Ha77y Pa$$w0rd D@y!

Der erste Donnerstag im Mai steht im Zeichen der Passwort-Sicherheit. Was wirklich wirkt – denn das regelmäßige Wechseln ist es nicht.


Passwort 123456 geschrieben auf einem Klebezettel
Passwort 123456 geschrieben auf einem Klebezettel (Marco Verch under Creative Commons 2.0)

Auch zum heutigen Welt-Passwort-Tag, der jeweils am ersten Donnerstag im Mai begangen wird, wird allerorts wieder dazu aufgerufen das Passwort regelmäßig zu ändern – das soll die Sicherheit der jeweiligen Anwendung erhöhen.

Seit das National Institute of Standards and Technology (NIST) im Jahr 2003 damit begonnen hat, verlangen dies viele einschlägige Ratgeber und IT-Administratoren. Und sie quälen damit nicht nur ihre User, sondern verursachen wahrscheinlich nicht mehr Sicherheit, sondern noch mehr auf Post-Its und unter der Tastatur notierte Eselsbrücken. Denn wer sein Passwort andauernd ändern muss, wird eine möglichst leicht merkbare Phrase verwenden, die dann jedes Mal nur minimal verändert wird. Aus „Mail2019!“ wird „Mail2020!“ …

Selbst das NIST ist vor einigen Jahren wieder von der eigenen Empfehlung abgerückt: Nicht das regelmäßige Abändern des Passwortes erhöht die Sicherheit, sondern eine möglichst komplexe Zeichenkombination. Hier einige Tipps, die tatsächlich für mehr Sicherheit bei der Passwort-Nutzung sorgen:

1. Unterschiedliche Passwörter

Auch wenn es noch so verlockend ist und den Aufwand der Passwortverwaltung vermeintlich verringert: Verwenden Sie nicht ein und dasselbe Passwort für unterschiedliche Dienste. Sobald Kriminelle nur eine dieser Anwendungen gehackt haben und an Ihre Zugangsdaten und Ihr Passwort gekommen sind, können Sie sich damit auch Zugang zu ihren anderen Benutzerkonten verschaffen. Mit unterschiedlichen Passwörtern halten Sie den Schaden begrenzt.

2. Passphrase statt Passwort

Alle kennen diese Regeln: Bei der Passworterstellung sind Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen zu verwenden und sinnvolle Wörter, die in einem Wörterbuch stehen, zu vermeiden. Doch dies ist bei so genannten Brute-Force-Angriffen durch automatisiertes, wahlloses Ausprobieren nahezu wirkungslos. Das wichtigste Kriterium bei der Passwort-Sicherheit ist seine Länge. Während ein leistungsstarker Computer ein Passwort mit 5 Stellen in weniger als einer halben Stunde knackt, braucht er für 20 Stellen und mehr Monate oder gar Jahre.

Das bessere Passwort ist daher ein Pass-Satz. Vier Wörter genügen, und die Leerzeichen werden noch mit Zahlen und Sonderzeichen gefüllt: H@ie1schwimm€n2im3B00t! Was gibt es Schöneres!

3. Passwort-Manager verwenden

Niemand kann sich alle Passwörter merken, daher ist der Einsatz eines Passwort-Managers eine gute Idee. Dieser speichert nicht nur alle persönlichen Passwörter verschlüsselt an einem Ort, er hilft auch beim Erzeugen sicherer Passwörter. Mit einigen Systemen kann man sich anschließend sogar automatisch bei den verschiedenen Diensten anmelden. Nun muss man sich nur noch das Master-Passwort für den Manager merken.

4. Zwei-Faktor-Authentifizierung

Einige Online-Dienste bieten bereits die Möglichkeit, die Anmeldung durch Zwei-Faktor-Authentifizierung sicherer zu machen. Dabei wird die Passworteingabe um ein zweites Sicherheitselement ergänzt. Man muss
z. B. einen TAN eingeben, den man per SMS oder E-Mail zugesendet bekommt oder der mit einem TAN-Generator erstellt wird. Oder man muss die Anmeldung innerhalb einer zweiten App oder Anwendung freigeben. Diese Methode wird aktuell von einigen Online-Banking-Lösungen eingesetzt.

Sein Passwort ändern muss man dann nur mehr, wenn man bemerkt, dass verdächtige Aktivitäten stattfinden oder ein oder mehrere Passwörter kompromittiert wurden. Das kann man auf den Webseiten „Have I been pawned“ oder mit dem Identity Leak Checker des HPI überprüfen.

(Photo: „Passwort 123456 geschrieben auf einem Klebezettel“ by Marco Verch under Creative Commons 2.0)