HOME

Darum raten Experten davon ab, regelmäßig das Passwort zu wechseln

Viele Sonderzeichen, am besten alle drei Monate wechseln - es kursieren viele Halbwahrheiten über den Umgang mit sicheren Passwörtern. Eine US-Behörde hat nun neue Richtlinien herausgegeben. Die räumen mit einigen Mythen auf.

Hacker

Beim Passwort sollte man einiges beachten.

Hundertdreiundzwanzigtausendvierhundertsechsundfünfzig. Oder als Ziffer geschrieben: "123456". Diese sechs Zahlen landen jedes Jahr auf Platz eins der unsichersten . Platz zwei ist mit "123456789" nur unwesentlich kreativer. Bei den Wörtern landet ein simples "hallo" auf dem Spitzenplatz. Das Ranking der hierzulande beliebtesten Passwörter offenbart unmissverständlich: Die Deutschen haben in puncto Internetsicherheit noch viel Nachholbedarf.

Doch wie sieht das perfekte Kennwort aus? Das National Institute of Standards and Technology (NIST) - eine US-amerikanische Behörde, die sich mit Technologiestandards beschäftigt -, hat Ende Juni aktualisierte Vorgaben für sichere Passwörter herausgegeben. Die Vorgaben richten sich vor allem an öffentliche Einrichtungen, gelten aber genauso für Privatpersonen. In ihrem Bericht räumen die Experten mit einigen Mythen auf.

Mythos 1: Viele S0nderz3ichen!

Statt simpler Wörter sollte man lieber auf Sonderzeichen setzen - das raten Experten immer wieder. Dem NIST zufolge ist das aber ein Trugschluss. Für Menschen mag die Kombination aus Raute, Frage- und Ausrufezeichen komplex und dadurch vermeintlich sicher wirken. Für Hacker mit ihren Brute-Force-Methoden - dabei probieren Programme in kurzer Zeit alle möglichen Passwörter durch - macht das aber nahezu keinen Unterschied.

Zuerst testen die Hacker-Tools die häufigsten Passwörter wie "123456", anschließend werden Begriffe aus Wörterbüchern durchprobiert. Dann sind beliebte Kennwörter wie "Passwort" in verschiedenen Varianten an der Reihe, bei denen einzelne Buchstaben durch Sonderzeichen ersetzt werden - etwa "Pa$$wort" oder "P4ssw0rt". Das NIST rät Webseitenbetreibern deshalb, auf starre Vorgaben ("mindestens ein Großbuchstabe und ein Sonderzeichen") zu verzichten. Im Gegenzug sollten die Nutzer nicht nur Variationen der immer selben Passwörter nutzen.

Mythos 2: Die Länge ist nicht so wichtig

Das NIST rät: Statt komplizierter sollten Nutzer lieber möglichst lange Passwörter wählen. Nicht umsonst sind automatisch vergebene Passwörter häufig 12 bis 20 Zeichen lang. Um ein solch langes Kennwort zu knacken, benötigt ein handelsüblicher Rechner mehrere Jahre. Allgemein gilt: Je wichtiger der Dienst oder sensibler die Informationen (etwa bei Finanzangelegenheiten), desto länger sollte das Passwort sein. 12 bis 16 Zeichen sind ein guter Richtwert.

Mythos 3: Ein Passwort reicht für alle Dienste

Mittlerweile benötigen wir für fast jeden Online-Dienst eigene Zugangsdaten. Trotzdem sollte man für jeden einzelnen Service ein eigenes Passwort vergeben. Denn gelingt es Hackern, einen Dienst zu knacken und die Kennwörter zu erbeuten, können sich Kriminelle mit den Zugangsdaten auch auf vielen anderen Portalen einloggen oder ganze Online-Identitäten übernehmen.

Anfang Juli gab das Bundeskriminalamt bekannt, dass es einen riesigen Datensatz von 500 Millionen E-Mails samt der dazugehörigen Passwörter im Netz entdeckt hat. Der Großteil der Zugangsdaten wurde vermutlich bei verschiedenen Hackerangriffen erbeutet und über einen längeren Zeitraum zusammengetragen. Um herauszufinden, ob auch Ihre Daten erbeutet wurden, tragen Sie einfach die jeweilige E-Mail-Adresse in dieses Tool ein.

Mythos 4: Häufiges Passwort-Wechseln erhöht Sicherheit

In vielen Unternehmen müssen die Nutzer regelmäßig ihre Kennwörter ändern. Das sei häufig kontraproduktiv, erklärt das NIST. Wenn regelmäßig das Kennwort geändert wird, neigen die Nutzer dazu, simple Passwörter zu vergeben, die sich leicht merken lassen. Die wiederum sind für Programme schneller zu knacken. Müssen komplexe Passwörter vergeben werden, könne man dagegen häufig beobachten, dass Nutzer ihre Kennwörter auf Zetteln aufschreiben - auch das ist kontraproduktiv.

Einzige Ausnahme: Wurde der Nutzer oder das Unternehmen Opfer einer Cyberattacke, muss das Kennwort unverzüglich geändert werden. Wer viele komplexe Passwörter verwalten muss, sollte einen Blick auf Passwort-Manager werfen. Die meisten gibt es auch als App fürs Smartphone.

Weitere Themen

Stern Logo Das könnte Sie auch interessieren

Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.

Partner-Tools