IT-Sicherheit So machen Sie Ihre Passwörter sicherer

Möglichst viele Sonderzeichen verwenden, Passwörter regelmäßig wechseln - manche Mythen halten sich hartnäckig.

(Foto: Alessandra Schellnegger)
  • Die US-Technologiebehörde NIST hat ihre Standards für Passwörter überarbeitet.
  • Nutzer sollten besser auf lange Passwörter setzen, anstatt kurze Kennwörter mit Sonderzeichen zu füllen.
  • Auch von regelmäßigen Passwortänderungen rät die Behörde ab.
Von Marvin Strathmann

Ein gutes Passwort ist genauso wichtig wie ein sicheres Wohnungsschloss. Wenn Kriminelle den Zugang zum E-Mail-Postfach erbeuten oder Amazon-, Ebay- und Bankkonten kapern, drohen hohe finanzielle Verluste. Von der Tatsache, dass Fremde private Daten und Informationen einsehen können, erst gar nicht zu reden.

Trotzdem schützen viele Nutzer ihre privaten Daten und Konten im Netz nur unzureichend. Viele Mythen über vermeintlich sichere Passwörter halten sich seit Jahren. Das National Institute of Standards and Technology (NIST), eine US-Behörde, die unter anderem für Technologiestandards zuständig ist, will das ändern. Im Juni hat sie neue Vorgaben für die Sicherheit von Passwörtern herausgegeben, die mit gefährlichem Halbwissen aufräumen sollen.

Ein Jahr lang haben die Mitarbeiter an dem Bericht gearbeitet und mit Nutzern diskutiert. Die Vorgaben des NIST gelten für öffentliche Einrichtungen in den USA. Viele private Unternehmen orientieren sich freiwillig an den Standards. Aber auch Nutzer können einiges aus den Empfehlungen der Experten lernen:

Keine Sonderzeichen

Für Menschen wirken wahllose Kombinationen aus vielen Sonderzeichen kryptisch und damit vermeintlich sicher. Tatsachlich können Hacker mit sogenannten Brute-Force-Attacken solche Passwörter relativ leicht knacken. Die Software testet meist zuerst eine lange Liste gängiger Phrasen, etwa "Passwort" oder "123456". Dann folgen normale Begriffe aus Wörterbüchern, anschließend gehen die Algorithmen dazu über, auch Sonderzeichen durchzuprobieren.

Das NIST empfiehlt Seitenbetreibern deshalb, auf allzu komplizierte Vorgaben zu verzichten. So sollen Passwörter nicht mehr einen Großbuchstaben und zwei verschiedene Sonderzeichen enthalten müssen. Die Nutzer, so argumentiert das NIST, variierten sonst nur ihre Standard-Chiffre: Aus "Passwort" werde "Pa$$w0rt1!!" - eine Variation, die Algorithmen leicht erraten können. Besser sei es, weniger Sonderzeichen zu verwenden, dafür aber unterschiedliche Phrasen als Grundlage zu verwenden.

Fünf gute Passwort-Manager im Vergleich

mehr...

Auf Länge setzen

Entscheidender als die Komplexität ist die Länge. Selbst moderne Computer brauchen teilweise Jahre, um ein Kennwort mit 20 oder mehr Zeichen zu knacken. Zumindest, sofern Nutzer nicht gerade beliebte Phrasen wie "DuKommstNichtVorbei" verwenden. Wenn es nach den Experten des NIST geht, sollten Passwörter daher aus mindestens acht Zeichen bestehen. Diese Zahl ist das absolute Minimum, zwölf Zeichen erhöhen die Sicherheit signifikant.

Außerdem sollen Anbieter Leerzeichen erlauben, damit sich Nutzer nicht nur einzelne Wörter, sondern ganze Passsätze ausdenken können. Das NIST rät, die Längenbeschränkung von Passwörtern aufzuheben oder zumindest massiv zu erhöhen. Bis zu 64 Zeichen seien sinnvoll, damit man auch längere Passsätze verwenden kann, um wichtige Accounts zu schützen.

Keine regelmäßigen Änderungen

"Ihr Passwort ist abgelaufen, bitte wählen Sie ein neues". Angestellte kennen solche E-Mails von der IT-Abteilung. Die wenigsten freuen sich über die Aufforderung zum Passwortwechsel - völlig zu Recht. Das NIST rät in seinem Bericht nämlich davon ab, die Login-Daten alle paar Wochen zu ändern. Damit orientieren sich die Experten an aktuellen Studien. Demzufolge sind Konten nicht besser geschützt, wenn Nutzer regelmäßig neue Passwörter vergeben. Im Gegenteil: Viele Menschen neigen dann dazu, unsichere Chiffren zu verwenden, die sie sich leicht merken können. Eine Ausnahme gibt es allerdings: Sobald es eine erfolgreiche Attacke gab und der Betreiber vermutet, dass die Angreifer Daten erbeuten haben könnten, sollten alle Nutzer unverzüglich alarmiert und zum Wechseln animiert werden.

Datenbank-Abfrage

Niemand käme auf die Idee, nur einen Schlüssel für Haustür, Wohnungstür, Tresor und Fahrradschloss zu verwenden. Die analoge Vorsicht scheint im digitalen Leben außer Kraft gesetzt zu sein: Viele Menschen nutzen dieselben Passwörter für mehrere Konten. Das ist fatal: Wenn Hacker die Zugangsdaten erbeuten, versuchen sie fast immer, sich damit auch bei anderen Seiten einzuloggen.

Die NIST-Experten empfehlen Seitenbetreibern, leichtsinnige Nutzer vor sich selbst zu schützen: Sie sollen Passwörter automatisch mit anderen Daten abgleichen, etwa mit Login-Informationen, die aus früheren Hacks oder Sicherheitslücken bekannt sind. Diese werden in Datenbanken wie Haveibeenpwned.com gesammelt, wo Nutzer übrigens auch selbst prüfen können, ob ihre E-Mail-Adresse bei Diensten registriert ist, die bereits erfolgreich von Kriminellen angegriffen wurden.

Der automatische Abgleich soll noch weitere Datenbanken umfassen, beispielsweise Einträge aus Wörterbüchern oder simple Sequenzen wie "aaaaaa", "1234abcd" oder "qwertz", also Zeichen, die auf der Computertastatur in einer Reihe nebeneinanderliegen. Falls der Algorithmus Übereinstimmungen entdeckt, müssten Nutzer eine neue Sicherheitsphrase wählen. Das gilt auch, wenn sie Abwandlungen von Nutzernamen oder andere Daten verwenden, die sie bei der Anmeldung angegeben haben, etwa Geburtsdaten oder Telefonnummern. Ein Beispiel: Will sich jemand mit dem Benutzernamen "SZ-Leser" anmelden, sollte das Passwort nicht "SZ-Leser1" lauten.

Keine Sicherheitsfragen

"Wie hieß Ihr erstes Haustier?", "Wie lautet der Geburtsname Ihrer Mutter?", "Was ist Ihre Lieblingsfarbe?" Einige Webseiten setzen auf solche Sicherheitsfragen. Grundsätzlich ist das keine schlechte Idee, da Kriminelle mehr Informationen über das Opfer benötigen als nur das Passwort. Allerdings lassen sich viele dieser Daten oft leicht im Netz finden.

Deshalb rät das Nist dringend davon ab, diese Methode als einzige Authentifizierung zu verlangen, um das Passwort zurückzusetzen. Angreifer könnten die Antwort der Sicherheitsfrage erraten oder sie aus öffentlichen Informationen zusammensuchen, etwa aus Profilen bei sozialen Netzwerken. Gelingt ihnen das, können sie ein neues Passwort vergeben und erhalten Zugriff auf den gesamten Account.

Für Nutzer bedeutet das im Umkehrschluss: Wenn Sie die Wahl zwischen mehreren Sicherheitsfragen haben, dann nehmen Sie nicht gerade die Frage nach Ihrem Lieblingstier oder der Marke Ihres Autos, wenn Sie gleichzeitig Katzenbilder und Fotos von Ihrem Sommerurlaub mit VW-Bus auf Facebook posten. Eine andere Möglichkeit: Niemand zwingt Sie, die Sicherheitsfragen ehrlich zu beantworten. Wenn Sie als Geburtsnamen Ihrer Mutter Ihre Lieblingsfarbe angeben, macht es das Angreifern deutlich schwerer. Passen Sie nur auf, dass Sie sich nicht selbst verwirren.

Warum es falsch ist, Passwörter regelmäßig zu ändern

Das Bauchgefühl sagt: alle paar Monate Kennwörter wechseln. Die Wissenschaft sagt: bringt nichts. Andere Methoden schützen viel besser. Von Simon Hurtz mehr... 16 aus 2016