Süddeutsche Zeitung

IT-Sicherheit:So gehen sichere Passwörter

  • Nutzer sollten den Welt-Passwort-Tag zum Anlass nehmen, zu prüfen, wie sinnvoll und sicher ihre Zugänge und Kennwörter sind.
  • Diese sieben Empfehlungen helfen dabei, gute Passwörter zu vergeben und Konten besser zu schützen.

Ein Großteil der Internetnutzer verwendet selbst für wichtige Dienste noch immer viel zu simple Kennwörter. Für diejenigen, die bereits lange und komplexe Passwörter nutzen, gilt dagegen: Es ist keine gute Idee, Login-Daten allzu oft zu ändern. Viele IT-Abteilungen in Unternehmen und Ratgeber fordern Nutzer aber regelmäßig dazu auf, sich etwas neues einfallen zu lassen. Natürlich sollten Nutzer ihre Kennwörter wechseln, wenn bekannt geworden ist, dass ein bestimmter Dienst gehackt wurde, bei dem sie angemeldet sind. Sonst sind ihre Daten in Gefahr. Gibt es aber keinen solchen Anlass, spricht nichts für regelmäßige Wechsel.

Das gibt sogar Bill Burr zu. Er arbeitete früher beim National Institute of Standards and Technology (NIST), einer US-Behörde, die für Technologiestandards zuständig ist. Dort verfasste er Empfehlungen für sichere Passwörter, viele Menschen und Unternehmen orientierten sich daran. Darin war auch der Rat enthalten, alle 90 Tage ein neues Kennwort zu vergeben. Im Herbst des vergangenen Jahres sagte Burr: "Vieles von dem, was ich getan habe, bereue ich." Mit seinen Tipps sei er damals "auf dem falschen Dampfer" gewesen.

Nur wenige Menschen kümmern sich um IT-Sicherheit

Nur ein kleiner Teil der Nutzer beherzigt grundlegende Regeln der IT-Sicherheit. Seit Jahren halten sich viele Mythen über vermeintlich sichere Passwörter. Noch immer verwenden viel zu wenige Menschen Passwort-Manager und versuchen stattdessen, sich ihre Login-Daten zu merken.

Wenn Sie auch zu dieser Gruppe gehören, dann sollten Sie sich mit Ihren Kennwörtern beschäftigten. Die folgenden Tipps können dabei helfen. Sie beruhen unter anderem auf Empfehlungen des NIST. Die Behörde will die schlechten Ratschläge von Bill Burr vergessen machen und hat im vergangenen Jahr neue Richtlinien für die Sicherheit von Passwörtern herausgegeben. Die Vorgaben gelten für öffentliche Einrichtungen in den USA. Aber auch die Bürger können einiges daraus lernen:

Sonderzeichen bringen vergleichsweise wenig

Für Menschen wirken wahllose Kombinationen aus vielen Sonderzeichen kryptisch und damit sicher. Tatsachlich können Hacker mit sogenannten Brute-Force-Attacken solche Passwörter relativ leicht knacken. Die Software testet meist zuerst eine lange Liste gängiger Phrasen, etwa "Passwort" oder "123456". Dann folgen Begriffe aus Wörterbüchern, anschließend probieren die Algorithmen auch Sonderzeichen aus.

Das NIST rät Seitenbetreibern, auf komplizierte Vorgaben zu verzichten. So sollen Passwörter nicht mehr einen Großbuchstaben und zwei verschiedene Sonderzeichen enthalten müssen. Die Nutzer, so argumentiert das NIST, variierten sonst nur ihre Standard-Chiffre: Aus "Passwort" werde "Pa$$w0rt1!!" - eine Variation, die Algorithmen leicht erraten können. Besser sei, weniger Sonderzeichen zu verwenden, dafür aber unterschiedliche Phrasen als Grundlage zu verwenden.

Auf die Länge kommt es an

Entscheidender als die Komplexität ist die Länge. Selbst moderne Computer brauchen teilweise Jahre, um ein Kennwort mit 20 oder mehr Zeichen zu knacken. Zumindest, sofern Nutzer nicht gerade beliebte Phrasen wie "DuKommstNichtVorbei" verwenden. Wenn es nach den Experten des NIST geht, sollten Passwörter daher aus mindestens acht Zeichen bestehen. Diese Zahl ist das absolute Minimum, zwölf Zeichen erhöhen die Sicherheit signifikant, 16 sind noch besser.

Außerdem sollen Anbieter Leerzeichen erlauben, damit Nutzer sich nicht nur einzelne Wörter, sondern ganze Passsätze ausdenken können. Das NIST rät, die Längenbeschränkung von Passwörtern aufzuheben oder zumindest massiv zu erhöhen. Bis zu 64 Zeichen seien sinnvoll, damit man auch längere Passsätze verwenden kann, um wichtige Accounts zu schützen.

Passwörter nicht doppelt verwenden

Niemand käme auf die Idee, nur einen Schlüssel für Haustür, Wohnungstür, Tresor und Fahrradschloss zu verwenden. Die analoge Vorsicht scheint im digitalen Leben außer Kraft gesetzt zu sein: Viele Menschen nutzen dieselben Passwörter für mehrere Konten. Das ist fatal: Wenn Hacker die Zugangsdaten erbeuten, versuchen sie fast immer, sich damit auch bei anderen Seiten einzuloggen.

Die NIST-Experten empfehlen Seitenbetreibern, leichtsinnige Nutzer vor sich selbst zu schützen: Sie sollen Passwörter automatisch mit anderen Daten abgleichen, etwa mit Login-Informationen, die aus früheren Hacks oder Sicherheitslücken bekannt sind. Diese werden in Datenbanken wie Haveibeenpwned.com gesammelt, wo Nutzer übrigens auch selbst prüfen können, ob ihre E-Mail-Adresse bei Diensten registriert ist, die bereits erfolgreich von Kriminellen angegriffen wurden.

Der automatische Abgleich soll noch weitere Datenbanken umfassen, beispielsweise Einträge aus Wörterbüchern oder simple Sequenzen wie "aaaaaa", "1234abcd" oder "qwertz". Entdeckt der Algorithmus Übereinstimmungen, müssten Nutzer eine neue Sicherheitsphrase wählen. Das gilt auch, wenn sie Abwandlungen von Nutzernamen oder anderen Daten verwenden, die sie bei der Anmeldung angegeben haben, etwa Geburtsdaten oder Telefonnummern. Ein Beispiel: Will sich jemand mit dem Benutzernamen "SZ-Leser" anmelden, sollte das Passwort nicht "SZ-Leser1" lauten.

Keine regelmäßigen Änderungen

"Ihr Passwort ist abgelaufen, bitte wählen Sie ein neues." Angestellte kennen solche E-Mails ihrer IT-Abteilung. Die wenigsten freuen sich über die Aufforderung zum Passwortwechsel - völlig zu Recht. Das NIST hat aus dem Fehler von Bill Burr gelernt und rät davon ab, Login-Daten Passwörter alle paar Wochen zu ändern. Denn Nutzer neigen dann dazu, unsichere Chiffren zu verwenden, die sie sich leicht merken können. Eine Ausnahme gibt es: Sobald der Betreiber vermutet, dass Hacker Daten erbeutet haben, sollten alle Nutzer unverzüglich alarmiert und zum Wechseln angehalten werden.

Sicherheitsfragen bringen wenig Sicherheit

"Wie hieß Ihr erstes Haustier?", "Wie lautet der Geburtsname Ihrer Mutter?", "Was ist Ihre Lieblingsfarbe?" Einige Webseiten setzen auf solche Sicherheitsfragen. Grundsätzlich ist das keine schlechte Idee, da Kriminelle mehr Informationen über das Opfer benötigen als nur das Passwort. Allerdings lassen sich solche Daten oft leicht im Netz finden.

Deshalb rät das NIST dringend davon ab, diese Methode als einzige Authentifizierung zu verlangen, um das Passwort zurückzusetzen. Angreifer könnten die Antwort der Sicherheitsfrage erraten oder sie aus öffentlichen Informationen zusammensuchen, etwa aus Profilen in sozialen Netzwerken. Gelingt ihnen das, können sie ein neues Passwort vergeben und erhalten Zugriff auf den gesamten Account.

Für Nutzer bedeutet das im Umkehrschluss: Wenn Sie die Wahl zwischen mehreren Sicherheitsfragen haben, dann nehmen Sie nicht gerade die Frage nach Ihrem Lieblingstier oder der Marke Ihres Autos, wenn Sie gleichzeitig Katzenbilder und Fotos von Ihrem Sommerurlaub mit VW-Bus auf Facebook posten. Eine andere Möglichkeit: Niemand zwingt Sie, Sicherheitsfragen ehrlich zu beantworten. Wenn Sie als Geburtsnamen Ihrer Mutter Ihre Lieblingsfarbe angeben, macht es das Angreifern deutlich schwerer. Passen Sie dabei nur auf, dass Sie sich nicht selbst verwirren.

Nutzen Sie Passwort-Manager

Ihr Gedächtnis ist der schlechteste Platz für Passwörter. Stift und Papier sind nur geringfügig besser - wer den Zettel verliert oder nicht dabei hat, sperrt sich aus. Stattdessen sollten Sie Ihre Login-Daten einem Passwort-Manager anvertrauen. Sie verwalten alle Anmeldeinformationen und synchronisieren diese über mehrere Geräte hinweg. Nutzer müssen dann nur ein zentrales Masterkennwort im Gedächtnis behalten, um Zugriff auf alle Logins zu erhalten. Außerdem können die meisten Passwort-Manager Zufalls-Kennwörter generieren, die sicherer sind als selbst ausgedachte Phrasen.

Zwar können auch diese Dienste gehackt werden, doch die meisten Anbieter verschlüsseln die Daten der Nutzer mit sicheren kryptografischen Verfahren. Digitale Angreifer erhalten dann nur wirre Zeichenketten, mit denen sie wenig anfangen können. Die Stiftung Warentest hat neun Passwort-Manager getestet und vier davon als "empfehlenswert" eingestuft.

Zwei Faktor-Authentifizierung für wichtige Konten

Für Konten mit wichtigen und sensiblen Daten, etwa Facebook, Amazon oder Ihren E-Mail-Account, sind einzigartige und wirklich sichere Passwörter Pflicht. Sie können den Schutz aber noch deutlich verbessern, wenn Sie auf die sogenannte Zwei Faktor-Authentifizierung (2FA) setzen.

Dann ist für die Anmeldung zusätzlich zum Kennwort eine weitere Eingabe nötig. Meist ist das ein Code, den Sie auf Ihrem Smartphone empfangen. Das bedeutet: Hacker benötigen nicht nur Ihr Passwort, sondern physischen Zugriff auf Ihr Handy, wenn Sie Ihr Konto übernehmen wollen.

Hier erfahren Sie, welche Dienste 2FA anbieten, wie Sie die Option aktivieren und was es dabei sonst noch zu beachten gibt.

Bestens informiert mit SZ Plus – 14 Tage kostenlos zur Probe lesen. Jetzt bestellen unter: www.sz.de/szplus-testen

URL:
www.sz.de/1.3587661
Copyright:
Süddeutsche Zeitung Digitale Medien GmbH / Süddeutsche Zeitung GmbH
Quelle:
SZ.de/sih/msrt/mri/jab
Jegliche Veröffentlichung und nicht-private Nutzung exklusiv über Süddeutsche Zeitung Content. Bitte senden Sie Ihre Nutzungsanfrage an syndication@sueddeutsche.de.