Neue Empfehlungen: Passwörter sind doch nicht ganz wie Zahnbürsten

Eine Behörde der USA hat neue offizielle Regeln für Passwörter rausgegeben – und der Autor der vorherigen Version zeigt Reue über die alten Regeln. Eine der wichtigsten Änderungen: Die Empfehlung, Passwörter regelmäßig zu ändern, fällt raus. BEE SECURE fasst die neusten Erkenntnisse über Passwortsicherheit zusammen.

 

Das US-amerikanische „National Institute of Standards and Technology" hat vor kurzem neue Standards für sichere Passwörter herausgegeben. In dem Dokument sind einige althergebrachte Regeln für vermeintlich sichere Passwörter gestrichen worden. So wird zum Beispiel nicht mehr empfohlen, Passwörter alle drei Monate zu ändern. Außerdem wird klargestellt, dass alleine der Einsatz von Sonderzeichen noch keine zusätzliche Sicherheit verschafft. Bill Blurr, der Autor der vorherigen Version, bereute in einem Interview mit dem Wall Street Journal die alten Tipps, weil sie nach neusten Erkenntnissen zu unsichereren Passwörtern geführt haben.

 

Der wichtigste Indikator für ein sicheres Passwort ist, ob es leicht zu erraten ist. Ein Passwort ist dann unsicher, wenn es

  • kürzer als acht Zeichen ist
  • in einem Wörterbuch steht
  • wiederholende oder aufeinanderfolgende Zeichen enthält (z.B. „aaaaaaa“ oder „1234abcd“ oder „qwertz“)
  • ein häufig verwendetes Passwort ist, das in einem "Leak" auftaucht (z.B. „hallo“ oder „passwort“)
  • im Kontext leicht zu erraten ist (z.B. der Username, der Name des Dienstes oder Variationen davon, aber auch ihr Geburtstag, Name ihres Partners oder Haustieres, usw.)

 

Sonderzeichen machen auch leicht zu erratende Passwörter nicht sicherer. So ist „Pa$$wort“ genauso leicht zu knacken wie „Passwort“  – aus dem einfachen Grund, dass viele Menschen auf diese „geniale“ Idee kommen und Hacker diese Kombinationen als erstes ausprobieren werden.

 

Wie wähle ich ein sicheres Passwort?

Ein sicheres Passwort sollte demnach nicht leicht zu erraten und einzigartig sein. Empfohlen wird, sich zum Beispiel einen längeren Satz auszusuchen und diesen für jeden Dienst leicht abzuwandeln. Suchen sie sich z.B. ein Zitat aus ihrem Lieblingsbuch aus, spicken sie es mit ein paar Sonderzeichen und hängen sie eine kurze Zeichenkette für jeden Dienst an.

 

Zum Beispiel so:

 

"Das Eichhoernchen tanzt mit dem Panda.fb" oder "Einmal im Netz - immer im Netz!fb"

"Das Eichhoernchen tanzt mit dem Panda.sc" oder "Einmal im Netz - immer im Netz!sc"

"Das Eichhoernchen tanzt mit dem Panda.abc" oder "Einmal im Netz - immer im Netz!abc"

 

Wichtig ist vor allem, dass ihr Passwort (oder eher: ihre Passphrase) nicht in einem Wörterbuch oder in geleakten Passwort-Listen auftaucht. Mit dem Dienst Pwned Passwords können Sie abgleichen, ob ihr Passwort in einschlägigen Listen auftaucht, die von Hackern als erstes ausprobiert werden. Under diesem Link können Nutzer unter Eingabe ihrer Emailadresse überprüfen, ob Identitätsdaten von ihnen frei im Internet kursieren und evtl. mißbraucht werden könnten.

 

Am sichersten ist es, einen Passwort-Manager wie z.B. 1Password, LastPass oder KeePass zu verwenden. Diese können Ihnen für jeden Dienst den Sie benutzen ein einzigartiges Passwort generieren und es automatisch sicher für Sie speichern. Damit ersparen Sie sich einerseits die Mühe, sich sichere Passwörter auszudenken und müssen sich außerdem nur noch ein einziges Passwort (das für den Passwort-Manager) merken.

 

Wo es möglich ist, sollten Sie außerdem die Zwei-Faktor-Authentifizierung aktivieren. Damit sind geklaute Passwörter für Hacker unbrauchbar, da Sie beim Login zusätzlich zum Passwort einen Einmalcode eingeben müssen (den Sie z.B. per App oder SMS auf ihrem Handy angezeigt bekommen)

 

Wann muss ich mein Passwort ändern?

Auch BEE SECURE hat in der Vergangenheit die Metapher der Zahnbürste verwendet: Passwörter sollten wie Zahnbürsten mit niemanden geteilt werden (das stimmt weiterhin!) und alle drei Monate gewechselt werden. Letzteres erhöht die Sicherheit nicht unbedingt – es schadet natürlich nicht, wenn Sie dabei immer sichere Passwörter verwenden, aber es ist auch nicht sonderlich nötig. Wechseln sollten Sie ihr Passwort immer dann, wenn ein Dienst gehackt oder ihr Passwort geleaked wurde. Informationen darüber finden Sie z.B. auf haveibeenpwned.com. Vielleicht ist es besser, die Zahnbürsten-Metapher zu vergessen und in Zukunft über Passwörter wie über Schlüssel zu denken: Schlüssel geben Sie auch niemanden weiter – und wechseln es dann, wenn es zu einem Einbruch kam oder Sie den Verdacht haben, jemand könnte ihren Schlüssel nachgemacht haben.

 

Quellen:

Süddeutsche

heise.de

NIST Special Publication 800-63B