Passwörter: Auf die Länge kommt es an!

Sonderzeichen werden dagegen überschätzt

Internet-Kriminalität (Symbolbild)

Sie sind der ständige Begleiter durch die digitale Welt: Passwörter. Entsprechend sicher sollten sie natürlich sein. Neue Empfehlungen der US-Technologiebehörde NIST räumen nun mit viel Halbwissen und Mythen auf. Die Forscher sagen unter anderem: Viele Sonderzeichen nützen nichts. 

Rund ein Jahr lang haben NIST-Mitarbeiter am Bericht gearbeitet und mit Nutzern gesprochen. Dabei haben sie bemerkt, dass Sonderzeichen Passwörter nur für Menschen kryptisch machen. Für die Maschinen sind sie deswegen nicht per se sicherer. Vor allem natürlich auch, weil die Sonderzeichen als Platzhalter für normale Buchstaben eingesetzt werden. Aus "Passwort" wird so einfach "Pa$$w0rt" - was natürlich für die Maschinen einfach zu knacken ist. Viel relevanter für die Sicherheit als eine Kombination aus Zahlen, Sonderzeichen und Buchstaben ist aber ganz einfach die Länge. So sind drei willkürlich und sinnfrei aneinandergereihte Wörter nicht nur viel einfacher zu merken, sie sind auch viel sicherer als eine schwierig zu merkende, kryptische sechstellige Kombination aus Zahlen, Buchstaben und Sonderzeichen. Benutzt man dazu noch drei Schweizerdeutsche Wörter und spielt mit Gross-/Kleinschreibung, dann hat man schon ein Passwort, welches auch moderne Supercomputer an den Rand der Leistungsfähigkeit bringen. 

Seitenbetreiber sind gefordert
Die Experten des NIST fordern die Seitenbetreiber auf, auf allzustrenge Passwortanforderungen (Zahlen, Gross-/Kleinschreibung, Sonderzeichen) zu verzichten und dafür besser eine Mindeslänge von 8 Zeichen zu fordern. Diese Zahl ist das absolute Minimum. 12 Zeichen erhöhen die Sicherheit schon deutlich, für 20 Zeichen brauchen auch moderne Computer unter Umständen Jahre, um das Passwort zu knacken. Bis zu 64 Zeichen seien sinnvoll, um sehr wichtige Accounts zu schützen. 

Keine regelmässigen Änderungen
Im Einklang mit anderen Studien kommen auch die Experten des NIST zum Schluss, dass das regelmässige Ändern des Passwortes keine erhöhte Sicherheit bietet. Die Nutzer würden dann nur einfachere Passwörter verwenden und zum Beispiel eine Zahl am Ende erhöhen. Sinnvoll sei dagegen, sofort nach einer Attacke die Nutzer aufzufordern, ihr Passwort zu ändern. 

Zweistufige Authentifizierung
Neben einem langen und sinnfreien Passwort ist es sinnvoll, für sensible Daten wie den Mail-Account, soziale Netzwerke, Cloud-Dienste etc. die zweistufige Authentifizierung oder Zwei-Faktor-Authentifzierung einzuschalten. Dann bekommt man jedes Mal einen Code auf das Smartphone geschickt, wenn man sich an einem neuen Gerät anmeldet. Und dann nützt es Hacker auch nichts, wenn diese das Passwort erbeutet oder geknackt haben.

Kommentieren

comments powered by Disqus