+
Bislang galt ein Buchstabensalat mit Zahlen und Sonderzeichen als sicheres Passwort. Die US-Behörden haben diese Empfehlung nun geändert: Stattdessen raten sie zu langen Sätzen aus Wörtern, die nicht im Wörterbuch stehen.

Tipps für mehr Sicherheit

Dieses P@s5w0rT ist nicht sicher - so schützen Sie Ihre Daten im Netz

  • schließen
  • Martin Prem
    Martin Prem
    schließen

Über Jahre galt bei Passwörtern die Regel: Ein möglichst diffuser Buchstabensalat ist sicher. Jetzt haben die US-Behörden ihre Empfehlungen geändert. 

„Hallo“, der eigene Vorname, die Zeichenfolgen „123456“ oder die Buchstabenkombination der ersten Reihe auf der Tastatur „qwertz“ – wer solche Passwörter wählt, hält Eindringlinge in den Computer oder ins Smartphone nicht lange auf. Selbst eine einfach zu merkende Liedzeile wie „Alle Vögel sind schon da“ ist vergleichsweise sicherer.

Aber selbst ein Buchstabengewirr wie „y4vD@3KoP“ als Passwort, wie es seit vielen Jahren empfohlen wird, halten Experten nicht mehr für so sicher. Zumal es die Nutzer vor fast unlösbare Aufgaben stellt: Auf einen Notizzettel soll es nicht festgehalten werden und wenn man es sich endlich eingeprägt hat, rebelliert der Computer und fordert spätestens nach 90 Tagen ein neues Passwort.

US-Behörde ändert Empfehlungen

Das alles verdanken wir dem National Institute of Standards and Technology (NIST) in den USA, eine Art Normierungsbehörde. Zwar macht sie nur Vorgaben für die US-Bundesbehörden. Doch ihr Leitfaden aus dem Jahr 2003 für Passwörter setzte sich nicht nur in amerikanischen Behörden durch, sondern auch in der US-Wirtschaft und am Ende auf der ganzen Welt. Die Empfehlung lautete, Groß- und Kleinbuchstaben möglichst wild durcheinander zu wirbeln, dazwischen möglichst wirre Zahlen und Sonderzeichen.

Der Schönheitsfehler dabei war, dass Passwörter nach 90 Tagen nicht völlig anders aussahen, sondern nur in Nuancen vom Vorgänger-Passwort abwichen oder unterm Schreibtisch doch ein Zettel mit dem Zeichengewirr klebte. Selbst wenn man bisher alles vorschriftsgemäß gehandhabt hat – jetzt kann man den Unsinn mit Klein- und Großbuchstaben, Ziffern und Sonderzeichen getrost vergessen.

Längst ist erwiesen, dass diese Passwörter wesentlich schneller zu knacken sind als eine inhaltlich nicht zusammenhängende Kette von vier bis fünf ganz normalen Wörtern. Das hat inzwischen auch das NIST erkannt und ihre Empfehlungen angepasst.

Die neuen Regeln aus den USA

Zusammengefasst sieht das optimale Passwort den US-Behörden zufolge nun so aus:

  • Mehrere Wörter, die nicht im Wörterbuch stehen. Hier bieten sich beispielsweise Sätze auf Bairisch an.
  • Sonderzeichen können nicht schaden.
  • Leerzeichen verwenden: Zwischen den Worten sollte möglichst ein Leerzeichen stehen, denn diese bereiteten Hackern Kopfzerbrechen.
  • Länge: Je länger das Passwort ist, desto besser.
  • Die 90-Tage-Regel hat das NIST abgeschafft.

Für jeden Dienst ein eigenes Passwort

Eines hat sich trotz der neuen Empfehlungen nicht geändert: Weiterhin soll man für jeden Dienst, für den man ein Passwort braucht, ein anderes verwenden. Denn sonst hat ein Hacker, der einmal ein Kennwort geknackt hat, insgesamt leichtes Spiel.

Bill Burr, der vor 14 Jahren den Leitfaden für die US-Behörden geschrieben hat und mit 72 Jahren längst im Ruhestand ist, ist inzwischen altersmilde geworden. Den Regelkatalog, für den er einst die Grundlagen gelegt hat, sieht er heute kritisch: „Das meiste von dem, was ich getan habe, bereue ich“, sagte er dem „Wall-Street Journal“.

Empfehlungen in Deutschland

In Deutschland haben die Behörden ihre Empfehlungen noch nicht angepasst. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät nach wie vor zu einem Buchstabensalat aus mindestens acht Zeichen. Auch die Verbraucherzentralen sind bislang bei ihrer Empfehlung von mindestens zehn Zeichen geblieben.

Passwortmanager bei vielen Kennwörtern

Einzelne Empfehlungen der deutschen Behörden stehen aber auch nicht im Widerspruch zu den neuen US-Vorgaben. Weiterhin gilt: Passwörter sollten niemals unverschlüsselt auf dem PC abgelegt werden oder auf einem Notizzettel am Bildschirm kleben. „Wer sich Passwörter notieren will, sollte diese stattdessen auf Papier unter Verschluss halten beziehungsweise auf dem Rechner in einer verschlüsselten Datei ablegen“, raten die BSI-Experten. Um sich möglichst komplexe Passwörter gut merken zu können, empfiehlt sich die Nutzung eines Passwortmanagers. „Wer viele Online-Accounts hat, für den empfiehlt sich ein Passwort-Verwaltungsprogramm wie zum Beispiel keepass (www.keepass.info).“ Bei solchen Verwaltungsprogrammen existiert ein sogenanntes Masterpasswort, das man sich gut merken muss.

Voreingestellte Passwörter ändern

Auch gilt weiterhin: Bei vielen Softwareprodukten werden bei der Installation beziehungsweise im Auslieferungszustand leere Passwörter oder allgemein bekannte Passwörter verwendet. „Hacker wissen das. Bei einem Angriff probieren sie zunächst aus, ob vergessen wurde, diese Accounts mit neuen Passwörtern zu versehen“, warnen die Sicherheitsexperten des BSI. Sofern es möglich ist, sollte man die Produkte unbedingt mit individuellen Passwörtern absichern, lautet der Ratschlag.

Kennwörter nie per E-Mail verschicken

Die Sicherheitsexperten warnen auch künftig davor, Kennwörter per E-Mail zu verschicken. „In der Regel werden E-Mails unverschlüsselt versandt. Unverschlüsselte E-Mails können von Dritten auf ihrem Weg durch das Internet mitgelesen werden.“ Der Absender einer E-Mail habe auch nie die Gewissheit, dass seine Nachricht den gewünschten Empfänger auch wirklich erreicht habe. Die Empfehlung: Passwörter grundsätzlich nicht an Dritte weitergeben. Landet das Passwort erst einmal in falschen Händen, hilft es dem Nutzer auch nichts mehr, dass er sein Passwort gewissenhaft nach den neuen US-Regeln kreiert hat.

Auch interessant

Meistgelesene Artikel

Vodafone: unbegrenzte Datennutzung für bestimmte Apps
Mit dem Smartphone unbegrenzt Netflix-Filme schauen oder Musik streamen - das können nun auch Vodafone-Kunden. Je nach Wahl und Anzahl der Dienste kostet dies aber extra.
Vodafone: unbegrenzte Datennutzung für bestimmte Apps
Apples Siri sucht künftig wieder mit Google
Siri geht wieder mit Google auf die Suche. Nach einem Zwischenspiel mit Microsofts Bing, kehrt Apples Sprachassistentin zu ihrem alten Partner zurück. Doch eine …
Apples Siri sucht künftig wieder mit Google
Microsoft: Software-Lösungen für Schulen und Management
Die Digitalisierung der Schulen schreitet voran. Kein Wunder also, dass sich die Technologiekonzerne darauf einstellen. Microsoft will sein für den Unterricht …
Microsoft: Software-Lösungen für Schulen und Management
Vivaldi-Browser liest nun auch Meta-Daten von Fotos aus
Browser übernehmen immer mehr Funktionen. So helfen sie etwa beim Verwalten von Dateien. Das neue Update von Vivaldi macht es nun auch leichter, Foto-Metadaten zu …
Vivaldi-Browser liest nun auch Meta-Daten von Fotos aus

Kommentare