Passwort: So machen Sie es richtig

Ist «Pa$$w0rt1!!» ein guter Schlüssel? Muss ich wirklich regelmässig das Passwort ändern? Aufräumen mit Mythen zum Geräte-Zugang.

Möglichst viele Sonderzeichen verwenden, Passwörter regelmäßig wechseln – manche Mythen halten sich hartnäckig. (Foto: Alessandra Schellnegger)

Möglichst viele Sonderzeichen verwenden, Passwörter regelmäßig wechseln – manche Mythen halten sich hartnäckig. (Foto: Alessandra Schellnegger)

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Ein gutes Passwort ist genauso wichtig wie ein sicheres Wohnungsschloss. Wenn Kriminelle den Zugang zum E-Mail-Postfach erbeuten oder Amazon-, Ebay- und Bankkonten kapern, drohen hohe finanzielle Verluste. Von der Tatsache, dass Fremde private Daten und Informationen einsehen können, erst gar nicht zu reden.

Trotzdem schützen viele Nutzer ihre privaten Daten und Konten im Netz nur unzureichend. Viele Mythen über vermeintlich sichere Passwörter halten sich seit Jahren. Das National Institute of Standards and Technology (NIST), eine US-Behörde, die unter anderem für Technologiestandards zuständig ist, will das ändern. Im Juni hat sie neue Vorgaben für die Sicherheit von Passwörtern herausgegeben, die mit gefährlichem Halbwissen aufräumen sollen.

Umfrage

Wie gehen Sie bei Ihren Passwörtern vor?







Ein Jahr lang haben die Mitarbeiter an dem Bericht gearbeitet und mit Nutzern diskutiert. Die Vorgaben des NIST gelten für öffentliche Einrichtungen in den USA. Viele private Unternehmen orientieren sich freiwillig an den Standards. Aber auch Nutzer können einiges aus den Empfehlungen der Experten lernen:

Keine Sonderzeichen

Für Menschen wirken wahllose Kombinationen aus vielen Sonderzeichen kryptisch und damit vermeintlich sicher. Tatsachlich können Hacker mit sogenannten Brute-Force-Attacken solche Passwörter relativ leicht knacken. Die Software testet meist zuerst eine lange Liste gängiger Phrasen, etwa «Passwort» oder «123456». Dann folgen normale Begriffe aus Wörterbüchern, anschliessend gehen die Algorithmen dazu über, auch Sonderzeichen durchzuprobieren.

Das NIST empfiehlt Seitenbetreibern deshalb, auf allzu komplizierte Vorgaben zu verzichten. So sollen Passwörter nicht mehr einen Grossbuchstaben und zwei verschiedene Sonderzeichen enthalten müssen. Die Nutzer, so argumentiert das NIST, variierten sonst nur ihre Standard-Chiffre: Aus «Passwort» werde «Pa$$w0rt1!!» – eine Variation, die Algorithmen leicht erraten können. Besser sei es, weniger Sonderzeichen zu verwenden, dafür aber unterschiedliche Phrasen als Grundlage zu verwenden.

Auf Länge setzen

Entscheidender als die Komplexität ist die Länge. Selbst moderne Computer brauchen teilweise Jahre, um ein Kennwort mit 20 oder mehr Zeichen zu knacken. Zumindest, sofern Nutzer nicht gerade beliebte Phrasen wie «DuKommstNichtVorbei» verwenden. Wenn es nach den Experten des NIST geht, sollten Passwörter daher aus mindestens acht Zeichen bestehen. Diese Zahl ist das absolute Minimum, zwölf Zeichen erhöhen die Sicherheit signifikant.

Ausserdem sollen Anbieter Leerzeichen erlauben, damit sich Nutzer nicht nur einzelne Wörter, sondern ganze Passsätze ausdenken können. Das NIST rät, die Längenbeschränkung von Passwörtern aufzuheben oder zumindest massiv zu erhöhen. Bis zu 64 Zeichen seien sinnvoll, damit man auch längere Passsätze verwenden kann, um wichtige Accounts zu schützen.

Keine regelmässigen Änderungen

«Ihr Passwort ist abgelaufen, bitte wählen Sie ein neues». Angestellte kennen solche E-Mails von der IT-Abteilung. Die wenigsten freuen sich über die Aufforderung zum Passwortwechsel – völlig zu Recht. Das NIST rät in seinem Bericht nämlich davon ab, die Login-Daten alle paar Wochen zu ändern. Damit orientieren sich die Experten an aktuellen Studien. Demzufolge sind Konten nicht besser geschützt, wenn Nutzer regelmässig neue Passwörter vergeben. Im Gegenteil: Viele Menschen neigen dann dazu, unsichere Chiffren zu verwenden, die sie sich leicht merken können. Eine Ausnahme gibt es allerdings: Sobald es eine erfolgreiche Attacke gab und der Betreiber vermutet, dass die Angreifer Daten erbeuten haben könnten, sollten alle Nutzer unverzüglich alarmiert und zum Wechseln animiert werden.

Datenbank-Abfrage

Niemand käme auf die Idee, nur einen Schlüssel für Haustür, Wohnungstür, Tresor und Fahrradschloss zu verwenden. Die analoge Vorsicht scheint im digitalen Leben ausser Kraft gesetzt zu sein: Viele Menschen nutzen dieselben Passwörter für mehrere Konten. Das ist fatal: Wenn Hacker die Zugangsdaten erbeuten, versuchen sie fast immer, sich damit auch bei anderen Seiten einzuloggen.

Die NIST-Experten empfehlen Seitenbetreibern, leichtsinnige Nutzer vor sich selbst zu schützen: Sie sollen Passwörter automatisch mit anderen Daten abgleichen, etwa mit Login-Informationen, die aus früheren Hacks oder Sicherheitslücken bekannt sind. Diese werden in Datenbanken wie Haveibeenpwned.com gesammelt, wo Nutzer übrigens auch selbst prüfen können, ob ihre E-Mail-Adresse bei Diensten registriert ist, die bereits erfolgreich von Kriminellen angegriffen wurden.

Der automatische Abgleich soll noch weitere Datenbanken umfassen, beispielsweise Einträge aus Wörterbüchern oder simple Sequenzen wie «aaaaaa», «1234abcd» oder «qwertz», also Zeichen, die auf der Computertastatur in einer Reihe nebeneinanderliegen. Falls der Algorithmus Übereinstimmungen entdeckt, müssten Nutzer eine neue Sicherheitsphrase wählen. Das gilt auch, wenn sie Abwandlungen von Nutzernamen oder andere Daten verwenden, die sie bei der Anmeldung angegeben haben, etwa Geburtsdaten oder Telefonnummern. Ein Beispiel: Will sich jemand mit dem Benutzernamen «TA-Leser» anmelden, sollte das Passwort nicht «TA-Leser1» lauten.

Keine Sicherheitsfragen

«Wie hiess Ihr erstes Haustier?», «Wie lautet der Geburtsname Ihrer Mutter?», «Was ist Ihre Lieblingsfarbe?» Einige Webseiten setzen auf solche Sicherheitsfragen. Grundsätzlich ist das keine schlechte Idee, da Kriminelle mehr Informationen über das Opfer benötigen als nur das Passwort. Allerdings lassen sich viele dieser Daten oft leicht im Netz finden.

Deshalb rät das Nist dringend davon ab, diese Methode als einzige Authentifizierung zu verlangen, um das Passwort zurückzusetzen. Angreifer könnten die Antwort der Sicherheitsfrage erraten oder sie aus öffentlichen Informationen zusammensuchen, etwa aus Profilen bei sozialen Netzwerken. Gelingt ihnen das, können sie ein neues Passwort vergeben und erhalten Zugriff auf den gesamten Account.

Für Nutzer bedeutet das im Umkehrschluss: Wenn Sie die Wahl zwischen mehreren Sicherheitsfragen haben, dann nehmen Sie nicht gerade die Frage nach Ihrem Lieblingstier oder der Marke Ihres Autos, wenn Sie gleichzeitig Katzenbilder und Fotos von Ihrem Sommerurlaub mit VW-Bus auf Facebook posten. Eine andere Möglichkeit: Niemand zwingt Sie, die Sicherheitsfragen ehrlich zu beantworten. Wenn Sie als Geburtsnamen Ihrer Mutter Ihre Lieblingsfarbe angeben, macht es das Angreifern deutlich schwerer. Passen Sie nur auf, dass Sie sich nicht selbst verwirren. (Tages-Anzeiger)

Erstellt: 18.07.2017, 10:58 Uhr

Artikel zum Thema

Die fünf grössten Passwort-Mythen

Viele Sonderzeichen und möglichst oft ändern, dann wird ein Passwort sicher. Ach, wirklich? Mehr...

Sichere Passwörter – und wie man sie sich merkt!

Video Daten sind immer nur so sicher wie das Passwort, das sie schützt. Unser Video zeigt Tricks und Strategien, wie man unknackbare Passwörter erzeugt und im Gedächtnis behält. Mehr...

F-*-*-*-*-N

Welche Passwörter benutzen Deutsche und Schweizer am liebsten? Geleakte Datensätze geben Auskunft. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Abo

Abo Digital - 26 CHF im Monat

Den Tages-Anzeiger unbeschränkt digital lesen, inkl. ePaper. Flexibel und jederzeit kündbar.
Jetzt abonnieren!

Kommentare

Newsletter

Kurz, bündig, übersichtlich

Sonntags bis freitags ab 7 Uhr die besten Beiträge aus der Redaktion.
Newsletter «Der Morgen» jetzt abonnieren.

Die Welt in Bildern

Auch ein Rücken kann entzücken: Ein Elefant zeigt sich im Joburg Zoo in Johannesburg nicht gerade von der besten Seite (18. August 2017).
(Bild: Kim Ludbrook) Mehr...