Sicheres Passwort – schwer nicht besser

Sprechblase mit Sonderzeichen und Fluchsymbolen (Totenkopf und Blitz neben #&$?)

Gerade haben wir uns das Passwort k#o&7/%f-+~x45 gemerkt, da verlangt das Netzwerk seine dreimonatliche Erneuerung.

Wir wissen natürlich, dass ein Passwort sicher sein muss. Möglichst kryptisch, mit Sonderzeichen und so weiter… Wir wissen das so gut, wie wir über den Nutzen von Zahnseide, dem Händewaschen vor jeder Mahlzeit und… Jajaja.

Deshalb ist dann auch niemand wirklich überrascht, dass die Software PC-Wahl leicht zu hacken war, weil ein zentrales Passwort z.B. ‚test‘ lautete. Andere waren „sicherheitshalber“ in der Dokumentation veröffentlicht.

Alle Ermahnungen sind so erfolgreich wie unser Gedächtnis für Passwörtern

Für alle, die – aufgeschreckt durch die jüngsten Hacks – Besserung gelobt haben, hier noch einmal die Standardregeln für sichere Passwörter:

  • Mindestens 8 Zeichen
  • Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen (&%$!)
  • Keine Namen, kein ‚test‘, kein ‚geheim‘ – überhaupt nichts, was als Wort im Lexikon oder Duden steht
  • keine Tastenreihenfolgen wie qwertzui oder 67890ß
  • test# oder geheim? macht es auch nicht besser

Noch mehr Informationen dazu gibt das Bundesministerium für Sicherheit und Informationstechnik.

Das ändert aber nichts daran, dass sich niemand einen sicheren Zeichenmüll merken kann.

Alle Passwort-Regeln nützen nichts, wenn sie nicht praktikabel sind

Tatsächlich führen die Zwangswechsel, wie sie in großen Unternehmen immer noch üblich sind, vermehrt dazu, dass sich die Nutzer das Passwort per PostIt an den Bildschirm heften. Das schützt ja wenigstens vor Hackern aus dem Netz (außer, wenn sie bereits über die Webcam in den Raum spähen).

Nahezu albern ist die eigentlich totgeglaubte Methode der frühen Netzjahre: Eine Sicherheitsfrage soll helfen, wenn man das Passwort vergessen hat. Ein großer Telekommunikationsanbieter hat dieses Verfahren gerade wieder eingeführt. Falls ich mich dann aber nicht mehr erinnern kann, was mein erstes Auto war oder wie mein liebstes Haustier hieß? Vielleicht weiß meine Exfau das aber – hilfreich, wenn sie mein Konto sabotieren will.

Letztlich geht es bei allen Passwörtern darum, einen hohen Aufwand zu erzeugen, um automatisierte Hacks zu vermeiden. Im Zweifel sind Wörter mit 20 ’normalen‘ Zeichen besser als eines mit sieben unmerkbaren Sonderzeichen.

Und das beste Passwort nützt nichts, wenn es mehrfach verwendet wird. Denn wird ein Konto gehackt, wird das enttarnte Passwort auch bei anderen Accounts ausprobiert. So lästig es ist – niemals das selbe Passwort bei mehreren Webseiten, Programmen etc. verwenden.

Manche Experten raten daher inzwischen auch eher zu merkbaren Kunstbegriffen, zum Beispiel zusammengesetzten Wörtern, die es so nicht gibt, wie HühnerBootsMütze oder einem Merksatz, der dann auch Passwörter klassischer Verkryptung ermöglicht: „Mein 5 Jahre alter Hamster ist 7 Wochen tot“ wird zu M5JaHi7W+

Gerade weil der Satz so unsinnig ist, aber aus realen Begriffen besteht wird er zu einer schnell verinnerlichten Eselsbrücke, der Code tippt sich dann ganz leicht.

Dumm, wenn das Betriebssystem im nächsten Quartal trotzdem ein neues Passwort will – oder die Website zur „Sicherheit“ auch noch wissen will, wie der Hamster hieß.