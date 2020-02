Buchstaben, Zahlen, Groß- und Kleinschreibung und natürlich Sonderzeichen - ein sicheres Passwort ist immer wieder eine Herausforderung. Vor allem, wenn man es wie in vielen Betrieben im regelmäßigen Abstand wechseln muss. Doch damit dürfte bald für viele Nutzer Schluss sein.

Vor allem Unternehmen folgen bei ihren Passwort-Regeln oft den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Und die wurden gerade an einer entscheidenden Stelle geändert: Zum ersten Mal strich die Behörde die Empfehlung, Passwörter routiniert neu zu vergeben - und schwenkt zum Gegenteil um. "Reine zeitgesteuerte Wechsel sollten vermieden werden", heißt es nun. Stattdessen sollen die Nutzer die Zugangsdaten nur dann wechseln, wenn sie befürchten, dass es durch Fremdzugriff korrumpiert ist.

Debatte um Routine-Wechsel

In der Branche wird der Sinn des ständigen Passwortwechsels schon länger in Frage gestellt. Zwar nutzen viele immer noch den "Change your password day" am zweiten Februar, um die Zugangsdaten mal wieder aufzufrischen, der Nutzen ist aber umstritten. Die US-Behörde NIST empfahl als erstes, sich den Wechsel zu sparen. Die einfache Logik: Wenn die Nutzer ständig gezwungen werden, ihre Passwörter zu ändern und dann auch noch überall ein eigenes verwenden sollen, reagieren sie oft mit Trotz - und benutzen erst recht ein einfaches Kennwort für alle Zugänge.

Leicht macht es das BSI Firmen aber immer noch nicht. Passwörter dürfen weiterhin nicht mehrfach verwendet werden, müssen im Geheimen eingegeben und nur dem Account-Nutzer bekannt sein. Man darf sie nur dann aufschreiben, wenn man sie für den Notfall hinterlegt - und dann auch entsprechend sichert. Und: Tauchen sie auf Listen beliebter Passwörter auf, sind sie ohnehin Tabu. Welche Passwörter im letzten Jahr besonders beliebt waren, erfahren Sie hier.

Die Länge macht's

In Bezug auf das Passwort selbst sind die neuen BSI-Regeln deutlich weniger streng, als man das von vielen Vorgaben kennt. Das Passwort solle stark genug sein, heißt es da schlicht. Es solle aber in seiner Komplexität nicht die Nutzer überfordern, "damit der Benutzer in der Lage ist, das Passwort mit vertretbarem Aufwand regelmäßig zu verwenden."

Sicherheit: Hauptsache k0mPliz1ert: Auf diese Passwort-Mythen fallen wir alle herein Fullscreen

Damit folgt die Behörde einem Trend in der Sicherheits-Branche. Der oben genannte Zwang zu Sonderzeichen, Groß- und Kleinschreibung und Zahlen gilt mittlerweile als überholt. Um Sicherheit zu garantieren, muss ein Passwort in erster Linie schwer zu knacken, also ausreichend komplex sein. Mit Sonderzeichen und Co. lässt sich die Komplexität zwar erhöhen, die Länge ist aber viel entscheidender. Ein langer Sinnlos-Satz wie "Bananen Klavier bastelt Schneepflug" ist sicherer als das kurze "!Xra1". Und: Menschen können sich die Sätze auch leichter merken. Allgemeine Tipps zu einem sicheren Passwort und Aufklärung über gängige Mythen finden Sie hier.

Wenn man den Empfehlungen des BSI nachkommt, wird man trotzdem irgendwann an seine Grenzen stoßen. Der einfache Grund: Nutzt man wirklich für jeden Dienst und Account ein eigenes Passwort, wird es irgendwann schlicht unmöglich, sich alle zu merken. Dann empfiehlt auch die Behörde, einen Passwort-Manager zu erwägen. Welche gut sind und wie man sie am besten einrichtet, hat gerade Stiftung Warentest geprüft.

Quelle: BSI (via Heise.de)