Namen oder Telefonnummern als Passwort verwenden? Keine gute Idee. "12345" und "password" auch nicht. Stattdessen solle man sich lange, komplexe Codes ausdenken. Einem Passwort-Manager vertrauen - und: regelmäßig das Kennwort ändern. Diese Regeln dürften fast alle Internet-Nutzer kennen.
Aus zwei Gründen sind unsichere Passwörter trotzdem noch ein weit verbreitetes Problem: Erstens folgt aus Wissen nicht zwangsläufig Handeln - die mit Abstand beliebtesten Passwörter lauten noch immer "123456" und "password". Zweitens ist einer der Ratschläge Unsinn.
Anfang des Jahres rief die US-Handelskommission FTC dazu auf, Passwörter häufig zu ändern. Lorrie Cranor, erst kurz zuvor zur Technik-Chefin der FTC ernannt, wunderte sich über ihren neuen Arbeitgeber. Sie habe die Social-Media-Beauftragten darauf angesprochen, erzählte sie diese Woche auf einer Sicherheitskonferenz in Las Vegas. Diese hätten den Tweet sinngemäß so begründet: Wir bei der FTC ändern unsere Kennwörter alle 60 Tage, also muss es eine gute Idee sein.
Wenn man sich ständig neue Login-Daten ausdenken muss, vergibt man eher einfache
Unabhängig von dieser fragwürdigen Begründung scheint die Regel eigentlich sinnvoll. Häufig dauert es Monate oder gar Jahre, bis Hacker die erbeuteten Daten verkaufen. Wer in der Zwischenzeit sein Passwort geändert hat, muss nichts befürchten. Doch die Wissenschaft widerspricht dem Bauchgefühl. Bereits 2010 haben Forscher der Universität North Carolina Daten von mehr als 10 000 ehemaligen Studenten und Uni-Mitarbeitern ausgewertet, die ihre Kennwörter regelmäßig ändern mussten, weil die Sicherheitsrichtlinien der Uni das vorschrieben. Ihr Fazit: "Wir glauben, dass unsere Studie Zweifel aufwirft, ob es sinnvoll ist, Passwörter in Zukunft noch mit einer Art Verfallsdatum zu versehen." Die Vorsichtsmaßnahme erhöhe die Sicherheit nämlich nur dann, wenn jedes Mal ein komplett neues Kennwort vergeben werde, das nichts mit den vorhergehenden zu tun hat. Die Praxis sieht anders aus. "Password" wird dann etwa zu "password1" oder "pa$$word". Ein Großteil der Nutzer ändert Login-Daten nach trivialen Mustern. Außerdem tendieren Menschen dazu, von Anfang an schwächere Passwörter zu vergeben, wenn sie wissen, dass sie es ohnehin bald wieder ändern werden. Im vergangenen Jahr kamen Forscher der Carleton University in Ottawa zu einem ähnlichen Ergebnis. Die meisten Angriffsmethoden würden durch regelmäßige Passwort-Änderungen nicht unwirksam. Der Nutzen sei "bestenfalls relativ gering" und rechtfertige den Mehraufwand nur in Ausnahmefällen.
Diese Studien haben wohl auch die US-Handelskommission überzeugt. Am Sonntag veröffentlichte sie "Passwort-Tipps für Fortgeschrittene". Diesmal fehlt die Empfehlung, häufig das Kennwort zu wechseln. Stattdessen heißt es jetzt: "Ändern Sie Ihr Passwort rasch, wenn es einen erfolgreichen Angriff gab." Damit orientiert sich die FTC an den Ratschlägen der Wissenschaftler: Im Ernstfall schnell handeln, aber nicht ohne konkreten Anlass. Der Rest der erwähnten goldenen Regeln gilt natürlich trotzdem. Besonders wichtig: Bloß nicht Mark Zuckerberg zum Vorbild nehmen. Kürzlich übernahmen Hacker seine Twitter- und Pinterest-Konten. Zuckerbergs Passwort: "dadada".