Wechseln Sie regelmäßig Ihre Passwörter. Das galt lange als einer der wichtigsten Tipps, um seine persönlichen Daten im Netz zu sichern. So empfahl es auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das führte dazu, dass Mitarbeiterinnen und Mitarbeiter in einigen Büros regelmäßig angehalten wurden, ihre Kennwörter zu ändern. Auch privat konnte man sich an einen Wechsel erinnern lassen. Und es gibt sogar einen Change Your Password Day am 1. Februar, der auch dazu animieren sollte, mal wieder das Kennwort zu überdenken.

Nur birgt das ständige Passwortwechseln ein Problem: Man muss sich andauernd neue Buchstaben- und Zahlenkombinationen ausdenken und merken (warum es nicht nur ein Wort sein sollte, dazu kommen wir später noch). Das ist nicht nur lästig, sondern auch schon lange umstritten. Denn wer ständig sein Passwort wechseln muss, könnte dazu geneigt sein, ein eher schwaches zu verwenden oder nur ein paar Buchstaben zu verändern – ist ja ohnehin nicht für lang.

Das BSI hat nun seine Empfehlungen zum IT-Grundschutz aktualisiert und das lästige Passwortwechseln gestrichen. Jetzt heißt es: Man müsse sein Kennwort nur dann unbedingt ändern, wenn ein konkreter Grund dafür vorliegt. Das könnte etwa der Fall sein, wenn ein Portal, das man nutzt, gehackt wurde und auf diesem Wege das Passwort Dritten bekannt wurde. "Das ist ein sehr wichtiger Schritt, für den das BSI allerdings sehr lange gebraucht hat", sagte IT-Sicherheitsexperte Markus Dürmuth, der sich an der Ruhr-Universität Bochum mit Passwörtern befasst, der dpa. Das Fachportal heise.de schrieb, man könne ein gutes Passwort bedenkenlos jahrelang verwenden.

Doch was ist das eigentlich: ein gutes Passwort? Hier noch mal die wichtigsten Tipps zusammengefasst:

1. Verwenden Sie eine Zeichenkombination als Passwort

Ein sicheres Passwort besteht aus einer zufälligen Kombination aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen. Wer sich solche losen Reihenfolgen nicht gut merken kann, kann es mit Sätzen versuchen und zum Beispiel sein Passwort aus den Anfangsbuchstaben generieren. Das BSI nennt als Beispiel den Satz "Am Liebsten esse ich Pizza mit vier Zutaten und extra Käse!", der sich zu "ALeiPm4Z+eK!" abkürzen. (Bitte nicht genau das nehmen, darauf kämen spätestens jetzt auch kriminelle Hackerinnen und Hacker.)

Generell gilt: Einfache Passwörter sollte man tunlichst vermeiden. Es mag dem leicht zu amüsierenden Gemüt lustig vorkommen, sich mit dem Passwort "ficken" einzuloggen. Nur ist das auch ziemlich naiv, um nicht zu sagen: gefährlich. Denn dieses Passwort landet, genau wie so originelle Varianten wie "123456", "hallo", "qwertz" oder auch "passwort", regelmäßig auf Listen der beliebtesten Passwörter in Deutschland. Und das generelle Problem daran ist: Wenn man selbst schnell darauf kommt, geht es Kriminellen wahrscheinlich genauso.

Anders als es der Begriff Passwort suggeriert, sind auch ganze Wörter als Schutz für den Arbeitscomputer, den privaten Blog oder das Instagram-Profil nicht unbedingt geeignet. Denn auch da gilt: Wörter, die in Lexika oder Wörterbüchern vorkommen, können sehr leicht geknackt werden. Bei einer dictionary attack, das heißt so viel wie Wörterbuchangriff, probieren Unbefugte beispielsweise automatisiert Tausende Begriffe durch, die in einem Nachschlagewerk stehen. Wer glaubt, das Geburtsdatum oder der ungewöhnliche Name des Wellensittichs würden besser schützen: Auch die könnten Kriminelle möglicherweise herausfinden.

Nach oben Link zum Beitrag

2. Wählen Sie ein langes Passwort

"Je länger, desto besser": Laut BSI enthält ein starkes Passwort mindestens acht Zeichen. Das hat einen guten Grund: Auch Buchstaben und Zahlenkombinationen kann man, wenn sie kurz sind, relativ einfach entschlüsseln. Dafür setzen Menschen Rechner ein, die sich automatisiert durch Zeichenfolgen durchprobieren. Der Spiegel hat einmal ausgerechnet, dass ein Rechner, der eine Milliarden Schlüssel pro Sekunde durchprobiert, innerhalb von weniger als einer Sekunde ein Vier-Zeichen-Kennwort knackt – selbst wenn es Buchstaben, Zahlen und Sonderzeiten mischt. Bei einem Acht-Zeichen-Passwort braucht er 84 Tage, bei zehn Zeichen mehr als 2.100 Jahre. Also: Länge gewinnt.

Nach oben Link zum Beitrag

3. Nutzen Sie für jeden Dienst ein anderes Passwort

Es mag bequem sein, sich überall mit demselben Passwort einzuloggen – besonders dann, wenn es kompliziert und lang ist. Es ist aber keine gute Idee. Sollten doch einmal Unbefugte darauf zugreifen können, ist nicht nur der eine Computer oder das eine Profil im Netz angreifbar, sondern alle Daten auf allen möglichen Geräten und Diensten. Auch wenn es aufwändiger ist, sollten Nutzerinnen und Nutzer daher für jeden Login ein anderes Passwort wählen. Kann man sich doch niemals alle merken? Muss man auch nicht unbedingt – siehe nächster Punkt.

Nach oben Link zum Beitrag

4. Bewahren Sie Passwörter sicher auf

Schön und gut, wenn man nun viele sichere Passwörter hat, die man sich aber alle nicht merken kann. Es kann helfen, sie irgendwo notieren und aufbewahren. Eine sichere Variante sind Passwortmanager, in denen man alle Passwörter eintragen kann und die dort verschlüsselt gespeichert werden. Sie haben außerdem den Vorteil, dass sie auf Wunsch automatisiert Kombinationen vorschlagen. Um die Passwörter zu sichern, braucht man natürlich: ein sicheres Passwort.

Was Nutzerinnen und Nutzer dagegen unbedingt vermeiden sollten: die Kennwörter an den PC zu kleben, in der Tasche mit sich herumzutragen oder in einem Word-Dokument zu speichern. Sollte man sie doch irgendwo notieren, sollte man sie im analogen Szenario entweder an einem sicheren und nicht zugänglichen Ort wegschließen oder die Datei im Digitalen verschlüsseln. Auch da kann ein Passwort helfen.

Nach oben Link zum Beitrag

5. Nehmen Sie die Zwei-Faktor-Authentifizierung in Anspruch

Ein Passwort ist nur ein Weg, mit dem Nutzerinnen und Nutzer ihre Daten schützen können. Im Optimalfall kombiniert man ihn mit einem anderen. Das nennt man dann Zwei-Faktor-Authentifizierung. Gibt man das Passwort (Faktor 1) ein, erhält man dann zum Beispiel zusätzlich per SMS einen Code (Faktor 2), den man ebenfalls angeben muss. Erst dann kann man sich einloggen. Das erschwert Kriminellen den Zugriff auf Daten, weil sie nicht nur das Passwort entschlüsseln, sondern auch den zweiten Faktor in Erfahrung bringen müssten. Dienste wie Facebook, Web.de oder auch Google bieten heute die Zwei-Faktor-Authentifizierung an.

Nach oben Link zum Beitrag