Der sichere Umgang mit persönlichen Daten im allgemeinen, Anmeldeinformationen und Passwörtern im speziellen ist eines der zentralen Themenbereiche in der IT-Security. Um wenig Aspekte wird dabei so kontrovers diskutiert, wie um den Umgang mit der inzwischen alltäglichen Passworteingabe. Neben persönlichen Best-Prächtige-Lösungen gibt es Richtlinien von Unternehmen, Hilfestellung durch Experten in der Fachpresse und sogar Empfehlungen durch das Bundesamt für Sicherheit in der Informationstechnologie.
Dem grundsätzlichen Bedürfnis nach Sicherheit stehen praktische Aspekte gegenüber – und zu dem alltäglichen Umgang mit allen möglichen Passwörtern gibt es ganz unterschiedliche Hilfestellungen und Praxisleitfäden, teilweise werden in Unternehmen monatliche Wechsel von Login-Daten erzwungen – die persönliche Identifikationsnummer (Pin) der EC-Karte wird aber für den gesamten Gültigkeitszeitraum der Karte vergeben, oft sogar ohne eine Möglichkeit eine eigene Pin zu wählen.
Moderne Dienstleister im Internet erzwingen bei der ersten Eingabe eines Passwortes häufig eine Kombination von Zahlen und Buchstaben, einige erfordern Groß- und Kleinbuchstaben oder mindestens ein zusätzliches Sonderzeichen. Die Passwörter sollen so schwieriger zu knacken sein – aber der Umgang damit wird ebenfalls nicht erleichtert. In vielen Expertenmeinungen wird betont, dass ein individuelles Passwort pro Dienst verwendet werden sollte. Wenn es also zu einem Einbruch in die Datenbank einer Internetseite kommt und alle Passwörter der dortigen Benutzer entschlüsselt werden können, kann mit diesem Passwort nicht auch die Anmeldung bei einer anderen Plattform erfolgen. In der Theorie ist das ein sehr wertvoller Tipp, denn der praktische Nutzen ist hoch, wenn die Regel denn konsequent umgesetzt wird.
Der bequeme Umgang mit Passwörtern macht diesem Gedanken aber oft ein Strich durch die Rechnung: Ein individuelles Passwort besteht für viele Menschen aus einem Standardpasswort, dass um eine Ziffer ergänzt oder variiert wird. Der erzwungene Wechsel von Passwörtern lässt Nutzer gegebenenfalls dazu übergehen, bestimmte Variationen rotieren zu lassen – auch wenn so zwar Passwortwechsel einen Angreifer in einem Computersystem erstmal aussperrt, wird der betroffene Benutzer mittelfristig vorhersagbar.
Ein zu kompliziertes Passwort führt, gerade in kleineren Unternehmen, oft zu einer deutlichen Mehrbelastung der IT-Abteilung, da die Zahl der Rücksetzungen von Passwörtern zunehmen wird.
Für ein Unternehmen mit Administratoren für die eigene Infrastruktur sind inzwischen einige Methoden als effizienter als die erzwungenen Passwortwechsel festgestellt. Die Auswertung des Anmeldeverhaltens aller Benutzer im System steht hier an erster Stelle. Eine hohe Anzahl an nicht erfolgreichen Anmeldungen kann ein deutlicher Indikator für einen Einbruchsversuch darstellen.
Grundsätzlich ist folgender Hinweise trotzdem nicht falsch: Ein regelmäßiges Wechseln der eigenen Passwörter kann zur Sicherheit beitragen, sofern das Passwort nicht vorhersagbar ist. Ein eigenes Kennwort für jeden verwendeten Dienst ist ebenfalls zu empfehlen.