Die Sicherheits-Forscher wechseln immer mal wieder die Meinung, was die Häufigkeit eines Passwort-Wechsels anbetrifft. Was in einem langen Artikel wie dem unten verlinkten etwas untergeht, sind die wichtigen Eckpunkte:
- Passwort-Manager (Passwort-Tresore) verwenden: dann sind auch sehr lange, komplexe Passworte leicht zu handhaben. Aus grundsätzlichen Erwägungen ist OpenSource-Software wie KeePassX zu bevorzugen, weil Closed-Source Hintertüren enthalten kann. Das Passwort für den Tresor muss natürlich besonders gut sein – aber man muss sich nur dieses merken. Oder gar einen wahrhaften Schlüssel in Form eines Hardware-Tokens verwenden (z. B. Yubikey).
- Passwort-Generatoren verwenden: dann sind die Passworte stark; ein Mensch kann kaum einschätzen, ob eine Zeichenkette für einen computergestützten Angriff komplex genug ist. In KeePass ist ein solcher Generator enthalten. Einige Programme prüfen die Passworte auch gleich, ob sie bereits in den Datenbanken veröffentlichter Passwörter enthalten sind.
- Für jeden Account ein anderes Passwort verwenden. Wird ein Passwort geknackt, sind sonst auch andere Accounts verloren. Ein Zurücksetzen des geknackten Passworts kann unmöglich werden. So kann man schnell seine komplette digitale Identität verlieren.
- Zwei-Faktor-Authentifizierung aktivieren: wenn ein Account geknackt ist, dann fehlt dem Einbrecher sozusagen das zweite Passwort. Aber Vorsicht: Teufelskreise können entstehen, wenn man ein geknacktes Konto mit einem anderen, ebenfalls geknackten Konto zurücksetzen müsste. Die Passworte müssen also unbedingt sehr unterschiedlich und sehr gut sein.
Wer diese Regeln beherzigt, wird so schnell kein Opfer.
Inspiration: Sueddeutsche.de/digital/