Hundertdreiundzwanzigtausendvierhundertsechsundfünfzig. Oder als Ziffer geschrieben: "123456". Diese sechs Zahlen landen jedes Jahr auf Platz eins der unsichersten Passwörter. Platz zwei ist mit "123456789" nur unwesentlich kreativer. Bei den Wörtern landet ein simples "hallo" auf dem Spitzenplatz. Rankings der hierzulande beliebtesten Passwörter offenbaren immer wieder: Die Deutschen haben in puncto Internetsicherheit noch viel Nachholbedarf.
In einigen Unternehmen etwa wird immer wieder zum alljährlichen Passwort-Wechsel aufgefordert. Doch wie sieht das perfekte Kennwort aus? Das National Institute of Standards and Technology (NIST) - eine US-amerikanische Behörde, die sich mit Technologiestandards beschäftigt -, räumt in einem Bericht mit einigen Mythen auf.
Mythos 1: Viele S0nderz3ichen!
Statt simpler Wörter sollte man lieber auf Sonderzeichen setzen - das raten Experten immer wieder. Dem NIST zufolge ist das aber ein Trugschluss. Für Menschen mag die Kombination aus Raute, Frage- und Ausrufezeichen komplex und dadurch vermeintlich sicher wirken. Für Hacker mit ihren Brute-Force-Methoden - dabei probieren Programme in kurzer Zeit alle möglichen Passwörter durch - macht das aber nahezu keinen Unterschied.
Zuerst testen die Hacker-Tools die häufigsten Passwörter wie "123456", anschließend werden Begriffe aus Wörterbüchern durchprobiert. Dann sind beliebte Kennwörter wie "Passwort" in verschiedenen Varianten an der Reihe, bei denen einzelne Buchstaben durch Sonderzeichen ersetzt werden - etwa "Pa$$wort" oder "P4ssw0rt". Das NIST rät Webseitenbetreibern deshalb, auf starre Vorgaben ("mindestens ein Großbuchstabe und ein Sonderzeichen") zu verzichten. Im Gegenzug sollten die Nutzer nicht nur Variationen der immer selben Passwörter nutzen.
Mythos 2: Die Länge ist nicht so wichtig
Das NIST rät: Statt komplizierter sollten Nutzer lieber möglichst lange Passwörter wählen. Nicht umsonst sind automatisch vergebene Passwörter häufig 12 bis 20 Zeichen lang. Um ein solch langes Kennwort zu knacken, benötigt ein handelsüblicher Rechner mehrere Jahre. Allgemein gilt: Je wichtiger der Dienst oder sensibler die Informationen (etwa bei Finanzangelegenheiten), desto länger sollte das Passwort sein. 12 bis 16 Zeichen sind ein guter Richtwert.
Mythos 3: Ein Passwort reicht für alle Dienste
Mittlerweile benötigen wir für fast jeden Online-Dienst eigene Zugangsdaten. Trotzdem sollte man für jeden einzelnen Service ein eigenes Passwort vergeben. Denn gelingt es Hackern, einen Dienst zu knacken und die Kennwörter zu erbeuten, können sich Kriminelle mit den Zugangsdaten auch auf vielen anderen Portalen einloggen oder ganze Online-Identitäten übernehmen.
Mythos 4: Häufiges Passwort-Wechseln erhöht Sicherheit
In vielen Unternehmen müssen die Nutzer regelmäßig ihre Kennwörter ändern. Das sei häufig kontraproduktiv, erklärt das NIST. Wenn regelmäßig das Kennwort geändert wird, neigen die Nutzer dazu, simple Passwörter zu vergeben, die sich leicht merken lassen. Die wiederum sind für Programme schneller zu knacken. Müssen komplexe Passwörter vergeben werden, könne man dagegen häufig beobachten, dass Nutzer ihre Kennwörter auf Zetteln aufschreiben - auch das ist kontraproduktiv.
Einzige Ausnahme: Wurde der Nutzer oder das Unternehmen Opfer einer Cyberattacke, muss das Kennwort unverzüglich geändert werden. Wer viele komplexe Passwörter verwalten muss, sollte einen Blick auf Passwort-Manager werfen. Die meisten gibt es auch als App fürs Smartphone.
Lesen Sie auch:
- Ebay Kleinanzeigen: Vor dieser Betrugsmasche warnt die Polizei
- Facebook und Google verfolgen uns überall: Man kann nicht einmal unbeobachtet Pornos schauen
- Hacker knackten Lidls Thermomix-Klon - und entdeckten ein verstecktes Mikrofon
- Google klaute jahrelang Songtexte - mit einem genialen Trick wurde die Seite überführt
