Kompliziert müsse es sein, aus Groß- wie Kleinbuchstaben bestehen und Sonderzeichen, Abkürzungen und Nummern beinhalten. Damit nicht genug, soll das optimale Passwort noch alle 90 Tage gewechselt werden.

Das muss nicht sein. Inzwischen ist bewiesen, dass diese Vorgaben vor allem eines produzieren: schwache Passwörter und damit falsche Sicherheit und damit schlechte Schutzwirkung. Komplizierte Passwörter und regelmäßiger Passwortwechsel erreichen den gegenteiligen Effekt: User verwenden Passwörter mehrfach, schreiben sie auf und variieren vorhersehbar. Auch subjektiv „gute“ Passwörter sind kein Hindernis mehr für steigende Rechenleistungen und die konstante Weiterentwicklung von Algorithmen.[1]

Geteilte Passwörter sind schlechte Passwörter

Die Hälfte aller IT-AnwenderInnen nutzen ihre „sicheren“ Passwörter mehrmals, laut einer Studie bei vier bis sechs unterschiedlichen Diensten.[2] Verliert ein Service seine Nutzerdaten, stehen Login und Passwörter als Grundlage für Brute-Force Attacken, dem methodischen Durchprobieren vieler möglicher Kombinationen, zur Verfügung. Unter https://haveibeenpwned.com können Sie Ihre Accounts auf Anfälligkeit überprüfen.

Typische Anpassungen von Passwörtern – eine Laufnummer, ein Sonderzeichen oder ein Buchstabe für das jeweilige Service – sind für intelligente Algorithmen kein Hindernis. Verwenden Sie daher auch keine Teile von Passwörtern wieder. Benutzen Sie stattdessen Passwortmanager oder zumindest die eingebetteten Funktionen des Webbrowsers. Schützen Sie diese Datenbank durch ein möglichst langes Hauptpasswort (Firefox: Datenschutz & Sicherheit: Hauptpasswort, Chrome: Google, Synchronisierung, Verschlüsselungsoptionen) und verwahren Sie diese Kombination sicher!

Kurze Passwörter sind leicht zu berechnen

Acht Stellen, auch mit Nummern und Sonderzeichen, stellen keine Herausforderung mehr für aktuelle Systeme dar. Geschätzte Dauer, um eine solche Passwortkombination zu errechnen: 1 Stunde. 9 Stellen? 3 Tage. Ein bekanntes, bestehendes Passwort mit aufsteigenden Nummern ergänzt? Wenige Sekunden, allenfalls ein paar Minuten, um wahrscheinliche Buchstabenkombinationen hinzuzufügen bzw. abzuändern.

Auf https://howsecureismypassword.com können Sie ausprobieren, wie sicher Kombinationsvarianten und verwendete Passwortlängen sind. Mögliche Zugangsdaten werden danach berechnet und bewertet, wie lange das Knacken mit aktuellen Algorithmen ungefähr benötigen würde. Geben Sie aber nie Ihr „echtes“ Passwort auf solchen Seiten ein, sondern probieren Sie nur beispielhaft vergleichbare Kombinationen aus!

Passwortlänge schlägt Komplexität

Eine zufällige Kombination aus Nummern, Buchstaben und Symbolen galt oft als die beste Verteidigung gegen Brute-Force Attacken. Durch den Faktor Mensch fallen „schwierige“ Passwörter jedoch meist kürzer aus als einfacher zu merkende, längere Phrasen. Berechnungen weisen mathematisch nach, dass simplere, aber deutlich längere Passwörter sicherer sind als kürzere mit komplexeren Kombinationen.[3]

Wie könnte ein sicheres und einfach zu merkendes Passwort aussehen? Reihen Sie mehrere Wörter, möglichst unabhängig und ohne persönlichem Bezug, aneinander. Garniert mit Rechtschreibfehlern, um Wörterbuchattacken zu erschweren, wäre man damit dem perfekten, alltäglich zu nutzendem Passwort schon recht nahe.

Kein Ablaufdatum mehr

Ein regelmäßiger Änderungszwang führt oft dazu, dass Passwörtern nur Laufnummern am Ende der Kombination angefügt werden. Für Angreifende sind solche leicht zu erraten und schwächen das Passwort deutlich. Daher ist ein automatisierter Wechsel nicht mehr empfohlen. Besser sind Tools, die schwache Passwörter im Vorhinein ausschließen, eine mögliche Kompromittierung eines Accounts schnellstmöglich erkennen und bei Bedarf rasch einen Passwortwechsel auslösen können.[4] Firefox und Chrome bieten diese Zusatzfunktionen an und informieren Nutzer darüber, wenn die Account-Daten in einem Security-Leak bekannt geworden sind (Firefox: Datenschutz&Sicherheit, Zugangsdaten, Alarme; Chrome: Sicherheit, Standardschutz).

2-Faktor-Authentifizierung für wichtige Dienste

Besonders wichtige und zentrale Dienste wie eine persönliche Haupt-E-Mail-Adresse sind oft Grundlage für Zusatzfunktionen wie z.B. Passwort-Rücksetzungen und Identitätsnachweis bei anderen Diensten und daher für Angreifer besonders interessant. Diese zentralen Accounts gilt es besonders sorgfältig zu schützen, um eine fremde Übernahme zu verhindern. Die Aktivierung einer 2-Faktor Authentifizierung hilft dabei, Missbrauch zu erschweren und die Sicherheit Ihrer digital genutzten Dienste zu verbessern.

Passwörter sind ein sehr wichtiger Bestandteil der aktuellen IT-Sicherheit und ermöglichen eine einfache und effiziente Authentifizierung der BenutzerInnen. Auch wenn oft als zu unsicher bezeichnet, wird uns diese Methode des Zugriffs noch lange begleiten. Bestehende, oft seit langer Zeit im Einsatz befindliche Passwort-Richtlinien entsprechen häufig nicht mehr den aktuellen Bedürfnissen der Benutzer und Anforderungen an die IT-Sicherheit. Passen Sie Ihre Unternehmensvorgaben und Ihr privates Verhalten jetzt an!

Auch lesenswert:

Ausgetrickst: Phishing-Kampagnen mit „hidden fonts“ und „zero text“

Praxistipps: Sicher arbeiten im Homeoffice – so schützen Sie sich vor Viren und Hackerangriffen

IT-Services zum Nulltarif: Das Geschäft mit den persönlichen Daten