Passwörter sind der Schlüssel zu unseren privaten Daten, unserem Bankkonto oder unserem Handy – aber trotzdem gehen wir damit leichtfertig um. Wie eine aktuelle Studie des BITKOM (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien) zeigt, herrscht trotz erhöhter Gefahren immer noch Bequemlichkeit vor.
Nur 12 Prozent ändern quartalsweise ihre Zugangsdaten
Sie lauten ganz simpel „000000“, „123456“ oder „admin“: die Passwörter von vielen Usern. Obwohl die Kombinationen aus Ziffern und/oder Buchstaben uns vor Missbrauch und ungewollten Einblicken schützen sollen, gehen viele damit noch lapidar um. Viel zu lapidar, wie eine Umfrage von Bitkom Research und Aris Umfrageforschung ergab.
Von den 1.316 befragten Personen ab 14 Jahren gaben 24 Prozent an, dass sie ihre Passwörter nie aus eigenem Antrieb ändern würden. Ähnlich viele wechseln ihre Zugangsdaten nur alle paar Jahre (21 Prozent) oder einmal jährlich (25 Prozent). Deutlich weniger denken sich halbjährlich (12 Prozent), quartalsweise (auch 12 Prozent) und monatlich (3 Prozent) neue Passwörter aus. Nur ein kümmerliches Prozent der Befragten ändert seine Daten wöchentlich.
Neue Stellenangebote
Growth Marketing Manager:in – Social Media GOhiring GmbH in Homeoffice |
||
Mitarbeiter*in (m/w/d) für Social Media, Öffentlichkeitsarbeit und Städtepartnerschaft (m/w/d) meinestadt.de in Sachsenheim |
||
Journalist (m/w/d) als Leiter PR und Social-Media NOMOS Glashütte/SA Roland Schwertner KG in Berlin |
Vermeidbarer Schaden
Das sind erschreckende Ergebnisse, wie ich finde. In Zeiten, in denen man regelmäßig von Hacks und Passwort-Klau hört, in denen Phishing und ähnliche Betrügereien fast zum Alltag gehören, ist ein verantwortungsvoller Umgang mit seinen Passwörtern eigentlich Pflicht. Scheinbar sehen das die Bundesbürger anders.
„Bequemlichkeit ist der größte Feind der IT-Sicherheit, die wichtigsten Zugangsdaten sollten alle drei Monate verändert werden“, rät der BITKOM-Präsident Prof. Dieter Kempf. Stattdessen ändern viele User ihre Zugangsdaten erst, wenn sie Opfer von Kriminalität geworden sind. Also wenn das Kind bereits in den Brunnen gefallen ist. Dann ist der Schaden und das Wehklagen groß.
Traurig. Und so – zumindest zu beachtlichem Anteil – vermeidbar. Denn wenn jeder regelmäßig seine Passwörter ändern würde, hätten Kriminelle weniger Angriffsfläche. Doch das wollen wohl viele nicht wahr haben. Hierzu bedarf es meiner Meinung nach deutlich mehr Aufklärung in der breiten Masse. Und auch penetrantere Mechanismen wären gut. Wie zum Beispiel Online-Zugänge, die darauf bestehen, dass man alle paar Wochen oder Monate das Passwort ändern muss.
Wie ist das bei euch: Wurdet ihr nun auf dem falschen Fuß ertappt? Oder ändert ihr regelmäßig eure Passwörter? Wie schützt ihr euch gegen Missbrauch? Ich bin auf euer Feedback gespannt.
Bild: Tim Reckmann / Pixelio
Ich stimme nur einem Punkt zu – die Bequemlichkeit der Nutzer ist tatsächlich das Hauptproblem. Aber unter allen möglichen Abwehrtechniken halte ich das regelmäßige, präventive Ändern von Passwörtern für die wirkungsloseste.
Viele Angriffe umgehen die Passwortabfrage komplett (wie bei dem bekannten Promi-Hack oder der kürzlich bekannt gemachten eBay-Lücke, bei der auch ein Laie innerhalb von Minuten den Zugriff auf jedes Konto erhalten konnte). Das zweite Problem – wird eine Sicherheitslücke entdeckt, kann sie weiterhin ausgenutzt werden, um so auch an geänderte Passwörter ranzukommen. Erst wenn die Lücke veröffentlich und behoben wird, sollte das Passwort geändert werden, um sicherstellen zu können, dass dieses nicht mehr entwendet werden kann. Logischerweise ist es zu diesem Zeitpunkt oft zu spät – die Angreifer konnten die Zugangsdaten längst verwendet haben, um bspw. an unsere Daten zu kommen. Das Ändern von Passwörtern alle 3 Monate ändert an diesem Problem gar nichts (in dem Moment, in dem die Angreifer alle Passwörter bekommen, können sie diese sofort einsetzen). Deswegen sollte man vorher schon zuverlässige Methoden einsetzen. Die wichtigsten sind: 1. unterschiedliche Passwörter für jeden Dienst (so wird der Schaden auf nur einen Dienst begrenzt), und 2. die Zwei-Wege-Authentifizierung für alle Dienste, die dies anbieten (mit dem Passwort kann so nichts angefangen werden)
Ich habe hier etwas ausführlicher über dieses Thema berichtet: http://www.eclectide.com/blog/2014/09/14/another-password-leak-oh-must-tuesday/
Die Reaktion war meist gleich – „Ein interessanter Artikel, aber ich werde trotzdem nichts davon umsetzen. Mich wird ja niemand angreifen“. Und da sind wir wieder bei der Bequemlichkeit. Wer zu faul ist, sich um ein starkes Passwort zu kümmern, wird erst recht nicht auf die Idee kommen, seine Passwörter alle 3 Monate zu wechseln.
In diesem Artikel wollt ihr für mehr Aufklärung sorgen, aber leider geht ihr nur auf eine Technik ein, die nur in den wenigsten Fällen wirklich schützt.
Amazon, Google, Microsoft, Paypal, Ebay, online Banking+ noch mindestens 5 andere Online Shops und dazu noch einige Foren…
Also 15 Passwörter die narürlich alle unterschiedlich sein sollen, man soll sie sich nirgends aufschreiben und alle 2 Monate ändern, 8 stellen sollen sie auch mindestens haben und natürlich eine bunte Mischung aus Buchstaben, Zahlen uns Sonderzeichen.
Ich kann die Leute schon verstehen muss ich sagen
Vorausgesetzt, man benutzt sichere und einmalige Passwörter, finde ich es nicht unbedingt notwendig Passwörter zu ändern.
Das mal vorausgesetzt nützt das ändern eines Passwortes ja nur etwas, wenn der Verdacht besteht, dass das alte Passwort irgendwie anderen bekannt ist (und zwar im Klartext, nicht als Hash), aber es seit dem Bekanntwerden nicht direkt missbraucht wurde, sondern erst einige Wochen/Monate später – und zwar bei dem gleichen Dienst, bei dem das Passwort entwendet wurde.
Wenn Wunschdenken auf die Wirklichkeit trifft,
Sorry aber wie viele Passwörter hat ein User im Netz?
Die sollen ja auch nicht einfach sein. Sondern lang und Kompliziert.
Merken muss man sich diese auch.
Nun soll man was eh schon kaum zu machen ist auch noch so machen das man die immer wechselt.
Solange der Mensch kein Chip im Hirn hat. Wird das nie gehen.
Ich kenne einige Seiten die fordern einen auf zu wechseln. Konsequenz ist, ich nutze diese Seiten nicht mehr.
Stellt euch das mal vor. 400 Passwörter wollen alle 30 Tage ersetz werden.
Warum sollte man ein komplexes Passwort regelmäßig ändern?
So lange kein Angriff auf einen Dienst bekannt wird, macht es keinen Sinn ein gB5a14.h7j!zZ7.2 zu ändern.
Es könnten ja auch Nicht-Hacker Zugriff zu deinen Zugangsdaten bekommen haben. Zum Beispiel Freunde/Verwandte/Bekannte/Kollegen/Außenstehende, die dir bei der Eingabe eines Passwortes über die Schulter geschaut haben.
Theoretisch. Theoretisch müsste ich dann nach jedem Login das PW ändern. Theoretisch könnte mir auch jemand beim Passworterstellen über die Schulter schauen. Und jetzt? 😉
Praktisch schaut mir so direkt niemand auf die Finger und mein ähnlich kompliziertes Passwort flutscht mir so schnell über die Tastatur, dass niemand eine realistische Chance hat meine Finger so genau zu beobachten.
Da ist der popelige 4 Zahlen-PIN am EC-Terminal deutlich kritischer zu sehen. Überhaupt machen komplexe Passwörter nur bei sensiblen Logins Sinn. Also da, wo es direkt um Geld geht oder etwa Mailportale. Sollte aber jemand z.B. einen Zugang zu einem Foren-Login erhalten, geht die Welt nicht unter. Darum habe ich bei all meinen etwa 20 Forenzugängen fast dasselbe Kennwort.
Hallöchen zusammen!
Ständiger Wechsel der Paßwörter? Da hätte ich aber viel zu tun. Wenn ich das wie im Artikel erwähnt wöchentlich machen würde, dann sitze ich wohl die ganz Zeit nur am Rechner zum Wechseln der Paßwörter!
Ich bin in keine Ahnung wieviel Foren gemeldet und habe 12 Postfächer bei verschiedenen Anbietern, dazu noch das Blog mit verschiedenen Zugängen (ein Admin und ein paar Nutzer mit verschiedenen Rechten), verschiedene Pseudonyme mit ebenfalls eigenen Postfächern…
Meine Paßwörter sehen ungefähr so aus:
§21Tub68miZ&poi84glR59%
Ich nehme doch stark an, daß die Dinger ausreichend sicher sind. Das sind immerhin 23 Zeichen, daß soll mir mal jemand knacken! Natürlich verwende ich dazu einen Paßwortmanager, den ich aber mit einem etwas einfacheren Paßwort gesichert habe.
Dazu werden die Paßwörter verschlüsselt gespeichert und ich arbeite hier ausschließlich mit Linux/Kubuntu, wobei ich auch noch andere Sicherheitsvorkehrungen hier getroffen habe.
Es dürfte also schon ziemlich schwer sein, daß jemand einen meiner Accounts einnimmt. Gewechselt wurden nur letztens ein paar von denen, nach dem der große Datenklau bekannt wurde, obwohl meine Mail-Adressen angeblich nicht betroffen waren.
Nur die „Unique Keys“ von WordPress werden mindestens einmal im Monat gewechselt, wofür ich das Plugin „Update Unique Keys“ verwende.
Grüße aus TmoWizard’s Castle zu Augsburg
Mike, TmoWizard
„Es könnten ja auch Nicht-Hacker Zugriff zu deinen Zugangsdaten bekommen haben. Zum Beispiel Freunde/Verwandte/Bekannte/Kollegen/Außenstehende, die dir bei der Eingabe eines Passwortes über die Schulter geschaut haben.“
Da würde ich aber die Freunde wechseln wenn die mit den Daten mist bauen 🙂
Ehrlich das ist auch Paranoia oder?
Theoretisch könnte auch der Nachbar jeden Tag mit dem Fernglas durch das Fenster schauen, ob ich das Passwort ändern.
Man muss doch auch Wahrscheinlichkeiten beachten. Wobei meine Passwörter so sind, das man sie sich, mit über die Schulter schauen kaum merken kann.
Merke dir mal mit kurzen blick CkrlGuYYaQbVuiamOTNZ7cCW3pEpIV071k6 🙂
Viel wichtiger ist doch ob ich bescheid bekomme wenn Daten auf Servern geklaut werden. Ich denke die Chance das Passwörter durch Hacks wegkommen ist höher. Oder eben durch einen Trojaner.
Und da hilt ein neues Passwort alle 30 tage auch nix.
Die meisten passwörter kommn aber weg, weil es scheiß Passwörter sind.