Das Bundesamt für Sicherheit in der Informationstechnik (BSI) läuft den Empfehlungen echter Security-Experten teils jahrelang hinterher. Inzwischen hat das BSI einige geradezu schädliche Empfehlungen gestrichen. So sind folgende inzwischen makulatur:
- Es wird nicht länger empfohlen, Passwörter regelmäßig zu ändern, da das tendenziell zu unsicheren Passwörtern führt
- Starre Vorgaben zu Passwortlänge und zulässiger Zeichen wurden entfernt.
Ebenso verlangen teils noch viele Plattformen, dass durch Sicherheitsabfragen, wie dem Namen des ersten Haustiers, ein Sicherheitsnetz gespannt wird, falls man sein Passwort mal vergessen sollte. Das Problem: Damit braucht ein potentieller Angreifer nur noch eine richtige Antwort auf die meist recht leicht in Erfahrung zu bringenden Sicherheitsfragen.
Empfehlungen, die funktionieren
Das BSI hat nachgebessert
Der aktuelle Stand der BSI-Empfehlung ist inzwischen aber sehr gut, die folgende Empfehlungen haben sich auch in der Praxis bewährt:
Sie müssen sich ein Passwort gut merken können.
Die Betonung sollte hier auf ein Passwort liegen. Sie müssen sich nur noch exakt ein, vielleicht zwei Passwörter merken können: ein privates und wenn Sie möchten und möglich noch ein zweites, berufliches Masterpasswort. Wie das funktionieren soll, dazu später mehr.
Für ein Passwort können in der Regel alle verfügbaren Zeichen genutzt werden, also Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen.
Das sehen wir genauso. Leider gibt es hier auf vielen Plattformen noch oft Einschränkungen, so dass nur eine Auswahl an Sonderzeichen erlaubt sind.
Das vollständige Passwort sollte nicht im Wörterbuch vorkommen. Gängige Zahlenfolgen oder Tastaturmuster kommen ebenfalls als sicheres Passwort nicht in Frage.
Klar, eines der häufigsten Passwörter ist password – man könnte genauso gut den eigenen Wohnungsschlüssel tausendfach per Postwurfsendung in der Nachbarschaft verteilen. Ideal ist es, wenn ein Passwort übrigens nirgends ein zweites Mal verwendet wird. Dazu gleich mehr.
Je länger das Passwort ist, desto besser.
So einfach, so durschlagend ist diese Empfehlung: Mit jedem zusätzlichen Zeichen steigt die Dauer, um ein Passwort erfolgreich via Brute-Force-Attacke zu knacken exponentiell an. Ein 7 Zeichen langes Passwort lässt sich in wenigen Minuten knacken, 8 Zeichen in einem Tag und 9 Zeichen in 12 Jahren. Ein 30-40 Zeichen langes Passwort wäre auch mit Supercomputern aktuell nicht innerhalb eines Lebens knackbar.
Das Passwort sollte mindestens acht Zeichen lang sein.
Wir empfehlen mindestens 12 Zeichen. Manche Plattformen schränken die maximale mögliche Anzahl an Zeichen ein, ideal wäre jedoch keinerlei Einschränkungen in der Passwortlänge durch die Plattform. Technisch gibt es keine ausreichende Begründung, die Länge von Passwörtern einzuschränken.
Einfache Ziffern oder Sonderzeichen vor oder nach einem normalen Wort zu ergänzen, ist nicht empfehlenswert.
Gemeint ist damit, dass 123password oder $password! nicht sicherer geworden sind, nur weil sie ein paar Extrazeichen enthalten. Viele Passwortknacker arbeiten sich erstmal an Kombinationen aus Wörterbüchern uns Extrazeichen ab, um genau solche Varianten möglichst früh zu knacken.
einfach, aber sicher
Ihre Passwortstrategie
Im Grunde liegt die ganze Denkarbeit und Verantwortung bei den o.g. Maßnahmen bei Ihnen, dem Nutzer. Danach schreibt das BSI den mit Abstand wichtigsten Absatz über die Absicherung Ihrer Passwörter:
Dort, wo eine Zwei-Faktor-Authentisierung (2FA) angeboten wird, können Sie damit den Zugang zu Ihrem Onlinekonto zusätzlich absichern. Ein Passwortmanager kann die Handhabung unterschiedlicher Passwörter erleichtern. Besonders wichtig: Geben Sie Ihre Passwörter niemals an Dritte weiter.
2FA
Zwei-Faktor-Authenifizierung
Hiermit reicht nicht mehr länger nur das Passwort aus: Ein einmal eingerichteter Kanal, wie Ihr Smartphone oder Ihr E-Mail-Account, werden genutzt, um einen Loginversuch abzusichern. Selbst wenn ein Hacker Ihren Login und Ihr Passwort für eine Plattform kennt: Er müsste auch Zugriff auf Ihren 2FA-Kanal haben, also auf Ihre E-Mail oder Ihr Smartphone.
Wo möglich: Nutzen Sie die 2FA-Funktion bei jedem Anbieter.
Das Online-Banking hat es mit dem TAN-Eingaben vorgemacht, inzwischen kann jedes Smart-Phone via App-Tan Loginversuche von Hackern effektiv abwehren. Für WordPress gibt es hierfür kostenlose Plugins.
Software, die wirklich hilft
Passwortmanager
Hiermit reicht nicht mehr länger nur das Passwort aus: Ein einmal eingerichteter Kanal, wie Ihr Smartphone oder Ihr E-Mail-Account, werden genutzt, um einen Loginversuch abzusichern. Selbst wenn ein Hacker Ihren Login und Ihr Passwort für eine Plattform kennt: Er müsste auch Zugriff auf Ihren 2FA-Kanal haben, also auf Ihre E-Mail oder Ihr Smartphone.
Wo möglich: Nutzen Sie die 2FA-Funktion bei jedem Anbieter.
Das Online-Banking hat es mit dem TAN-Eingaben vorgemacht, inzwischen kann jedes Smart-Phone via App-Tan Loginversuche von Hackern effektiv abwehren. Für WordPress gibt es hierfür kostenlose Plugins.
Seien Sie nicht selbst das Einfallstor
Geben Sie Ihr Passwort nicht weiter
Sie klicken auf eine Email oder Nachricht und müssen nur kurz Ihr Facebook-Passwort eingeben, um sich das lustige Katzenvideo anzusehen?
Denken Sie immer daran: Die Eingabe Ihres Passworts ist wie eine digitale Unterschrift. Sie schließen hiermit Verträge. Überprüfen Sie die Adresszeile Ihres Browsers und trauen Sie im Zweifel erstmal niemanden, wenn ein Passwort von Ihnen verlangt wird.