Kompliziert und möglichst lang: Das waren lange die wichtigsten Regeln für Passwörter. Doch nach den neuen Richtlinien des BSI gelten nun neue Regeln. Die wichtigste: Passwörter sollen vor allem einzigartig sein. Wir können und sollten also alle umdenken – und die eigenen Passwörter mal auf den Prüfstand stellen.
Geht es nach vielen Portalen und Arbeitgebern, können Passwörter gar nicht lang genug sein. Doch wer soll sich Passwörter wie „T0ta!Gehe1m_12$“ merken – und auch noch für jeden Onlinedienst ein anderes? In der Praxis kaum möglich, zumindest nicht ohne Hilfe wie einen Passwort-Manager.
Viele Menschen verzweifeln an so vielen Regeln – und erst recht an so vielen unterschiedlichen Passwörtern.
Passwörter auf einem Zettel notieren: Keine gute Idee
Beirat Digitaler Verbraucherschutz des BSI
Das ist auch der Grund, wieso der „Beirat Digitaler Verbraucherschutz“, der das „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) als unabhängiges Gremium bei der Wahrnehmung seiner Aufgaben im Digitalen Verbraucherschutz berät, nun unmissverständlich zu weniger komplexen Passwörtern rät. Denn dann besteht nicht mehr das Risiko, dass User ein zwar komplexes Passwort generieren, das aber aus Bequemlichkeit überall benutzen.
Mit den veröffentlichten Handlungsempfehlungen will das BSI sichere Passwörter quasi alltagstauglich machen. Denn was nutzen Regeln, die keiner befolgt. Denn nach Ansicht des Gremiums sind die bisherigen Regeln zu undurchsichtig: „Was ein Passwort sicher macht, ist für die Verbraucherinnen und Verbraucher aufgrund der großen Anzahl unterschiedlicher Ratgeber nicht immer klar erkenntlich“, heißt es in der für jeden öffentlich zugänglichen Richtlinie.
Neue Regeln für gute Passwörter
Das Passwort sollte lang und ausgefallen sein
In vielen Unternehmen wird heute zum Beispiel noch verlangt, dass Passwörter regelmäßig – etwa alle drei Monate – erneuert werden. Dadurch versprechen sich Betreiber einen höheren Schutz, weil ggf. verloren gegangene oder entwendete Passwörter dann nicht mehr funktionieren. Doch von einem turnusmäßigen Wechsel rät das BSI schon länger ab. Auch hier gilt: Lieber ein ausgefallenes, aber merkbares Passwort als ein kurzes, das sich regelmäßig ändert.
Das wichtigste Motto der neuen Empfehlungen aus dem BSI lautet daher: Lieber weniger komplex, dafür aber einmalig. Damit ist gemeint, dass User unbedingt für jeden Onlinedienst ein anderes Passwort wählen sollen. Das gelingt leichter, wenn die gewählten Passwörter nicht übertrieben komplex und kompliziert sind.
Wichtigste Regel: Jedes Passwort nur einmal nutzen
Um einigermaßen den Überblick zu bewahren, nutzen viele Menschen in vielen Onlinediensten dasselbe Passwort – ist einfacher zu merken. Aber auch unsicher. Denn fällt einem Hacker oder Betrüger, etwa durch einen Hack auf einen Server, ein Passwort in die Hände, lassen sich damit auch alle anderen Onlinedienste „knacken“. Es macht einen Unterschied, ob man nur den Kellerschlüssel verliert – oder einen Generalschlüssel, der viele Türen öffnet.
Die zweite Empfehlung überrascht: „Überkomplexe Passwörter und beständige Passwort-Erneuerung sind wenig zielführend“, so die Richtlinie. Zum ersten Mal kommt von offizieller Seite also der Rat, weniger komplexe Passwörter zu wählen. Denn: Ein Passwort kann zu kompliziert sein. Insbesondere Anforderungen an Passwörter mit langen, oft sinnlosen Zeichenfolgen sieht das BSI mittlerweile als kontraproduktiv an. Merken unmöglich.
Gute Passwörter sind zwar lang, aber trotzdem – irgendwie – gut zu merken. Etwa, indem man die ersten Buchstaben eines Satzes zusammensetzt: „eToEimAevT!“. Steht für „Ein Tag ohne Eiscrème ist möglich, aber ein verlorener Tag!“. Oder – man macht es sich nich einfacher und kombiniert Begriffe, die sinnlos sind, und die deshalb niemals zusammen beim Knacken ausprobiert würden: „SonnenBadenImMeer“.
CheckDeinPasswort: Praktischer Passwort-Checker
Test: Wie gut ist mein Passwort?
Ob ein Passwort leicht oder schwer zu knacken ist, lässt sich leicht herausfinden. Einfach das Passwort beim Onlinedienst CheckDeinPasswort eingeben, schon erscheint eine Einschätzung, wie lange Hacker zum Knacken dieses Passwortes brauchen würden. Für „SonnenBadenImMeer“ erstaunliche 471 Milliarden Jahre. Ein gutes Passwort also. Der Onlinedienst gibt aber auch praktische Tipps, wie ein gutes Passwort aussieht. Eine gute Möglichkeit, ein Gefühl für gute Passwörter zu bekommen.
