haben gezeigt, dass die Wahrscheinlichkeit, dass Benutzer ein ähnliches Passwort verwenden, das sie einfach erhöhen können, erheblich wahrscheinlicher ist, wenn Benutzer gezwungen werden, ihre Passwörter regelmäßig zu ändern. Anstatt Passwörter wie „9L=Xk&2>“ auszuwählen, würden Benutzer beispielsweise Passwörter wie „Frühling2019!“ verwenden.

Es stellt sich heraus, dass die Leute, wenn sie gezwungen sind, sich mehrere Passwörter ausdenken und diese zu merken und sie dann regelmäßig zu ändern, ständig leicht zu merkende Passwörter verwenden, die unsicherer sind. Das Problem mit inkrementellen Passwörtern wie „Spring2019!“ ist, dass sie leicht zu erraten sind und es dann auch leicht macht, zukünftige Veränderungen vorherzusagen. Zusammengenommen bedeutet dies, dass das Erzwingen von Passwort-Resets die Benutzer dazu zwingt, sich leichter zu merkende und daher schwächere Passwörter zu wählen, die in der Regel den beabsichtigten Nutzen der Reduzierung zukünftiger Risiken aktiv untergraben.

Im schlimmsten Fall könnte ein Hacker beispielsweise das Passwort „Frühling2019!“ kompromittieren. innerhalb weniger Monate nach Gültigkeit. An dieser Stelle können sie Varianten mit „Fall“ anstelle von „Spring“ ausprobieren und erhalten wahrscheinlich Zugang. Wenn das Unternehmen diese Sicherheitsverletzung erkennt und die Benutzer dann zwingt, ihre Passwörter zu ändern, ist es ziemlich wahrscheinlich, dass der betroffene Benutzer einfach sein Passwort in „Winter2019!“ ändert. und denken, dass sie sicher sind. Der Hacker, der das Muster kennt, kann dies durchaus versuchen, wenn er wieder Zugriff erhält. Je nachdem, wie lange ein Benutzer an diesem Muster festhält, könnte ein Angreifer dies für den Zugriff über mehrere Jahre hinweg nutzen, während sich der Benutzer sicher fühlt, weil er regelmäßig sein Passwort ändert.

Was ist der neue Rat?

Um Benutzer zu ermutigen, formelhafte Passwörter zu vermeiden, wird jetzt empfohlen, Passwörter nur dann zurückzusetzen, wenn ein begründeter Verdacht besteht, dass sie kompromittiert wurden. Da Benutzer nicht gezwungen werden, sich regelmäßig ein neues Passwort zu merken, wählen sie eher ein sicheres Passwort.

Damit verbunden sind eine Reihe weiterer Empfehlungen, die darauf abzielen, die Erstellung stärkerer Passwörter zu fördern. Dazu gehört, sicherzustellen, dass alle Passwörter mindestens acht Zeichen lang sind und dass die maximale Zeichenanzahl mindestens 64 Zeichen beträgt. Es wurde auch empfohlen, dass Unternehmen beginnen, sich von Komplexitätsregeln zu bewegen und Blocklisten zu verwenden, die Wörterbücher mit schwachen Passwörtern wie „ChangeMe!“ verwenden. und „Password1“, die viele Komplexitätsanforderungen erfüllen.

Die Cybersecurity-Community ist sich fast einstimmig einig, dass Passwörter nicht automatisch ablaufen sollten.

Hinweis: In einigen Szenarien kann dies leider immer noch erforderlich sein, da einige Regierungen die Gesetze, die das Ablaufen von Passwörtern für sensible oder klassifizierte Systeme vorschreiben, noch ändern müssen.