Welt-Passwort-Tag

Welt-Passwort-Tag

Das Thema „Kennwörter“ gestaltet sich komplexer, je länger man darüber nachdenkt. Eine Auswertung von 1.4 Milliarden geleakten Kennwörtern hat ergeben, dass die am häufigsten verwendeten Kennwörter „11111“, „123456“, „123456789“, „qwerty“ und „password“ sind. Nicht sehr komplex, für ein jedoch sehr komplexes Thema.

Doch was genau ist ein komplexes Kennwort?

Vereinfach gesagt: Je länger ein Passwort ist, desto komplexer ist es auch. Je mehr verschiedene Zeichen (Buchstaben, Zahlen, Sonderzeichen) es enthält, desto komplexer ist ein Passwort.
Das heißt also, je länger mein Kennwort ist und je mehr verschiedene Zeichen es enthält, desto besser bin ich geschützt. Hört sich einfach an für ein Thema, welches am Anfang durchaus kompliziert vorgestellt wurde.

Infolgedessen wäre ein Kennwort bestehend aus meinem Vor- und Nachnamen, meinem Geburtsjahr und ein abschließendes Ausrufezeichen (z.B. „MaxMustermann1990!“) ein unknackbares Passwort für die Ewigkeit. Man muss kein Experte sein, um diese These berechtigt in Frage zu stellen. Selbst bei sehr ungewöhnlichen Namen ist das automatisierte Erraten eines solchen Kennworts nur eine Frage von Sekunden.
Entscheidend sind also nicht die Länge und die verwendeten Zeichen, sondern die Abfolge dieser Zeichen in einer ausreichenden Länge.

„BwNJC4Dq)A>b{$ATZn“ ist ein Kennwort, welchem ich eher zutrauen würde erst in vielen Jahren unsicher zu werden. Doch stellt es damit auch ein gutes Passwort dar?
Kein Mensch kann und wird sich solch eine Kombination merken. Erst recht nicht, wenn 5 oder 10 solcher wilden Zeichenabfolgen gebraucht werden, da man dasselbe Passwort nicht bei multiplen Accounts verwenden sollte. Das führt dann dazu, dass sich Leute kleine Post-Its mit ihrem Benutzernamen und ihrem vermeintlich sicheren Kennwort auf die Monitore kleben, Textdateien auf dem Desktop erstellen oder spätestens beim dritten Login ihr Kennwort wieder auf „MaxMustermann1990!“ ändern.

Sechs Tipps für ein gutes Kennwort

Wie sieht also ein gutes Kennwort aus, wenn es weder zu kurz noch zu lang, weder zu einfach noch zu komplex sein darf? Die Idee sich einfache Faustregeln zu merken hat sich hierbei erfolgreich bewiesen:

• Keine Wörter verwenden, die im Wörterbuch zu finden sind
• Keine sich wiederholenden Zeichenketten verwenden (1111, abcd)
• Keine kontextspezifischen Wörter verwenden (Vor/Nachname, Name des Dienstes etc.)
• Sich einen leicht zu merkenden Satz überlegen
• Buchstaben, Zahlen und Sonderzeichen aus diesem Satz als Kennwort verwenden
• Namen des Dienstes als Abkürzung in das Kennwort einbauen (optional)

Vorgehen bei der Erstellung eines sicheren Passwortes

Als konkretes Beispiel überlege ich mir nun ein Passwort für meinen Microsoft Office Account. Als Satz wähle ich etwas, das ich mir leicht merken kann: „Mein erster Vierbeiner hieß Bello und war ein ganz braver Hund!“
Davon nehme ich nun jeweils den ersten Buchstaben eines Wortes und ersetze die ausgeschriebenen Zahlen mit Ziffern. Aus dem „und“ wird ein „&“. Am Anfang und am Ende füge ich eine Abkürzung für Microsoft Office 365 ein.
„MS-M14hB&w1gbH!-O365“ steht dem ersten Beispiel von weiter oben in Sachen Komplexität nicht nach. Ist dabei sogar länger und deutlich einfacher zu merken.

Die Nutzung von Passwort-Managern

Früher oder später gehen einem jedoch die Sätze aus oder man erreicht die Grenzen des eigenen Gedächtnisses. Um nicht in alte Muster zu verfallen oder dasselbe Passwort überall zu verwenden, empfiehlt es sich dringend einen Passwort-Manager zu verwenden.
Diese Programme speichern Benutzernamen und Kennwörter, bieten oft eine „Auto-Fill Funktion“ und können sichere und komplexe Passwörter erstellen, abspeichern und bei Bedarf automatisch eingeben. Keepass und Bitwarden sind dabei nur zwei von vielen kostenlosen Programmen.

Wie oft sollte man sein Passwort wechseln?

Nachdem man ein sicheres und komplexes Passwort gewählt hat, stellt sich die Frage wie oft man dieses wechseln sollte.
Lange Zeit galt der Grundsatz: Nach 90 Tagen sollte ein Passwortwechsel stattfinden oder erzwungen werden. Neuere Studien zeigen allerdings deutlich, dass dieses Verfahren eigentlich nur die Benutzer nervt und zu unsicheren Passwörtern führt.

Grundsätzlich sollte ein korrekt erstelltes Passwort dann geändert werden, wenn der Verdacht einer Kompromittierung besteht. Anzeichen dafür sind verdächtige Aktivitäten auf dem eigenen Gerät, verdächtige Aktivitäten auf dem betroffenen Konto oder entsprechende Meldungen in den Medien bzw. vom Dienstleister selbst.
Nichtsdestotrotz empfehle ich in größeren Zeitabständen seine Kennwörter – wenn auch nur geringfügig – zu ändern. Man möge mich hier altbacken nennen.

Passwörter sind immer schlecht

Ich hoffe, ich habe nicht allzu viel versprochen als ich sagte „Passwörter sind ein komplexes Thema“. Auf viele Dinge bin ich noch gar nicht eingegangen und die andere Seite der Passwortsicherheit – nämlich die Seite des Dienstleisters/Administrators – haben wir noch gar nicht beleuchtet. Den letzten und wichtigsten Punkt habe ich mir aber für den Schluss aufgehoben: Passwörter sind immer schlecht.
Ganz egal wie lang und komplex sie sind. Die Sicherung eines Kontos mit einem Passwort ist eine veraltete Methode, die nicht früh genug aus der Zeit fallen kann.

Verwendung einer Multi-Faktor-Authentifizierung

Wann immer es euch möglich ist, verwendet eine Multi-Faktor-Authentifizierung. Bei dieser Methode müsst ihr zusätzlich zu eurem sicheren Kennwort eine weitere Bestätigung erteilen, um Zugriff zu erhalten. Das kann mittels einer App auf eurem Handy, einem Code per SMS oder einer Bestätigung per E-Mail sein. Viele Dienste (etwa Onlinebanking) erzwingen eine solche Multi-Faktor-Authentifizierung, andere bieten es optional an. Schaltet solch eine Methode unbedingt ein, wann immer es möglich ist.