Es ist k0Mpliz1rT: Wenn es nach Passwort-Richtlinien bei zahlreichen Unternehmen, Behörden oder Webseiten geht, können Passwörter gar nicht komplex oder lang genug sein und sollten quasi ständig gewechselt werden. Nach den neuen Richtlinien des Bundesamt für Sicherheit in der Informationstechnik (BSI) sind diese Ansprüche nicht mehr haltbar.
Mit den gerade veröffentlichten Handlungsempfehlungen will das BSI sichere Passwörter endlich alltagstauglich machen. Das scheitert nach Ansicht der Experten vor allem daran, dass Normalbürger unsicher sind, was es wirklich zu beachten gilt. "Was ein Passwort sicher macht, ist für die Verbraucherinnen und Verbraucher aufgrund der großen Anzahl unterschiedlicher Ratgeber nicht immer klar erkenntlich", heißt es in der Richtlinie.
Sichere Passwörter: Endlich klarere Regeln
Das "erste Gebot" für die Sicherheit von Passwörtern ist nun die Einzigartigkeit: Um der Überforderung der unzähligen Passwörter Herr zu werden, nutzen viele Menschen dasselbe Passwort für alles – und öffnen so Hacks Tür und Tor. Ist ein Account kompromittiert, können Angreifer auch alle anderen übernehmen. Dass Passwörter nur jeweils einmal benutzt werden, sieht das BSI daher als wichtigste Empfehlung.
Die zweite empfohlene Praxis überrascht. "Überkomplexe Passwörter und beständige Passwort-Erneuerung sind wenig zielführend", heißt es in der Richtlinie. Während die Empfehlung, Passwörter regelmäßig neu setzen zu müssen, bereits vor einigen Jahren gekippt wurde, ist der Punkt zur Komplexität neu. Das klare Statement: Ein Passwort kann zu kompliziert sein. Vor allem Anforderungen mit langen, sinnlosen Zeichenfolgen sieht das BSI als kontraproduktiv an: Man könne sie sich schlicht nicht mehr merken. Und die Verbraucher:innen würden daher lieber Passwörter mehrfach benutzen – und damit gegen das wichtigste Gebot verstoßen.
Hauptsache k0mPliz1ert: Auf diese Passwort-Mythen fallen wir alle herein
Bei Hackern denkt man oft an staatliche Großangriffe. Dabei sind die meisten einfache Kriminelle. Auch Arno Wacker warnt: "Jedes Passwort ist von Interesse. Es geht nicht darum wie interessant jemand ist, sondern was ein Krimineller mit dem Passwort alles tun kann." Sei es, das Konto zu plündern, auf Kosten des Opfers zu shoppen oder schlicht Spam zu versenden. Im Zweifel werden die Daten einfach verkauft.
Praktische Passwort-Tipps
Stattdessen solle man lieber auf lange, aber weniger komplexe Passwörter setzen, so der Rat der Experten. Etwa, indem man mehrere bestehende Worte ohne Zusammenhang zu einer langen Neuschöpfung zusammensetzt. Auf diese Art sei das Passwort gut merkbar, für einen Angreifer aber schwer zu knacken. Ein Beispiel wäre eine Konstruktion wie GartenPizza-Kugelschreiber, für die man sich eine Eselsbrücke bauen kann, die andererseits wegen der Länge und der Nutzung von Groß- und Kleinschreibung und Sonderzeichen für Programme schwer zu erraten ist.
Zu guter Letzt empfiehlt das BSI noch, sämtliche Dienste, die es unterstützen, zusätzlich über die sogenannte Zwei-Faktor-Authentifizierung abzusichern. Das sorgt dafür, dass beim Einloggen in ein neues Gerät selbst bei korrektem Passwort eine zweite Bestätigung wie ein per SMS oder Generator erstellter Code benötigt wird. So sind Accounts selbst dann geschützt, wenn ein Passwort ausgespäht oder anderweitig gestohlen wird.
Rücksicht auf die Alltagsnutzung
Mit den neuen Richtlinien geht der Beirat klar auf den tatsächlichen Umgang der Verbraucher:innen ein. Die würden im Alltag auf die gefühlt zu hohen Hürden bei Passwörtern reagieren, indem sie sie noch unsicherer machen, heißt es in dem Bericht. So würden Passwörter nicht nur wiederbenutzt, sondern auch zu oft nach denselben, leicht zu erratenden Schemen erstellt, in Varianten wiederverwendet oder an unsicheren Orten aufgeschrieben, um sie im Alltag beherrschbar zu machen.
Die oft empfohlenen Passwort-Managern seien für viele Nutzer:innen trotzdem keine Lösung. Viele Menschen fänden sie zu komplex, würden ihnen nicht trauen und wären unsicher, ob sie die Passwörter im Notfall auch wieder nutzen könnten, so das BSI. Deshalb empfehle man die Programme zwar grundsätzlich weiterhin. In Organisationen solle aber auch die Möglichkeit kommuniziert werden, Passwörter auch auf Papier notieret aufzubewahren – solange diese dann sicher aufbewahrt werden.
Wie stark der Effekt der neuen Empfehlungen ausfällt, wird sich zeigen müssen. Die Richtlinie zum ständigen Wechseln des Passwortes gilt etwa seit einigen Jahren als überholt, weil sie in der Praxis dazu führt, dass zu einfache Passwörter genutzt werden, um sie sich weiter merken zu können. Auch das BSI empfiehlt daher bereits seit einigen Jahren, auf den erzwungenen Passwort-Erneuerung zu verzichten und Passwörter nur dann zu wechseln, wenn sie unsicher sind oder der Verdacht einer Kompromittierung besteht. Im Alltag ist das aber noch längst nicht überall angekommen: Zahlreiche Firmen, Behörden und Dienste verlangen auch Jahre später noch einen regelmäßigen Passwortwechsel. Die Anforderung zu hochkomplexen Passwörtern dürfte also noch eine Weile erhalten bleiben.
Quelle:BSI
