Ein Großteil der Internetnutzer verwendet selbst für wichtige Dienste noch immer viel zu simple Kennwörter. Für diejenigen, die bereits lange und komplexe Passwörter nutzen, gilt dagegen: Es ist keine gute Idee, Login-Daten allzu oft zu ändern. Viele IT-Abteilungen in Unternehmen und Ratgeber fordern Nutzer aber regelmäßig dazu auf, sich etwas neues einfallen zu lassen. Natürlich sollten Nutzer ihre Kennwörter wechseln, wenn bekannt geworden ist, dass ein bestimmter Dienst gehackt wurde, bei dem sie angemeldet sind. Sonst sind ihre Daten in Gefahr. Gibt es aber keinen solchen Anlass, spricht nichts für regelmäßige Wechsel.
Das gibt sogar Bill Burr zu. Er arbeitete früher beim National Institute of Standards and Technology (NIST), einer US-Behörde, die für Technologiestandards zuständig ist. Dort verfasste er Empfehlungen für sichere Passwörter, viele Menschen und Unternehmen orientierten sich daran. Darin war auch der Rat enthalten, alle 90 Tage ein neues Kennwort zu vergeben. Im Herbst des vergangenen Jahres sagte Burr: "Vieles von dem, was ich getan habe, bereue ich." Mit seinen Tipps sei er damals "auf dem falschen Dampfer" gewesen.
Nur wenige Menschen kümmern sich um IT-Sicherheit
Nur ein kleiner Teil der Nutzer beherzigt grundlegende Regeln der IT-Sicherheit. Seit Jahren halten sich viele Mythen über vermeintlich sichere Passwörter. Noch immer verwenden viel zu wenige Menschen Passwort-Manager und versuchen stattdessen, sich ihre Login-Daten zu merken.
Wenn Sie auch zu dieser Gruppe gehören, dann sollten Sie sich mit Ihren Kennwörtern beschäftigten. Die folgenden Tipps können dabei helfen. Sie beruhen unter anderem auf Empfehlungen des NIST. Die Behörde will die schlechten Ratschläge von Bill Burr vergessen machen und hat im vergangenen Jahr neue Richtlinien für die Sicherheit von Passwörtern herausgegeben. Die Vorgaben gelten für öffentliche Einrichtungen in den USA. Aber auch die Bürger können einiges daraus lernen:
Sonderzeichen bringen vergleichsweise wenig
Für Menschen wirken wahllose Kombinationen aus vielen Sonderzeichen kryptisch und damit sicher. Tatsachlich können Hacker mit sogenannten Brute-Force-Attacken solche Passwörter relativ leicht knacken. Die Software testet meist zuerst eine lange Liste gängiger Phrasen, etwa "Passwort" oder "123456". Dann folgen Begriffe aus Wörterbüchern, anschließend probieren die Algorithmen auch Sonderzeichen aus.
Das NIST rät Seitenbetreibern, auf komplizierte Vorgaben zu verzichten. So sollen Passwörter nicht mehr einen Großbuchstaben und zwei verschiedene Sonderzeichen enthalten müssen. Die Nutzer, so argumentiert das NIST, variierten sonst nur ihre Standard-Chiffre: Aus "Passwort" werde "Pa$$w0rt1!!" - eine Variation, die Algorithmen leicht erraten können. Besser sei, weniger Sonderzeichen zu verwenden, dafür aber unterschiedliche Phrasen als Grundlage zu verwenden.
Auf die Länge kommt es an
Entscheidender als die Komplexität ist die Länge. Selbst moderne Computer brauchen teilweise Jahre, um ein Kennwort mit 20 oder mehr Zeichen zu knacken. Zumindest, sofern Nutzer nicht gerade beliebte Phrasen wie "DuKommstNichtVorbei" verwenden. Wenn es nach den Experten des NIST geht, sollten Passwörter daher aus mindestens acht Zeichen bestehen. Diese Zahl ist das absolute Minimum, zwölf Zeichen erhöhen die Sicherheit signifikant, 16 sind noch besser.
Außerdem sollen Anbieter Leerzeichen erlauben, damit Nutzer sich nicht nur einzelne Wörter, sondern ganze Passsätze ausdenken können. Das NIST rät, die Längenbeschränkung von Passwörtern aufzuheben oder zumindest massiv zu erhöhen. Bis zu 64 Zeichen seien sinnvoll, damit man auch längere Passsätze verwenden kann, um wichtige Accounts zu schützen.