Einer der häufigsten Ratschläge zur Kontosicherheit lautet, dass Benutzer ihre Kennwörter regelmäßig ändern sollten. Der Grund für diesen Ansatz besteht darin, die Gültigkeitsdauer eines Passworts zu minimieren, falls es jemals kompromittiert wird. Diese gesamte Strategie basiert auf historischen Ratschlägen von führenden Cybersicherheitsgruppen wie dem amerikanischen NIST oder dem National Institute of Standards and Technology.
Jahrzehntelang folgten Regierungen und Unternehmen diesem Rat und zwangen ihre Benutzer, ihre Passwörter regelmäßig zurückzusetzen, normalerweise alle 90 Tage. Im Laufe der Zeit zeigte die Forschung jedoch, dass dieser Ansatz nicht wie beabsichtigt funktionierte, und im Jahr 2017 NIST zusammen mit dem Vereinigten Königreich NCSC, oder das National Cyber Security Center, änderten ihre Empfehlung dahingehend, dass nur bei begründetem Verdacht auf eine Kompromittierung Passwortänderungen verlangt werden.
Warum wurde der Rat geändert?
Die Empfehlung, Passwörter regelmäßig zu ändern, wurde ursprünglich implementiert, um die Sicherheit zu erhöhen. Rein logisch ist der Ratschlag, Passwörter regelmäßig zu aktualisieren, sinnvoll. Die reale Erfahrung ist jedoch etwas anders. Untersuchungen haben gezeigt, dass die Wahrscheinlichkeit, dass Benutzer ein ähnliches Passwort verwenden, das sie einfach erhöhen können, erheblich wahrscheinlicher ist, wenn Benutzer gezwungen werden, ihre Passwörter regelmäßig zu ändern. Anstatt Passwörter wie „9L=Xk&2>“ auszuwählen, würden Benutzer beispielsweise Passwörter wie „Frühling2019!“ verwenden.
Es stellt sich heraus, dass die Leute, wenn sie gezwungen sind, sich mehrere Passwörter ausdenken, sie sich merken und diese dann regelmäßig ändern müssen, ständig leicht zu merkende Passwörter verwenden, die unsicherer sind. Das Problem mit inkrementellen Passwörtern wie „Spring2019!“ ist, dass sie leicht zu erraten sind und es dann auch leicht machen, zukünftige Veränderungen vorherzusagen. Zusammengenommen bedeutet dies, dass das Erzwingen von Passwort-Resets die Benutzer dazu bringt, sich leichter zu merken und daher schwächere Passwörter, die typischerweise den beabsichtigten Vorteil der Reduzierung zukünftiger Risiko.
Im schlimmsten Fall könnte ein Hacker beispielsweise das Passwort „Frühling2019!“ kompromittieren. innerhalb weniger Monate nach seiner Gültigkeit. An dieser Stelle können sie Varianten mit „Fall“ anstelle von „Frühling“ ausprobieren und erhalten wahrscheinlich Zugang. Wenn das Unternehmen diese Sicherheitsverletzung erkennt und die Benutzer dann zwingt, ihre Passwörter zu ändern, ist es fair wahrscheinlich ändert der betroffene Benutzer einfach sein Passwort in „Winter2019!“ und denke, dass sie es sind sicher. Der Hacker, der das Muster kennt, kann dies durchaus versuchen, wenn er wieder Zugriff erhält. Je nachdem, wie lange ein Benutzer an diesem Muster festhält, könnte ein Angreifer dies für den Zugriff über mehrere Jahre hinweg nutzen, während sich der Benutzer sicher fühlt, weil er regelmäßig sein Passwort ändert.
Was ist der neue Rat?
Um Benutzer zu ermutigen, formelhafte Passwörter zu vermeiden, wird jetzt empfohlen, Passwörter nur dann zurückzusetzen, wenn ein begründeter Verdacht besteht, dass sie kompromittiert wurden. Da Benutzer nicht gezwungen werden, sich regelmäßig ein neues Passwort zu merken, wählen sie eher ein starkes Passwort.
Damit verbunden sind eine Reihe weiterer Empfehlungen, die darauf abzielen, die Erstellung stärkerer Passwörter zu fördern. Dazu gehört, sicherzustellen, dass alle Passwörter mindestens acht Zeichen lang sind und dass die maximale Zeichenanzahl mindestens 64 Zeichen beträgt. Es wurde auch empfohlen, dass Unternehmen beginnen, sich von Komplexitätsregeln hin zur Verwendung von Blocklisten zu bewegen Verwendung von Wörterbüchern mit schwachen Passwörtern wie „ChangeMe!“ und „Password1“, die vielen Komplexitäten gerecht werden Bedarf.
Die Cybersecurity-Community ist sich fast einstimmig einig, dass Passwörter nicht automatisch ablaufen sollten.
Hinweis: In einigen Szenarien kann dies leider immer noch erforderlich sein, da einige Regierungen die Gesetze, die das Ablaufen von Passwörtern für sensible oder klassifizierte Systeme vorschreiben, noch ändern müssen.