Hundertdreiundzwanzigtausendvierhundertsechsundfünfzig. Oder als Ziffer geschrieben: „123456“. Diese sechs Zahlen landen jedes Jahr auf Platz eins der unsichersten Passwörter. Platz zwei ist mit „123456789“ nur unwesentlich kreativer. Bei den Wörtern landet ein simples „hallo“ auf dem Spitzenplatz. Das Ranking der hierzulande beliebtesten Passwörter offenbart unmissverständlich: Die Deutschen haben in puncto Internetsicherheit noch viel Nachholbedarf.
Derzeit wird in einigen Unternehmen wieder zum alljährlichen Passwort-Wechsel aufgefordert. Doch wie sieht das perfekte Kennwort aus? Das National Institute of Standards and Technology (NIST) – eine US-amerikanische Behörde, die sich mit Technologiestandards beschäftigt -, hat im vergangenen Jahr aktualisierte Vorgaben für sichere Passwörter herausgegeben. Die Vorgaben richten sich vor allem an öffentliche Einrichtungen, gelten aber genauso für Privatpersonen. In ihrem Bericht räumen die Experten mit einigen Mythen auf.
Mythos 1: Viele S0nderz3ichen!
Statt simpler Wörter sollte man lieber auf Sonderzeichen setzen – das raten Experten immer wieder. Dem NIST zufolge ist das aber ein Trugschluss. Für Menschen mag die Kombination aus Raute, Frage- und Ausrufezeichen komplex und dadurch vermeintlich sicher wirken. Für Hacker mit ihren Brute-Force-Methoden – dabei probieren Programme in kurzer Zeit alle möglichen Passwörter durch – macht das aber nahezu keinen Unterschied.Interview mit einem Hacker
Zuerst testen die Hacker-Tools die häufigsten Passwörter wie „123456“, anschließend werden Begriffe aus Wörterbüchern durchprobiert. Dann sind beliebte Kennwörter wie „Passwort“ in verschiedenen Varianten an der Reihe, bei denen einzelne Buchstaben durch Sonderzeichen ersetzt werden – etwa „Pa$$wort“ oder „P4ssw0rt“. Das NIST rät Webseitenbetreibern deshalb, auf starre Vorgaben („mindestens ein Großbuchstabe und ein Sonderzeichen“) zu verzichten. Im Gegenzug sollten die Nutzer nicht nur Variationen der immer selben Passwörter nutzen.
Mythos 2: Die Länge ist nicht so wichtig
Das NIST rät: Statt komplizierter sollten Nutzer lieber möglichst lange Passwörter wählen. Nicht umsonst sind automatisch vergebene Passwörter häufig 12 bis 20 Zeichen lang. Um ein solch langes Kennwort zu knacken, benötigt ein handelsüblicher Rechner mehrere Jahre. Allgemein gilt: Je wichtiger der Dienst oder sensibler die Informationen (etwa bei Finanzangelegenheiten), desto länger sollte das Passwort sein. 12 bis 16 Zeichen sind ein guter Richtwert.
Mythos 3: Ein Passwort reicht für alle Dienste
Mittlerweile benötigen wir für fast jeden Online-Dienst eigene Zugangsdaten. Trotzdem sollte man für jeden einzelnen Service ein eigenes Passwort vergeben. Denn gelingt es Hackern, einen Dienst zu knacken und die Kennwörter zu erbeuten, können sich Kriminelle mit den Zugangsdaten auch auf vielen anderen Portalen einloggen oder ganze Online-Identitäten übernehmen.
Anfang Juli gab das Bundeskriminalamt bekannt, dass es einen riesigen Datensatz von 500 Millionen E-Mails samt der dazugehörigen Passwörter im Netz entdeckt hat. Der Großteil der Zugangsdaten wurde vermutlich bei verschiedenen Hackerangriffen erbeutet und über einen längeren Zeitraum zusammengetragen. Um herauszufinden, ob auch Ihre Daten erbeutet wurden, tragen Sie einfach die jeweilige E-Mail-Adresse in dieses Tool ein.
Mythos 4: Häufiges Passwort-Wechseln erhöht Sicherheit
In vielen Unternehmen müssen die Nutzer regelmäßig ihre Kennwörter ändern. Das sei häufig kontraproduktiv, erklärt das NIST. Wenn regelmäßig das Kennwort geändert wird, neigen die Nutzer dazu, simple Passwörter zu vergeben, die sich leicht merken lassen. Die wiederum sind für Programme schneller zu knacken. Müssen komplexe Passwörter vergeben werden, könne man dagegen häufig beobachten, dass Nutzer ihre Kennwörter auf Zetteln aufschreiben – auch das ist kontraproduktiv.
Einzige Ausnahme: Wurde der Nutzer oder das Unternehmen Opfer einer Cyberattacke, muss das Kennwort unverzüglich geändert werden. Wer viele komplexe Passwörter verwalten muss, sollte einen Blick auf Passwort-Manager werfen. Die meisten gibt es auch als App fürs Smartphone.Life Hacks Handy schneller laden 19.15