Am heutigen Freitag ist wieder "Änder dein Passwort"-Tag. Das heißt, wir werden wieder überschwemmt mit gut gemeinten Ratschlägen, was wir Anwender unbedingt tun sollten, um die Sicherheit unserer Daten zu gewährleisten. Dabei ist längst bekannt, dass das anlasslose Ändern von Passwörtern nicht nur nichts bringt, sondern sogar zu mehr Unsicherheit führen kann.

Ein Kommentar von Jürgen Schmidt Jürgen Schmidt - aka ju - ist leitender Redakteur von heise Security und Senior Fellow Security bei heise. Von Haus aus Diplom-Physiker, arbeitet er seit über 15 Jahren bei Heise und interessiert sich auch für die Bereiche Netzwerke, Linux und Open Source.

Kaspersky erklärt deshalb auch, dass wir gar keinen "Ändere dein Passwort"-Tag brauchen sondern einen "Tag der starken Passwörter". LastPass schlägt in die gleiche Kerbe und empfiehlt ganz aktuell:

"20 Zeichen oder mehr, zufällig generierte Passwörter, die Klein- und Großbuchstaben, Ziffern und Symbole enthalten"

sollten es sein. Das lässt sich natürlich nur mit einem Passwort-Manager realisieren. LastPass hätte da einen im Angebot – so ein Zufall.

Ich sage:

Steckt Euch eure Predigten zur Passwortsicherheit dorthin, wo die Sonne nicht scheint!

Sie lenken nämlich nur vom eigentlichen Problem ab. Wenn ein Online-Dienst vernünftig abgesichert ist, lässt sich nichtmal ein halbwegs brauchbares Passwort mit 6-8 Zeichen knacken. Außerdem muss man Passwörter gar nicht mehr knacken: Mittlerweile kursieren im Internet Datensätze mit 2,2 Milliarden gestohlenen Zugangsdaten! Nicht Millionen – Milliarden.

Und nicht ein einziger dieser Datensätze wurde geklaut, weil Anwender fahrlässig mit ihren Passwörtern umgegangen wären. Nicht ein einziger! Die wurden geklaut, weil die Firmen, denen wir unsere Daten anvertraut haben, nicht gut genug darauf aufgepasst haben. Hallo Yahoo, eBay, Adobe, LinkedIn, Dropbox? Hört mich jemand?

Was wir also dringend brauchen, ist kein "Ändere dein Passwort"-Tag oder einen "Tag der starken Passwörter", die die Verpflichtung, jetzt doch endlich mal was zu unternehmen, auf die unschuldigen Opfer abschieben.

Was wir brauchen, ist ein "Testet gefälligst mal, ob ihr unsere Daten wirklich ausreichend sicher aufbewahrt"-Tag, der die Betreiber von Diensten in die Pflicht nimmt.

Und wenn wir einmal dabei sind, am Besten auch gleich noch einen "Überprüft doch mal, ob ihr all die Daten wirklich braucht"-Tag. Denn nur was man nicht speichert, kann auch nicht geklaut werden. Vielleicht vergeht dann endlich mal ein Monat, ohne dass irgendwo ein paar tausend Datensätze rausgetragen werden. Dann reden wir wieder über die Stärke meiner Passwörter. (ju)