HOME

Sicherheit: Revolution beim BSI: Die lästigste Passwort-Regel wird abgeschafft

Jeder kennt die nervige Meldung, wenn mal wieder ein routinemäßiger Passwort-Wechsel ansteht. Dank einer neuen Empfehlung des BSI dürfte das bald ein Ende haben. Wir verraten, wie Ihre Passwörter trotzdem sicher sind.

Locky Erpressungs-Trojaner Ransomware

Sich ein sicheres Passwort auszudenken, ist gar nicht so einfach

Buchstaben, Zahlen, Groß- und Kleinschreibung und natürlich Sonderzeichen - ein sicheres Passwort ist immer wieder eine Herausforderung. Vor allem, wenn man es wie in vielen Betrieben im regelmäßigen Abstand wechseln muss. Doch damit dürfte bald für viele Nutzer Schluss sein.

Vor allem Unternehmen folgen bei ihren Passwort-Regeln oft den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Und die wurden gerade an einer entscheidenden Stelle geändert: Zum ersten Mal strich die Behörde die Empfehlung, Passwörter routiniert neu zu vergeben - und schwenkt zum Gegenteil um. "Reine zeitgesteuerte Wechsel sollten vermieden werden", heißt es nun. Stattdessen sollen die Nutzer die Zugangsdaten nur dann wechseln, wenn sie befürchten, dass es durch Fremdzugriff korrumpiert ist.

Jedes iPhone bietet versteckte Features, die entdeckt werden wollen.

Debatte um Routine-Wechsel

In der Branche wird der Sinn des ständigen Passwortwechsels schon länger in Frage gestellt. Zwar nutzen viele immer noch den "Change your password day" am zweiten Februar, um die Zugangsdaten mal wieder aufzufrischen, der Nutzen ist aber umstritten. Die US-Behörde NIST empfahl als erstes, sich den Wechsel zu sparen. Die einfache Logik: Wenn die Nutzer ständig gezwungen werden, ihre Passwörter zu ändern und dann auch noch überall ein eigenes verwenden sollen, reagieren sie oft mit Trotz - und benutzen erst recht ein einfaches Kennwort für alle Zugänge.

Leicht macht es das BSI Firmen aber immer noch nicht. Passwörter dürfen weiterhin nicht mehrfach verwendet werden, müssen im Geheimen eingegeben und nur dem Account-Nutzer bekannt sein. Man darf sie nur dann aufschreiben, wenn man sie für den Notfall hinterlegt - und dann auch entsprechend sichert. Und: Tauchen sie auf Listen beliebter Passwörter auf, sind sie ohnehin Tabu. Welche Passwörter im letzten Jahr besonders beliebt waren, erfahren Sie hier.

Die Länge macht's

In Bezug auf das Passwort selbst sind die neuen BSI-Regeln deutlich weniger streng, als man das von vielen Vorgaben kennt. Das Passwort solle stark genug sein, heißt es da schlicht. Es solle aber in seiner Komplexität nicht die Nutzer überfordern, "damit der Benutzer in der Lage ist, das Passwort mit vertretbarem Aufwand regelmäßig zu verwenden."

Sicherheit: Hauptsache k0mPliz1ert: Auf diese Passwort-Mythen fallen wir alle herein
Für meine Passwörter interessiert sich doch niemand  Bei Hackern denkt man oft an staatliche Großangriffe. Dabei sind die meisten einfache Kriminelle. Auch Arno Wacker warnt: "Jedes Passwort ist von Interesse. Es geht nicht darum wie interessant jemand ist, sondern was ein Krimineller mit dem Passwort alles tun kann." Sei es, das Konto zu plündern, auf Kosten des Opfers zu shoppen oder schlicht Spam zu versenden. Im Zweifel werden die Daten einfach verkauft.

Für meine Passwörter interessiert sich doch niemand

Bei Hackern denkt man oft an staatliche Großangriffe. Dabei sind die meisten einfache Kriminelle. Auch Arno Wacker warnt: "Jedes Passwort ist von Interesse. Es geht nicht darum wie interessant jemand ist, sondern was ein Krimineller mit dem Passwort alles tun kann." Sei es, das Konto zu plündern, auf Kosten des Opfers zu shoppen oder schlicht Spam zu versenden. Im Zweifel werden die Daten einfach verkauft.

Getty Images

Damit folgt die Behörde einem Trend in der Sicherheits-Branche. Der oben genannte Zwang zu Sonderzeichen, Groß- und Kleinschreibung und Zahlen gilt mittlerweile als überholt. Um Sicherheit zu garantieren, muss ein Passwort in erster Linie schwer zu knacken, also  ausreichend komplex sein. Mit Sonderzeichen und Co. lässt sich die Komplexität zwar erhöhen, die Länge ist aber viel entscheidender. Ein langer Sinnlos-Satz wie "Bananen Klavier bastelt Schneepflug" ist sicherer als das kurze "!Xra1". Und: Menschen können sich die Sätze auch leichter merken. Allgemeine Tipps zu einem sicheren Passwort und Aufklärung über gängige Mythen finden Sie hier.

Wenn man den Empfehlungen des BSI nachkommt, wird man trotzdem irgendwann an seine Grenzen stoßen. Der einfache Grund: Nutzt man wirklich für jeden Dienst und Account ein eigenes Passwort, wird es irgendwann schlicht unmöglich, sich alle zu merken. Dann empfiehlt auch die Behörde, einen Passwort-Manager zu erwägen. Welche gut sind und wie man sie am besten einrichtet, hat gerade Stiftung Warentest geprüft.

Quelle: BSI (via Heise.de)

Themen in diesem Artikel