Ist es wirklich schon wieder so weit? Das kann doch nicht sein! Gefühlt habe ich das Passwort für mein Arbeitskonto gerade erst vor ein paar Wochen verändert. Wie kann es sein, dass ich schon wieder ein neues anlegen muss? Aber gut, der Computer hat natürlich immer recht. Also: gutes Passwort auserwählen, eingeben und ganz fest darauf hoffen, dass nicht irgendein Bug zuschlägt und ich mich unabsichtlich aus dem System aussperre. Aber nein, Glück gehabt. Es geht alles gut, das Thema wäre also für ein paar Monate erledigt.

Sorry, aber das war natürlich nur ein Scherz. In Wirklichkeit muss das betreffende Passwort als Nächstes an all den anderen Stellen, wo es sonst noch so gespeichert ist, aktualisiert werden. Also etwa am Smartphone, wo ich mich dann schnell dafür verfluche, prinzipiell auf lange Passwörter zu beharren. Und, ach ja, war da nicht immer der eine Service, wo ich es nochmal manuell anpassen muss, weil sonst das alte Passwort gespeichert bleibt? Verdammt, fast den Remote-Desktop-Client vergessen, das sollte nicht passieren, sonst wundere ich mich beim nächsten Login im Stress wieder, warum nichts geht.

Klingt irgendwie vertraut? Ja? Das ist keine Überraschung, zwingen doch viele Firmen ihre Mitarbeiter bis heute dazu, ihre Passwörter regelmäßig zu ändern. Wahrscheinlich, weil mal irgendwer von irgendwem gehört hat, dass das gut für die Sicherheit ist, und diese Weisheit anschließend nie wieder hinterfragt wurde. Wie es halt ehrlich gesagt bei vielen Prozessen ist, die in Unternehmen so etabliert sind.

Schluss mit diesem Unsinn

Das Problem: Der Zwang zum dauernden Ändern von Passwörtern nervt nicht nur, er ist auch kontraproduktiv. In der Praxis führt dies nämlich dazu, dass die gequälten Nutzer einfach schlechtere Passwörter wählen, weil sie sich sonst das alles nicht mehr merken. Das ist mittlerweile durch zahlreiche Studien belegt, entsprechend raten auch große Firmen wie Microsoft seit Jahren von solchen Policies ab.

Also, liebe Firmen und all jene, die sonst noch regelmäßig eine Passwortänderung ohne guten Anlass verlangen: Bitte hört auf damit! Ihr helft eurer Sicherheit nicht, ihr schadet ihr damit – und quält die eigenen Mitarbeiter. Lieber die Leute dazu bringen, einmal ein wirklich gutes Passwort zu wählen, das sie sich dann auch gut merken können und dafür nirgendwo sonst nutzen. Im besten Fall das Ganze dann noch mit Zwei-Faktor-Authentifizierung absichern, um es Angreifern schwerer zu machen. DAS sind sinnvolle Maßnahmen.

Aber von solchen wilden Fantasien zurück zur Realität, die da heißt: Das Passwort bei dem einen externen Dienst ändern, den ich so selten brauche, dass ich bei praktisch jedem Besuch das Passwort ändern muss ... (Andreas Proschofsky, 15.3.2022)