„Passwort1234“, „Max1955“, „123xyz“. Kommt dir das bekannt vor? Oder wechselst du immer wieder und bedienst dich dabei der ganzen Klaviatur an Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen? Überraschung: Beides ist falsch!
Seit 2017 gibt es neue Passwort-Richtlinien. Und sie haben den bisherigen Modus Operandi bei der Passwortvergabe ganz schön auf den Kopf gestellt – zumindest auf dem Papier. In der Praxis haben sich die neuen Regeln noch nicht so recht durchsetzen können oder wollen, obwohl sie Anwendern ihre täglichen Logins erleichtern würden.
Die Passwort-Kriterien „möglichst komplex“ und „möglichst alle 90 Tage neu“ wurden von derselben Behörde fallen gelassen, die sie Anfang der 2000er-Jahre einführte. Die Rede ist von der US-Behörde NIST (National Institute of Standards and Technology), die unter anderem für Technologiestandards zuständig ist. An ihren Empfehlungen für die Passwortwahl orientiert sich auch die EU.
Was kann laut NIS-Richtlinie weg?
- Sonderzeichen: Für ein sicheres Passwort reicht eine Kombination aus Groß- und Kleinbuchstaben sowie Zahlen.
- Sicherheitsfragen: Vermeintliche Sicherheitsfragen wie “Wie heißt Ihr Haustier?” lassen sich in vielen Fällen mit einem Blick auf das öffentliche Facebook-Profil beantworten. Ist ein Hacker-Angriff erfolgreich, werden die meist im Klartext gespeicherten Antworten außerdem sowieso mitgestohlen.
- Regelmäßige Änderungen: Passwörter, die immer wieder geändert werden, sind nicht sicherer, sondern zeitraubend und verleiten Nutzer dazu, die Wort-Zahlen-Kombinationen aufzuschreiben.
So bleiben Passwort-Attacken folgenlos
- Nutze laaaaange Passwörter! Mindestens 8 Stellen lang sollte es laut NIS-Empfehlung sein, noch besser sind 12. Wird das Passwort um nur einen Buchstaben verlängert, braucht ein Hacker viel länger, um es zu knacken. Ist das Kennwort stark, sprechen wir hier von Jahren!
- Verwende Passphrasen statt Passwörter! Anders gesagt: Nutze möglichst lange Wortfolgen. Mehrere Wörter beliebig zusammenwürfeln und/oder Buchstaben durch ähnliche Ziffern ersetzen, funktioniert. Buchstaben machen es dem Hacker übrigens grundsätzlich schwerer als Sonderzeichen.
- Setze auf Zwei Faktor-Authentifizierung! Bei der 2FA ist zusätzlich zum Kennwort ein weiterer Sicherheitsschritt nötig. Meist ein Code, der per SMS zugeschickt wird. Dienste wie Online-Banking oder Handysignatur arbeiten fast ausschließlich mit 2FA.
- Arbeite mit einem Passwort-Manager! Experten raten Nutzern, Ihre Kennwörter Anbietern wie Dashline oder LastPass anzuvertrauen. Denn die besten Passwörter helfen nichts, wenn sie vergessen werden.
Wann du dein Passwort doch einmal ändern solltest
- Dein Passwort taucht in der jährlich veröffentlichten „Hitliste“ der unsicheren Passwörter auf.
- Shoulder Surfing: Jemand hat dir bei der Eingabe eines Passworts zugesehen bzw. über die Schulter geschaut.
- Du hast dein Passwort weitergegeben, statt einen Stellvertreterzugriff einzurichten.
- Es gibt Anzeichen dafür, dass dein Passwort gestohlen wurde. Auf Haveibeenpwned.com kannst du selbst überprüfen, ob deine E-Mail-Adresse bei Diensten registriert ist, die bereits erfolgreich gehackt wurden.
