Wenn es um die Thematik Passwort geht, dann findet man vor allem im Internet viele Tipps dazu. Der wohl weitverbreitetste Ratschlag ist, dass man sein Passwort regelmäßig ändern sollte. Als Privatverbraucher liegt einem die Entscheidung frei in der Hand, es besteht also keine Pflicht den Rat zu befolgen.
Bei Unternehmen sieht es schon anders aus, denn in manchen Fällen schreibt einem der Chef diesen Prozess vor. Es kann zum Beispiel heißen, dass jeder Mitarbeiter alle 60 oder 90 Tage sein Kennwort ändern muss. Auf dem ersten Blick eine sichere und vernünftige Sache, doch spätestens beim zweiten Blick kommen dann auch die Schattenseiten zum Vorschein. Es kennt sie zwar fast niemand, doch sie gibt es tatsächlich.
Die unsichere Wahl
Der erste Faktor ist die Qualität des Passworts. Wer bereits von Anfang an über die regelmäßige Änderung weiß, der nimmt in der Regel von Haus aus ein vergleichsweise „einfaches“ Passwort. Natürlich erfüllt es die Anforderungen wie Sonderzeichen oder Zahlen, doch auch unter diesen Voraussetzungen kann man zwischen einem „einfachen“ und schweren Kennwort wählen. Ein negatives Beispiel wäre „123@Aa“, es würde zwar den Regeln entsprechen, doch sicher ist es dennoch nicht. In so einem Fall steht nicht die Sicherheit, sondern das einfache Merken im Vordergrund. Klüger wäre ein Passwort wie „!i(0hKm(@1Kl-“. Das Problem ist also, dass das Kennwort von Haus aus schon nicht so sicher ist, wie es eigentlich sein sollte. Für Angreifer nicht unbedingt ein Nachteil.
Minimale Änderungen
Beim zweiten Faktor geht es um die Änderung. Die Mehrheit verwendet nämlich keine vollständig neue Kombination, sondern es werden lediglich minimale Unterschiede integriert. Beispielsweise wird die letzte Zahl um den nächsthöheren Wert ersetzt, oder aber man fügt einfach einen Buchstaben hinzu. Auch hier spielt die Sicherheit nur eine Nebenrolle, denn solch minimale Veränderungen haben nur geringe Auswirkungen. Professionelle Angreifer haben mit beiden Varianten keine Probleme, lediglich der Zeitaufwand erhöht sich ein wenig. Entscheidet man sich also nicht für eine ganz neue Kombination, dann ist man auch nicht besser geschützt als zuvor.
Der Zeitaufwand
Faktor Nummer drei ist auf die Zeit zurückzuführen. Private Nutzer müssen meist nur auf einem oder auf zwei Geräten das Kennwort aktualisieren, Mitarbeiter eines Unternehmens sind hingegen über mehrere Wege unterwegs. Hier sind in erster Linie der PC im Büro, der Laptop, das Smartphone und das Tablet zu nennen. Steht also eine solche Aktion an, dann nimmt das Ganze auch Zeit in Anspruch. Es sind zwar keine Stunden, doch zusammengerechnet kommt trotzdem ein meist nicht gedachter Wert zustande.
Die bessere Lösung
Das regelmäßige Ändern des Passworts macht nur dann Sinn, wenn man auch tatsächlich jedes Mal eine komplett neue Kombination nimmt (die auch schwierig und kompliziert ist). In den meisten Fällen ist aber genau das nicht so, sodass die Wirkung ganz klar verfehlt wird. Die vernünftigere Lösung ist deshalb, dass man von Beginn an ein „richtiges“ Kennwort nimmt und dieses dafür nur 1 Mal im Jahr durch ein ganz neues ersetzt. Der Clou ist nämlich: Entscheidend für die Sicherheit ist nicht die Anzahl der Änderungen, sondern wie stark das Passwort ist. Wird es dann auch nur minimal abgeändert, dann bleibt der Schutz im Großen und Ganzen gleich.