+
Bislang galt ein Buchstabensalat mit Zahlen und Sonderzeichen als sicheres Passwort. Die US-Behörden haben diese Empfehlung nun geändert: Stattdessen raten sie zu langen Sätzen aus Wörtern, die nicht im Wörterbuch stehen.

Tipps für mehr Sicherheit

Dieses P@s5w0rT ist nicht sicher - so schützen Sie Ihre Daten im Netz

  • schließen
  • Martin Prem
    Martin Prem
    schließen

Über Jahre galt bei Passwörtern die Regel: Ein möglichst diffuser Buchstabensalat ist sicher. Jetzt haben die US-Behörden ihre Empfehlungen geändert. 

„Hallo“, der eigene Vorname, die Zeichenfolgen „123456“ oder die Buchstabenkombination der ersten Reihe auf der Tastatur „qwertz“ – wer solche Passwörter wählt, hält Eindringlinge in den Computer oder ins Smartphone nicht lange auf. Selbst eine einfach zu merkende Liedzeile wie „Alle Vögel sind schon da“ ist vergleichsweise sicherer.

Aber selbst ein Buchstabengewirr wie „y4vD@3KoP“ als Passwort, wie es seit vielen Jahren empfohlen wird, halten Experten nicht mehr für so sicher. Zumal es die Nutzer vor fast unlösbare Aufgaben stellt: Auf einen Notizzettel soll es nicht festgehalten werden und wenn man es sich endlich eingeprägt hat, rebelliert der Computer und fordert spätestens nach 90 Tagen ein neues Passwort.

US-Behörde ändert Empfehlungen

Das alles verdanken wir dem National Institute of Standards and Technology (NIST) in den USA, eine Art Normierungsbehörde. Zwar macht sie nur Vorgaben für die US-Bundesbehörden. Doch ihr Leitfaden aus dem Jahr 2003 für Passwörter setzte sich nicht nur in amerikanischen Behörden durch, sondern auch in der US-Wirtschaft und am Ende auf der ganzen Welt. Die Empfehlung lautete, Groß- und Kleinbuchstaben möglichst wild durcheinander zu wirbeln, dazwischen möglichst wirre Zahlen und Sonderzeichen.

Der Schönheitsfehler dabei war, dass Passwörter nach 90 Tagen nicht völlig anders aussahen, sondern nur in Nuancen vom Vorgänger-Passwort abwichen oder unterm Schreibtisch doch ein Zettel mit dem Zeichengewirr klebte. Selbst wenn man bisher alles vorschriftsgemäß gehandhabt hat – jetzt kann man den Unsinn mit Klein- und Großbuchstaben, Ziffern und Sonderzeichen getrost vergessen.

Längst ist erwiesen, dass diese Passwörter wesentlich schneller zu knacken sind als eine inhaltlich nicht zusammenhängende Kette von vier bis fünf ganz normalen Wörtern. Das hat inzwischen auch das NIST erkannt und ihre Empfehlungen angepasst.

Die neuen Regeln aus den USA

Zusammengefasst sieht das optimale Passwort den US-Behörden zufolge nun so aus:

  • Mehrere Wörter, die nicht im Wörterbuch stehen. Hier bieten sich beispielsweise Sätze auf Bairisch an.
  • Sonderzeichen können nicht schaden.
  • Leerzeichen verwenden: Zwischen den Worten sollte möglichst ein Leerzeichen stehen, denn diese bereiteten Hackern Kopfzerbrechen.
  • Länge: Je länger das Passwort ist, desto besser.
  • Die 90-Tage-Regel hat das NIST abgeschafft.

Für jeden Dienst ein eigenes Passwort

Eines hat sich trotz der neuen Empfehlungen nicht geändert: Weiterhin soll man für jeden Dienst, für den man ein Passwort braucht, ein anderes verwenden. Denn sonst hat ein Hacker, der einmal ein Kennwort geknackt hat, insgesamt leichtes Spiel.

Bill Burr, der vor 14 Jahren den Leitfaden für die US-Behörden geschrieben hat und mit 72 Jahren längst im Ruhestand ist, ist inzwischen altersmilde geworden. Den Regelkatalog, für den er einst die Grundlagen gelegt hat, sieht er heute kritisch: „Das meiste von dem, was ich getan habe, bereue ich“, sagte er dem „Wall-Street Journal“.

Empfehlungen in Deutschland

In Deutschland haben die Behörden ihre Empfehlungen noch nicht angepasst. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät nach wie vor zu einem Buchstabensalat aus mindestens acht Zeichen. Auch die Verbraucherzentralen sind bislang bei ihrer Empfehlung von mindestens zehn Zeichen geblieben.

Passwortmanager bei vielen Kennwörtern

Einzelne Empfehlungen der deutschen Behörden stehen aber auch nicht im Widerspruch zu den neuen US-Vorgaben. Weiterhin gilt: Passwörter sollten niemals unverschlüsselt auf dem PC abgelegt werden oder auf einem Notizzettel am Bildschirm kleben. „Wer sich Passwörter notieren will, sollte diese stattdessen auf Papier unter Verschluss halten beziehungsweise auf dem Rechner in einer verschlüsselten Datei ablegen“, raten die BSI-Experten. Um sich möglichst komplexe Passwörter gut merken zu können, empfiehlt sich die Nutzung eines Passwortmanagers. „Wer viele Online-Accounts hat, für den empfiehlt sich ein Passwort-Verwaltungsprogramm wie zum Beispiel keepass (www.keepass.info).“ Bei solchen Verwaltungsprogrammen existiert ein sogenanntes Masterpasswort, das man sich gut merken muss.

Voreingestellte Passwörter ändern

Auch gilt weiterhin: Bei vielen Softwareprodukten werden bei der Installation beziehungsweise im Auslieferungszustand leere Passwörter oder allgemein bekannte Passwörter verwendet. „Hacker wissen das. Bei einem Angriff probieren sie zunächst aus, ob vergessen wurde, diese Accounts mit neuen Passwörtern zu versehen“, warnen die Sicherheitsexperten des BSI. Sofern es möglich ist, sollte man die Produkte unbedingt mit individuellen Passwörtern absichern, lautet der Ratschlag.

Kennwörter nie per E-Mail verschicken

Die Sicherheitsexperten warnen auch künftig davor, Kennwörter per E-Mail zu verschicken. „In der Regel werden E-Mails unverschlüsselt versandt. Unverschlüsselte E-Mails können von Dritten auf ihrem Weg durch das Internet mitgelesen werden.“ Der Absender einer E-Mail habe auch nie die Gewissheit, dass seine Nachricht den gewünschten Empfänger auch wirklich erreicht habe. Die Empfehlung: Passwörter grundsätzlich nicht an Dritte weitergeben. Landet das Passwort erst einmal in falschen Händen, hilft es dem Nutzer auch nichts mehr, dass er sein Passwort gewissenhaft nach den neuen US-Regeln kreiert hat.

Auch interessant

Meistgelesene Artikel

Zukunftsforscher Opaschowski ruft zu „digitaler Diät“ auf
Weder ein Like noch ein Dislike, sondern ein Boykott der sozialen Medien. Das fordert der Hamburger Zukunftsforscher Horst W. Opaschowski und appelliert an die Jugend: …
Zukunftsforscher Opaschowski ruft zu „digitaler Diät“ auf
Apple verschiebt Marktstart seines smarten Lautsprechers
Der HomePod kommt doch nicht mehr im Jahr 2017 auf den Markt. Apple teilte am Freitag mit, man benötige „ein wenig mehr Zeit“.
Apple verschiebt Marktstart seines smarten Lautsprechers
„I bims“ zum „Jugendwort des Jahres“ gekürt: Was bedeutet dieser Begriff, bitte?
Den Begriff „I bims“ liest und hört man immer öfter. Erst recht, nachdem er zum „Jugendwort des Jahres 2017“ gekürt wurde. Was ist das für ein Ausdruck? Wir erklären die …
„I bims“ zum „Jugendwort des Jahres“ gekürt: Was bedeutet dieser Begriff, bitte?
Bei Whatsapp kursiert falsches H&M-Gewinnspiel
Achrung, WhatsApp-Nutzer: Die Modekette H&M warnt vor einem betrügerischen Kettenbrief, der derzeit in dem Messenger verschickt wird.
Bei Whatsapp kursiert falsches H&M-Gewinnspiel

Kommentare