1. Februar: Heute ist "Change Your Password Day"

Tipps für ein sicheres Passwort

Internet-Kriminalität (Symbolbild)

Anlässlich des heutigen «Chance Your password Day» gibt es hier Tipps für sichere Passwörter. Auch gehen wir einigen Passwort-Mythen auf den Grund. Forscher der US-Technologiebehörde NIST sagen zum Beispiel: Viele Sonderzeichen nützen nichts. 

Rund ein Jahr lang haben NIST-Mitarbeiter am Bericht, welchen sie letzten Sommer veröffentlicht haben, gearbeitet und mit Nutzern gesprochen. Dabei haben sie bemerkt, dass Sonderzeichen Passwörter nur für Menschen kryptisch machen. Für die Maschinen sind sie deswegen nicht per se sicherer. Vor allem natürlich auch, weil die Sonderzeichen als Platzhalter für normale Buchstaben eingesetzt werden. Aus "Passwort" wird so einfach "Pa$$w0rt" - was natürlich für die Maschinen einfach zu knacken ist. Viel relevanter für die Sicherheit als eine Kombination aus Zahlen, Sonderzeichen und Buchstaben ist aber ganz einfach die Länge. So sind drei willkürlich und sinnfrei aneinandergereihte Wörter nicht nur viel einfacher zu merken, sie sind auch viel sicherer als eine schwierig zu merkende, kryptische sechstellige Kombination aus Zahlen, Buchstaben und Sonderzeichen. Benutzt man dazu noch drei Schweizerdeutsche Wörter und spielt mit Gross-/Kleinschreibung, dann hat man schon ein Passwort, welches auch moderne Supercomputer an den Rand der Leistungsfähigkeit bringen. 

Seitenbetreiber sind gefordert
Die Experten des NIST fordern die Seitenbetreiber auf, auf allzustrenge Passwortanforderungen (Zahlen, Gross-/Kleinschreibung, Sonderzeichen) zu verzichten und dafür besser eine Mindeslänge von 8 Zeichen zu fordern. Diese Zahl ist das absolute Minimum. 12 Zeichen erhöhen die Sicherheit schon deutlich, für 20 Zeichen brauchen auch moderne Computer unter Umständen Jahre, um das Passwort zu knacken. Bis zu 64 Zeichen seien sinnvoll, um sehr wichtige Accounts zu schützen. 

Keine regelmässigen Änderungen
Im Einklang mit anderen Studien kommen auch die Experten des NIST zum Schluss, dass das regelmässige Ändern des Passwortes keine erhöhte Sicherheit bietet. Die Nutzer würden dann nur einfachere Passwörter verwenden und zum Beispiel eine Zahl am Ende erhöhen. Sinnvoll sei dagegen, sofort nach einer Attacke die Nutzer aufzufordern, ihr Passwort zu ändern. 

Zweistufige Authentifizierung
Neben einem langen und sinnfreien Passwort ist es sinnvoll, für sensible Daten wie den Mail-Account, soziale Netzwerke, Cloud-Dienste etc. die zweistufige Authentifizierung oder Zwei-Faktor-Authentifzierung einzuschalten. Dann bekommt man jedes Mal einen Code auf das Smartphone geschickt, wenn man sich an einem neuen Gerät anmeldet. Und dann nützt es Hacker auch nichts, wenn diese das Passwort erbeutet oder geknackt haben.

Kommentieren

comments powered by Disqus