- Am 1. Februar ist Welt-Passwort-Tag.
- Nutzer sollten das zum Anlass nehmen, simple und unsichere Kennwörter zu ändern.
- Diese sieben Empfehlungen helfen Ihnen, gute Passwörter zu vergeben und Ihre Konten besser zu schützen.
Marvin Strathmann ist freier Journalist und schreibt unter anderem für das Digital-Ressort von SZ.de. Hat davor über Digitales für Chip Online, Focus Online und Zeit Online geschrieben. War außerdem auf der Deutschen Journalistenschule und Stipendiat der Fazit Stiftung.
Simon Hurtz, Jahrgang 1989, Redakteur im Digital-Team. Hat 13 Jahre lang passiven Widerstand gegen das bayerische Bildungssystem geleistet und dann doch Sehnsucht nach der Schulbank bekommen. Ist also auf der Deutschen Journalistenschule gelandet und genießt seitdem die Gewissheit, seinen Traumberuf gefunden zu haben (um Missverständnissen vorzubeugen: Geschichtenerzählen, nicht Taxifahren). Fühlte sich danach zu jung zum Arbeiten und wollte einmal eine echte Uni von innen gesehen haben. Hat nach vier Semestern Soziologie, Politik und Wirtschaft an der Zeppelin-Universität aber gemerkt, dass ihm Journalismus wichtiger ist als sein Bachelor-Abschluss. Kann sich über seine Bodenseensucht jetzt mit dem Alpenpanorama hinwegtrösten, das er aus dem SZ-Hochhaus zu sehen bekommt. Schreibt nicht gerne über sich selbst in der dritten Person.
Wie jedes Jahr rufen am 1. Februar etliche Medien, Unternehmen und NGOs auf: "Wechseln Sie Ihr Passwort"! Für die meisten Menschen ist das eine sinnvolle Empfehlung. Ein Großteil der Internetnutzer verwendet selbst für wichtige Dienste noch immer viel zu simple Kennwörter.
Wenn Sie aber bereits lange und komplexe Passwörter nutzen, ist es keine gute Idee, die Login-Daten allzu oft zu ändern. Natürlich sollten Nutzer ihre Kennwörter wechseln, wenn bekannt geworden ist, dass ein bestimmter Dienst gehackt wurde, bei dem sie angemeldet sind, und Daten in Gefahr sind. Gibt es aber keinen solchen Anlass, spricht nichts für regelmäßige Wechsel.
Das gibt sogar Bill Burr zu. Er arbeitete früher beim National Institute of Standards and Technology (NIST), einer US-Behörde, die für Technologiestandards zuständig ist. Dort verfasste er Empfehlungen für sichere Passwörter, viele Menschen und Unternehmen orientierten sich daran. Darin war auch der Rat enthalten, alle 90 Tage ein neues Kennwort zu vergeben. Im Herbst des vergangenen Jahres sagte Burr: "Vieles von dem, was ich getan habe, bereue ich." Mit seinen Tipps sei er damals "auf dem falschen Dampfer" gewesen.
Nur wenigen Menschen kümmern sich um IT-Sicherheit
Dennoch hat der Passwort-Wechsel-Tag nach wie vor seine Existenzberechtigung. Denn nur ein kleiner Teil der Nutzer beherzigt grundlegende Regeln der IT-Sicherheit. Seit Jahren halten sich viele Mythen über vermeintlich sichere Passwörter. Noch immer verwenden viel zu wenige Menschen Passwort-Manager und versuchen stattdessen, sich ihre Login-Daten zu merken.
Wenn Sie auch zu dieser Gruppe gehören, dann sollten Sie den Change-Your-Password-Day zum Anlass nehmen, sich mit Ihren Kennwörtern zu beschäftigten. Die folgenden Tipps können Ihnen dabei helfen. Sie beruhen unter anderem auf Empfehlungen des NIST. Die Behörde will die schlechten Ratschläge von Bill Burr vergessen machen und hat im vergangenen Jahr neue Richtlinien für die Sicherheit von Passwörtern herausgegeben. Die Vorgaben gelten für öffentliche Einrichtungen in den USA. Aber auch die Bürger können einiges daraus lernen:
Sonderzeichen bringen vergleichsweise wenig
Für Menschen wirken wahllose Kombinationen aus vielen Sonderzeichen kryptisch und damit sicher. Tatsachlich können Hacker mit sogenannten Brute-Force-Attacken solche Passwörter relativ leicht knacken. Die Software testet meist zuerst eine lange Liste gängiger Phrasen, etwa "Passwort" oder "123456". Dann folgen Begriffe aus Wörterbüchern, anschließend probieren die Algorithmen auch Sonderzeichen aus.
Das sind die fünf größten Passwort-Mythen
Das NIST rät Seitenbetreibern, auf komplizierte Vorgaben zu verzichten. So sollen Passwörter nicht mehr einen Großbuchstaben und zwei verschiedene Sonderzeichen enthalten müssen. Die Nutzer, so argumentiert das NIST, variierten sonst nur ihre Standard-Chiffre: Aus "Passwort" werde "Pa$$w0rt1!!" - eine Variation, die Algorithmen leicht erraten können. Besser sei, weniger Sonderzeichen zu verwenden, dafür aber unterschiedliche Phrasen als Grundlage zu verwenden.
Auf die Länge kommt es an
Entscheidender als die Komplexität ist die Länge. Selbst moderne Computer brauchen teilweise Jahre, um ein Kennwort mit 20 oder mehr Zeichen zu knacken. Zumindest, sofern Nutzer nicht gerade beliebte Phrasen wie "DuKommstNichtVorbei" verwenden. Wenn es nach den Experten des NIST geht, sollten Passwörter daher aus mindestens acht Zeichen bestehen. Diese Zahl ist das absolute Minimum, zwölf Zeichen erhöhen die Sicherheit signifikant, 16 sind noch besser.
Außerdem sollen Anbieter Leerzeichen erlauben, damit Nutzer sich nicht nur einzelne Wörter, sondern ganze Passsätze ausdenken können. Das NIST rät, die Längenbeschränkung von Passwörtern aufzuheben oder zumindest massiv zu erhöhen. Bis zu 64 Zeichen seien sinnvoll, damit man auch längere Passsätze verwenden kann, um wichtige Accounts zu schützen.