Kennen Sie den Ändere-Dein-Passwort-Tag? Er ist – angeblich seit 2015 – immer am ersten Februar des Jahres. Bewusst wahrgenommen haben ich ihn erst dieses Jahr. Zahlreiche Blogbeiträge, Pressemeldungen und ultimative Tipps zur Passwortsicherheit haben die Social Media-Kanäle geflutet. Selbst seriöse Kanäle haben sich auf das Thema gestürzt, das auch die Smarthome-Security betrifft.
Es gibt meiner Meinung nach genau drei Gründe, ein Passwort zu ändern:
In solchen Fällen ist das Passwort sofort zu ändern, und nicht erst am 1. Februar. Wie ein starkes Passwort aussehen kann – und wie Sie es sich merken können – war das Thema in meinem früheren Blogbeitrag "Wie Sie sich ein starkes Passwort merken".
Ich sehe keinen Sinn darin, ein sicheres Passwort – von dem nur ich weiß – regelmäßig zu ändern.
Genau genommen halte ich das eher für kontraproduktiv. Der Mensch ist ein bequemes Wesen und versucht vermutlich in solchen Fällen eher einen Zähler in sein Passwort einzubauen, anstatt es komplett zu ändern. Aus _Am1EsadS01 wird dann _Am1EsadS02, _Am1EsadS03, usw. Wird ein solches Passwort gestohlen, können sich die Diebe künftige Passworte einfach herleiten.
Wer sein Passwort alle drei Monate ändern muss, wird sich kaum jedes Mal ein sicheres Passwort überlegen – selbst bei gutem Willen ist das nicht praktikabel. Also, liebe Administratoren, verpflichtet Eure Benutzer ruhig zu langen und sicheren Passwörtern, aber bitte ohne Zwang zum ständigen Wechsel.
Anscheinend gibt es immer noch Anwender, die ein Kennwort gleich für mehrere Dienste oder Online-Konten nutzen. Wenn einem Hacker so ein Passwort in die Finger fällt, sind alle entsprechenden Konten in Gefahr.
Das gilt natürlich nicht nur für Dienste und Online-Konten, sondern auch für die Geräte und Systeme in Ihrem Smarthome, wie beispielsweise die tci-Touchpanels zur Haussteuerung. Auch wenn es lästig erscheinen mag, jede Türsprechstelle, IP-Kamera, Wärmepumpe oder Heizungssteuerung muss mit einem individuellen Passwort gesichert sein. Keinesfalls dürfen Sie das vom Hersteller vergebene Standardpasswort beibehalten – das wäre geradezu eine Einladung an Hacker. Bei solchen Anwendungen benutze ich Passwörter, die mindestens 20 Stellen haben.
Zudem nutze ich bei allen Online-Diensten, die das anbieten, die Zwei-Faktor-Authentifizierung – bei jedem Einloggen bekommt man nach der Passworteingabe einen individuellen Code per SMS oder E-Mail.
Nebenbei: Fatal ist übrigens auch, wenn Ethernet- oder KNX-Anschlüsse außen am Gebäude vorhanden sind. Das ist, wie den Schlüssel der Haustür von außen stecken lassen.