IT-Sicherheit So gehen sichere Passwörter!

  • Musiker Kanye West hat bei einem Besuch im Weißen Haus vor laufenden Kameras seinen Handy-Entsperrcode eingetippt - er lautet 000000.
  • Nutzer sollten das zum Anlass nehmen, zu prüfen, wie sinnvoll und sicher ihre Kennwörter sind.
  • Diese sieben Empfehlungen helfen Ihnen, gute Passwörter zu vergeben und Ihre Konten besser zu schützen.
Von Simon Hurtz und Marvin Strathmann

Kanye West ist überzeugt, zu vielen große Themen unserer Zeit eine Antwort zu haben. Der Musiker ist sich dabei ziemlich einig mit US-Präsident Donald Trump. Nun besuchte er den Präsidenten im Oval Office und tippte vor laufenden Kameras die Ziffernfolge zum Entsperren seines Handy ein - sie lautet 000000. Für eine öffentliche Person wie West ist das ein geradezu fahrlässig einfacher Passcode. Praktisch jede andere Kombination von Ziffern wäre sicherer.

Beim Handy gibt es meist nicht so viele Kombinationen, aber es lohnt sich, sich überhaupt Gedanken über alle eigenen Zugänge zu elektronischen Diensten zu machen. Man will sich gar nicht vorstellen, wie leicht Unbefugte auf Kanye Wests Laptop kommen. Denn ebenso wie Smartphone-Codes laden die Unzahl von PC- oder Webseiten-Kennwörter, die jeder hat, zur Faulheit ein. Jeder Nutzer sollte sich ein paar Gedanken mehr über seine Codes machen.

Ein Großteil der Internetnutzer verwendet nämlich selbst für wichtige Dienste noch immer viel zu simple Kennwörter. Und wenn man bereits lange und komplexe Passwörter nutzt, ist es keine gute Idee, die Login-Daten allzu oft zu ändern. Natürlich sollten Nutzer ihre Kennwörter wechseln, wenn bekannt geworden ist, dass ein bestimmter Dienst gehackt wurde, bei dem sie angemeldet sind, und Daten in Gefahr sind. Gibt es aber keinen solchen Anlass, spricht nichts für regelmäßige Wechsel.

Das gibt sogar Bill Burr zu. Er arbeitete früher beim National Institute of Standards and Technology (NIST), einer US-Behörde, die für Technologiestandards zuständig ist. Dort verfasste er Empfehlungen für sichere Passwörter, viele Menschen und Unternehmen orientierten sich daran. Darin war auch der Rat enthalten, alle 90 Tage ein neues Kennwort zu vergeben. Im Herbst des vergangenen Jahres sagte Burr: "Vieles von dem, was ich getan habe, bereue ich." Mit seinen Tipps sei er damals "auf dem falschen Dampfer" gewesen.

Nur wenige Menschen kümmern sich um IT-Sicherheit

Nur ein kleiner Teil der Nutzer beherzigt grundlegende Regeln der IT-Sicherheit. Seit Jahren halten sich viele Mythen über vermeintlich sichere Passwörter. Noch immer verwenden viel zu wenige Menschen Passwort-Manager und versuchen stattdessen, sich ihre Login-Daten zu merken.

Wenn Sie auch zu dieser Gruppe gehören, dann sollten Sie sich mit Ihren Kennwörtern zu beschäftigten. Die folgenden Tipps können dabei helfen. Sie beruhen unter anderem auf Empfehlungen des NIST. Die Behörde will die schlechten Ratschläge von Bill Burr vergessen machen und hat im vergangenen Jahr neue Richtlinien für die Sicherheit von Passwörtern herausgegeben. Die Vorgaben gelten für öffentliche Einrichtungen in den USA. Aber auch die Bürger können einiges daraus lernen:

Sonderzeichen bringen vergleichsweise wenig

Passwort Das sind die fünf größten Passwort-Mythen
IT-Sicherheit

Das sind die fünf größten Passwort-Mythen

Viele Sonderzeichen und möglichst oft ändern, dann wird ein Passwort sicher. Ach, wirklich?  Von Marvin Strathmann

Für Menschen wirken wahllose Kombinationen aus vielen Sonderzeichen kryptisch und damit sicher. Tatsachlich können Hacker mit sogenannten Brute-Force-Attacken solche Passwörter relativ leicht knacken. Die Software testet meist zuerst eine lange Liste gängiger Phrasen, etwa "Passwort" oder "123456". Dann folgen Begriffe aus Wörterbüchern, anschließend probieren die Algorithmen auch Sonderzeichen aus.

Das NIST rät Seitenbetreibern, auf komplizierte Vorgaben zu verzichten. So sollen Passwörter nicht mehr einen Großbuchstaben und zwei verschiedene Sonderzeichen enthalten müssen. Die Nutzer, so argumentiert das NIST, variierten sonst nur ihre Standard-Chiffre: Aus "Passwort" werde "Pa$$w0rt1!!" - eine Variation, die Algorithmen leicht erraten können. Besser sei, weniger Sonderzeichen zu verwenden, dafür aber unterschiedliche Phrasen als Grundlage zu verwenden.

Auf die Länge kommt es an

Entscheidender als die Komplexität ist die Länge. Selbst moderne Computer brauchen teilweise Jahre, um ein Kennwort mit 20 oder mehr Zeichen zu knacken. Zumindest, sofern Nutzer nicht gerade beliebte Phrasen wie "DuKommstNichtVorbei" verwenden. Wenn es nach den Experten des NIST geht, sollten Passwörter daher aus mindestens acht Zeichen bestehen. Diese Zahl ist das absolute Minimum, zwölf Zeichen erhöhen die Sicherheit signifikant, 16 sind noch besser.

Außerdem sollen Anbieter Leerzeichen erlauben, damit Nutzer sich nicht nur einzelne Wörter, sondern ganze Passsätze ausdenken können. Das NIST rät, die Längenbeschränkung von Passwörtern aufzuheben oder zumindest massiv zu erhöhen. Bis zu 64 Zeichen seien sinnvoll, damit man auch längere Passsätze verwenden kann, um wichtige Accounts zu schützen.