IT + Kommunikation -

Sonderzeichen und Ziffern sind veraltete Regeln Falsch gedacht: Warum das perfekte Passwort eigentlich ganz simpel ist

Weltweit legen Nutzer ihre Passwörter falsch an. Das sagt der Mann, dem damals alle folgten, als er zu Passwörtern mit Sonderzeichen, Groß- und Kleinbuchstaben sowie mit Zahlen riet. Heute bereut er seinen Leitfaden und erklärt, dass ein sicheres Passwort sehr viel einfacher aussieht.

Vor 15 Jahren erstellte ein Mann namens Bill Burr einen technischen Leitfaden, der uns bis heute als Richtlinie bei der Vergabe von Passwörtern dient. Das achtseitige Dokument empfiehlt neben einer Mischung aus Groß- und Kleinschreibung auch die Verwendung von Sonderzeichen und Zahlen. Zudem rät es, das Passwort möglichst alle 90 Tage zu wechseln. Bis heute orientieren sich Verbraucher, Betriebe und auch Online-Dienstleister an Burrs Richtlinien aus dem Jahr 2003.

Vieles was wir bislang über Passwörter wussten, ist veraltet

Burrs ehemaliger Arbeitgeber, das National Institute of Standards and Technology (NIST), hat das Regelwerk im vergangenen Jahr komplett überarbeitet. Dabei stellte sich heraus: Vieles was wir bislang über Passwörter wussten, ist veraltet. Und das liegt nicht nur daran, dass das Regelwerk aus dem Jahr 2003 stammt. In Wahrheit beruht es auf Daten, die noch deutlich älter sind als die Richtlinien.

Gegenüber dem Wall Street Journal beichtete Burr, dass er damals unter großem Zeitdruck stand. Zudem lagen ihm kaum empirische Daten zum Thema vor. Er nahm sich also ein Dokument als Vorbild, das sich in den 1980er Jahren mit sicheren Passwörtern beschäftigte. Die Empfehlungen erschienen ihm logisch. Nicht nur ihm. Zahlreiche Systemadministratoren, Verbraucher und auch Behörden stützten sich seither auf Burrs Regeln. Ein Fehler.

Der Grund: Die Rechenleistung von Computern hat sich seit damals enorm weiterentwickelt. Passwörter, die lediglich aus ein paar Zeichen bestehen, können heute viel schneller geknackt werden. Zudem verfügen Hacker inzwischen über Listen mit Millionen von Passwörtern. Diversen Hackerangriffen auf Datenbanken sei Dank. Selbst Passwörter die etwas kreativer sind, müssen also nicht zwingend sicher sein. Das gilt auch für Passwörter, die mit vielen Sonderzeichen und Ziffern ausgeschmückt sind.

Das perfekte Passwort: Sätze bilden, Leerzeichen verwenden

Doch wie sieht das perfekte Passwort denn nun aus? Wie Burr gegenüber dem Wall Street Journal verrät, ist vor allem die Länge des Passworts entscheidend. Sonderzeichen und Ziffern spielen seiner Meinung nach keine große Rolle. Das bestätigt auch der aktualisierte Bericht des NIST. Demnach sollen Nutzer besser Sätze bilden, vorzugsweise mit Leerzeichen und Wörtern, die nicht im Wörterbuch stehen. Bei der Passwortvergabe könnte es also helfen in Dialektsprache zu verfallen oder sich Neologismen auszudenken.

Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) rät zu Passwörtern, die aus mehreren Worten und Leerzeichen bestehen. Im Gegensatz zu Burr und NIST empfiehlt es aber weiterhin Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern einzubauen. So oder so dürften sich die meisten Nutzer aber eher Sätze merken können als komplexe Zahlen-/Buchstabenkombinationen.

Das sind die dümmsten Passwörter des Jahres

Fünf Millionen Passwörter wurden ausgewertet. Folgende wurden am häufigsten verwendet und sind somit besonders leicht zu knacken.

Veraltete Regel: Alle 90 Tage Passwort wechseln

Ebenfalls eine Erleichterung: Die US-Experten raten davon ab, das Passwort regelmäßig zu wechseln. Stattdessen sollten Passwörter nur dann ausgetauscht werden, wenn ein konkreter Verdacht auf einen Angriff besteht oder ein Hackerangriff stattgefunden hat. Bislang galt ein 90-tägiger Rhythmus als Faustregel. Da die Nutzer ihre bestehenden Kennwörter meist nur geringfügig abwandeln, bietet der Passwortwechsel kaum Schutz vor Hackerangriffen. Wer seine Passwörter häufig abändert, ist zudem eher dazu geneigt, es sich aufzuschreiben. Auch das ist kontraproduktiv. Besser ist es also, wenn sich Nutzer ein paar Passwortsätze mit ausgedachten oder falsch geschriebenen Wörtern zurechtzulegen, die sie sich leicht merken können.

Eine Regel bleibt zudem weiterhin bestehen: Für jeden einzelnen Service sollte ein eigenes Passwort vergeben werden. Für noch mehr Sicherheit können Anbieter mit einer doppelten Anmeldung sorgen. Bei der sogenannten Zwei-Faktor-Authentifizierung müssen Nutzer zusätzlich zum Passwort auch noch einen Code eingeben, den sie ähnlich wie beim Online-Banking per SMS erhalten oder über einen TAN-Generator erzeugen. fre

© deutsche-handwerks-zeitung.de 2019 - Alle Rechte vorbehalten