Alte, neue und sichere Passwörter. Damals und heute.

2 min.

Ein sicheres Passwort und dessen regelmäßiger Wechsel sind wichtig. Sehr wichtig sogar. Soweit gibt es also erst einmal nichts Neues zu berichten. Oder doch? Hinsichtlich der Zusammensetzung von sicheren Passwörtern und Wechselaufforderungen müssen wir uns jedoch von aus der Zeit gefallenen Empfehlungen verabschieden, denn viele landläufig bekannte Sicherheitsregeln bewirken nicht die gewünschten Effekte oder sogar das Gegenteil.

Eine Analyse von alten (schlechten) und neuen (besseren) Passwörtern.

Ausgangssituation: Die bisherige Empfehlung 

Bisher galt die Faustregel: Ein sicheres Passwort setzt sich aus Sonderzeichen, Groß- und Kleinbuchstaben und Zahlen zusammen und muss häufig verändert werden. Diese Regel dachte nicht ich mir aus, sondern das National Institute of Standards and Technology (NIST) in den USA.

Die Frage, was ein sicheres Passwort ausmachen und ob es regelmäßig geändert werden sollte, wird in IT-Sicherheitskreisen schon länger diskutiert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rief kürzlich einen „Ändere-dein-Passwort-Tag“ ins Leben. Die Behörde rät also ausdrücklich zu einem regelmäßigen Passwortwechsel.

Auch viele Unternehmen, Universitäten und Internetprovider fordern ihre Mitarbeiter, Studenten und Nutzer in festgelegten Zeitabständen zum Passwortwechsel auf. Dies kann besonders dann sinnvoll sein, wenn sich bereits Zugangsdaten in falschen Händen befinden. Durch jeden Passwortwechsel wird Angreifern immer wieder der Zugang verwehrt.

Nach der britischen Communications Electronics Security Group (CESG) bewirkt ein häufiger Passwortwechsel in praxi mitunter das Gegenteil: Um sich nicht zu viele Passwörter merken zu müssen, wird oft für viele unterschiedliche Dienste das selbe Kennwort benutzt und dieses bei einem Wechsel nur minimal verändert. Im Ergebnis ähnelt das neue Passwort oft dem vorherigen und ist damit sehr viel leichter zu erraten.

Ein weiteres Problem sind milliardenfache Passwort-Lecks. Hieraus lassen sich für IT-Sicherheitsforscher (aber ebenso für Kriminelle) wertvolle Informationen gewinnen, welche Passwörter in der Realität gewählt werden und welche Auswirkungen die Passwortrichtlinien auf diese haben.

Die Erkenntnis: Viel zu viele dieser Passwörter sind trivial zu erraten und damit im Ergebnis schnell zu knacken.

Sichere Passwörter im Jahre 2017

Inzwischen existiert eine überarbeitete NIST-Richtlinie. Diese neue Richtlinie lässt sich in zwei Schritte aufgliedern:

  1. Verwenden Sie kein Passwort, welches bereits (durch ein Passwort-Leck) bekannt ist. Ob Ihr bevorzugtes Kennwort bereits geknackt und damit bekannt ist, können Sie beispielsweise über den Internetdienst Pwned Passwords herausfinden.

    Bei diesem Ergebnis sollten Sie umgehend Ihr Passwort ändern.

  2. Die zweite Empfehlung bezieht sich auf die Verwendung von langen Passphrasen. Insofern wird eine deutlich Unterscheidung zu älteren Passwortvorgaben deutlich, die nur Anforderungen an die Komplexität – nicht allerdings an die Länge stellten. Weiterhin sollte sich das neue Passwort an möglichst vielen Stellen vom bisherigen unterscheiden. Ferner sollte vermieden werden, das Kennwort aus Wörtern oder Namensbestandteilen zusammenzusetzen.

Kurzum: Ein sicheres Passwort Anno 2017 ist lang und möglichst kryptisch. 

10-Punkte-Checkliste für ein sicheres Passwort.

Fazit

Lang und kryptisch. Schön und gut – aber wie soll man sich ein solches Passwort bitte merken? Sie können auf einen einfachen Trick zurückgreifen: Denken Sie sich einen (längeren) Satz aus. Wählen Sie jeweils die Anfangsbuchstaben der einzelnen Wörter, beachten sie die Groß- und Kleinschreibung und setzen Sie ein Satzschlusszeichen.

Beispiel:

Die besten Artikel zum Thema Datenschutz und Datensicherheit lese ich auf Power-Datenschutz.de!

Passwort: DbAzTDuDliaP-D.d!

Das Resultat ist ein Kennwort, welches keinen logischen Schluss auf seinen Besitzer zulässt. Seien Sie kreativ und vernachlässigen Sie die Wahl eines sicheren Passwortes nicht! Ändern sollten Sie Ihr neues Passwort übrigens erst, wenn es wahrscheinlich ist, dass es geknackt wurde. Ein willkürlicher Wechsel, der nur an einen bestimmten Zeitraum anknüpft, bringt grundsätzlich nicht mehr Sicherheit.

__

Titelbild (CCO Public Domain)

__

Über den Autor

<p>Mein Name ist Julius S. Schoor. Ich bin Rechtsanwalt und spezialisiert auf IT-Vertragsrecht. Seit 2011 bin ich als Datenschutzbeauftragter TÜV-zertifiziert und bereits für mehrere Unternehmen als solcher offiziell bestellt.</p>

Kommentieren Sie diesen Beitrag!