Welt-Passwort-Tag Sieben Tipps für sichere Passwörter

Passwörter regelmäßig wechseln? - Manche Mythen halten sich hartnäckig.

(Foto: NeONBRAND/Unsplash)
  • Am 1. Februar ist Welt-Passwort-Tag.
  • Nutzer sollten das zum Anlass nehmen, simple und unsichere Kennwörter zu ändern.
  • Diese sieben Empfehlungen helfen Ihnen, gute Passwörter zu vergeben und Ihre Konten besser zu schützen.
Von Simon Hurtz und Marvin Strathmann

Wie jedes Jahr rufen am 1. Februar etliche Medien, Unternehmen und NGOs auf: "Wechseln Sie Ihr Passwort!" Für die meisten Menschen ist das eine sinnvolle Empfehlung. Ein Großteil der Internetnutzer verwendet selbst für wichtige Dienste noch immer viel zu simple Kennwörter.

Wenn Sie aber bereits lange und komplexe Passwörter nutzen, ist es keine gute Idee, die Login-Daten allzu oft zu ändern. Natürlich sollten Nutzer ihre Kennwörter wechseln, wenn bekannt geworden ist, dass ein bestimmter Dienst gehackt wurde, bei dem sie angemeldet sind, und Daten in Gefahr sind. Gibt es aber keinen solchen Anlass, spricht nichts für regelmäßige Wechsel.

Das gibt sogar Bill Burr zu. Er arbeitete früher beim National Institute of Standards and Technology (NIST), einer US-Behörde, die für Technologiestandards zuständig ist. Dort verfasste er Empfehlungen für sichere Passwörter, viele Menschen und Unternehmen orientierten sich daran. Darin war auch der Rat enthalten, alle 90 Tage ein neues Kennwort zu vergeben. Im Herbst des vergangenen Jahres sagte Burr: "Vieles von dem, was ich getan habe, bereue ich." Mit seinen Tipps sei er damals "auf dem falschen Dampfer" gewesen.

Nur wenige Menschen kümmern sich um IT-Sicherheit

Dennoch hat der Passwort-Wechsel-Tag nach wie vor seine Existenzberechtigung. Denn nur ein kleiner Teil der Nutzer beherzigt grundlegende Regeln der IT-Sicherheit. Seit Jahren halten sich viele Mythen über vermeintlich sichere Passwörter. Noch immer verwenden viel zu wenige Menschen Passwort-Manager und versuchen stattdessen, sich ihre Login-Daten zu merken.

Wenn Sie auch zu dieser Gruppe gehören, dann sollten Sie den Change-Your-Password-Day zum Anlass nehmen, sich mit Ihren Kennwörtern zu beschäftigten. Die folgenden Tipps können Ihnen dabei helfen. Sie beruhen unter anderem auf Empfehlungen des NIST. Die Behörde will die schlechten Ratschläge von Bill Burr vergessen machen und hat im vergangenen Jahr neue Richtlinien für die Sicherheit von Passwörtern herausgegeben. Die Vorgaben gelten für öffentliche Einrichtungen in den USA. Aber auch die Bürger können einiges daraus lernen:

Sonderzeichen bringen vergleichsweise wenig

Für Menschen wirken wahllose Kombinationen aus vielen Sonderzeichen kryptisch und damit sicher. Tatsachlich können Hacker mit sogenannten Brute-Force-Attacken solche Passwörter relativ leicht knacken. Die Software testet meist zuerst eine lange Liste gängiger Phrasen, etwa "Passwort" oder "123456". Dann folgen Begriffe aus Wörterbüchern, anschließend probieren die Algorithmen auch Sonderzeichen aus.

Das sind die fünf größten Passwort-Mythen

Viele Sonderzeichen und möglichst oft ändern, dann wird ein Passwort sicher. Ach, wirklich? Von Marvin Strathmann mehr ...

Das NIST rät Seitenbetreibern, auf komplizierte Vorgaben zu verzichten. So sollen Passwörter nicht mehr einen Großbuchstaben und zwei verschiedene Sonderzeichen enthalten müssen. Die Nutzer, so argumentiert das NIST, variierten sonst nur ihre Standard-Chiffre: Aus "Passwort" werde "Pa$$w0rt1!!" - eine Variation, die Algorithmen leicht erraten können. Besser sei, weniger Sonderzeichen zu verwenden, dafür aber unterschiedliche Phrasen als Grundlage zu verwenden.

Auf die Länge kommt es an

Entscheidender als die Komplexität ist die Länge. Selbst moderne Computer brauchen teilweise Jahre, um ein Kennwort mit 20 oder mehr Zeichen zu knacken. Zumindest, sofern Nutzer nicht gerade beliebte Phrasen wie "DuKommstNichtVorbei" verwenden. Wenn es nach den Experten des NIST geht, sollten Passwörter daher aus mindestens acht Zeichen bestehen. Diese Zahl ist das absolute Minimum, zwölf Zeichen erhöhen die Sicherheit signifikant, 16 sind noch besser.

Außerdem sollen Anbieter Leerzeichen erlauben, damit Nutzer sich nicht nur einzelne Wörter, sondern ganze Passsätze ausdenken können. Das NIST rät, die Längenbeschränkung von Passwörtern aufzuheben oder zumindest massiv zu erhöhen. Bis zu 64 Zeichen seien sinnvoll, damit man auch längere Passsätze verwenden kann, um wichtige Accounts zu schützen.