Passwörter sind eine der Plagen des digitalen Zeitalters, vor allem, wenn man sie auch noch alle paar Monate ändern muss. Dazu zwingen viele Firmen ihre Mitarbeiter. Dabei ist es seit etwa zehn Jahren Konsens unter IT-Sicherheitsexperten, dass der regelmäßige Wechsel mehr Probleme schafft, als er löst. Nun hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Einsehen: Die Behörde hat die Empfehlung, Passwörter regelmäßig zu wechseln, aus ihrem IT-Grundschutz-Kompendium gestrichen. Dort steht nun: Man sollte das nur noch tun, wenn man den Verdacht hat, ein Unbefugter könne das Passwort kennen.
"Künftig werden viele Menschen in Büros nicht mehr mit dieser Regel gequält", sagt der Informatiker Maximilian Golla vom Max-Planck-Institut für Cybersicherheit und Schutz der Privatsphäre. "Das ist ungefähr das Größte, was in der deutschen Passwort-Sicherheit in den letzten Jahren passiert ist." Deutschland ist bei diesem neuen Denken über Passwörter Nachzügler. In den USA hat die zuständige Behörde NIST schon 2017 ihre Vorgaben geändert.
Was aber ist eigentlich so schlecht am Passwort-Wechseln? Viele Nutzer sind überfordert damit, sich immer wieder völlig neue Passwörter zu merken und greifen zu Notlösungen: Sie verändern immer nur eine Jahreszahl des Passworts oder ersetzen etwa "sommer" durch "winter". "Und in Unternehmen schreiben sich dann viele ihr aktuelles Passwort auf und kleben es an die Tastatur oder den Schreibtisch", warnt Golla, "privat kann man das ja tun, aber im Unternehmen gibt es auch interne Angreifer."
Tipps für ein schwer zu knackendes Passwort
Generell gibt es mehrere Tipps für ein gutes Passwort: Besser ein kompliziertes - also schwer zu knackendes - Passwort, das man lange benutzen kann und nur dann ändert, wenn es gehackt wurde. Das kann beispielsweise durch einen Trojaner passieren, der alle Tastaturanschläge protokolliert und an die digitalen Angreifer weiterleitet. Die Gefahr, dass es diesen gelingt, eine verschlüsselte Passwortdatei zu ergattern und die Passwörter dann zu entschlüsseln, ist sehr gering, wenn das Passwort nach ein paar einfachen Regeln angelegt worden ist. Der Aufwand, es mit brutaler Rechengewalt zu entschlüsseln, wäre dann viel zu groß.
Wozu sollten die Hacker den auch betreiben? Es gibt ja immer noch genug Nutzer, die offenbar glauben, ein Passwort wie 123456 würde ihre Daten schützen. Die ganz Schlauen verwenden 654321 oder zählen gar bis 9. So aber schützt man seinen Rechner nicht, sondern lädt Hacker förmlich ein. Mit einem handelsüblichen Laptop und ein wenig Software lassen sich solche einfachen Passwörter in Sekunden knacken. Dazu zählen auch alle Passwörter, die Begriffe enthalten, die in Lexika vorkommen, Namen der Kinder oder von Haustieren. Fällt Angreifern eine Liste mit verschlüsselten Passwörtern in die Hände, sind das die ersten, die sie schnell entschlüsseln können. Wie also macht man es richtig?
- Nutzer sollten nie dasselbe Passwort für mehrere Dienste nutzen.
- Sonderzeichen und Zahlen sind gut, aber keine Umlaute oder scharfes S, das führt auf ausländischen Tastaturen zu Problemen.
- Je länger ein Passwort ist, desto besser.
Und das soll man sich merken können? Das geht dann, wenn man ein paar Dinge beachtet. Erstens: Ein Passwort-Manager wie Keepass oder Lastpass (kostenlos) nimmt einem die Arbeit ab, man braucht sich nur ein einziges Masterpasswort merken. Das sollte man dann aber auf gar keinen Fall vergessen. Nachteil: Solche Software ist umständlich einzurichten auf den vielen Geräten, die man heute nutzt.
Zweitens: Man bildet einen Satz und verwendet jeweils den ersten Buchstaben der Worte. Der vorhergehende Satz ergäbe also das Passwort: MbeSuvjdeBdW. Das zweite "e" könnte man durch "1." ersetzen - Zahl und Sonderzeichen. Den Satz hat man nach ein paar Mal Nachschauen drauf, und das Passwort MbeSuvjd1.BdW wäre ziemlich sicher. Besser keine Sprichwörter verwenden, denn die haben Hacker ebenfalls auf ihren Listen. Für besonders wichtige Dienste - zum Beispiel den Haupt-E-Mail-Zugang - empfiehlt sich die sogenannte Zwei-Faktor-Authentifizierung (2FA). Die schützt auch dann, wenn das Passwort im Klartext bekannt geworden ist. Denn es braucht außer dem Passwort noch eine zweite Aktion zur Anmeldung. Zum Beispiel muss ein Sicherheitscode eingegeben werden, der per SMS geschickt wird oder wie beim Online-Banking über eine App. Den Code muss man meist nicht jedes Mal neu eingeben, sondern nur, wenn man sich von einem bisher nicht genutzten Gerät aus einloggt. Mehr und mehr setzen sich auch spezielle Stecker für den USB-Anschluss durch, die den zweiten Faktor bequem und schnell einspeisen. Ganz so simpel wie 123456 ist das nicht, erspart dafür aber Ärger.
Inzwischen hat das BSI auch die Informationen unter der Rubrik "Für Bürger" angepasst. Die Behörde teilte mit, "eine grundlegende Empfehlung, Passwörter regelmäßig zu ändern, gibt das BSI nicht mehr, da die Erfahrung zeigt, dass die Nutzerinnen und Nutzer dann zu immer schwächer werdenden Passwörtern neigen".