Passwort-Richtlinien auf dem Prüfstand


Am 07. Mai ist World Password Day – wieder einer dieser vielen Aktionstage, die keiner braucht? Sicher nicht! Denn jedes Jahr aufs Neue werden wir an die kleinen Alltagsverstöße wie die Mehrfachverwendung von Passwörtern erinnert. Es herrscht Uneinigkeit über die jährlich neu erscheinenden oder recycelten Passwort-Regeln und Nutzer sind verwirrt: „Sollte ich meine Passwörter mal wieder austauschen, ein paar mehr Sonderzeichen vielleicht und was gilt denn nun eigentlich?“ Wir kämpfen uns für Sie durch den Regel-Dschungel und klären auf.


Passwort regelmäßig austauschen – ja oder nein?

Erst rieten Experten dazu, die eigenen Passwörter regelmäßig zu wechseln. Dann hieß es vom BSI, dies nur zu tun, wenn das Passwort in falsche Hände geraten sei. Aber warum diese Uneinigkeit? Mit theoretischen Regeln muss man vorsichtig sein, ob sie letzten Endes auch praktikabel umsetzbar sind. Denn jedes Passwort regelmäßig auszutauschen ist für den normalen Endanwender ziemlich aufwendig. Tut er dies dennoch, tendiert er dazu, neue schwächere Passwörter zu vergeben oder sie nur leicht à la „Passwort1“ abzuändern. Deshalb kam das BSI zum Schluss, eher von dieser Regel abzuraten, da einmal gesetzte komplexe Passwörter sicherer sind als immer wieder neue, bei denen die Komplexität stetig sinkt.

Der richtige Tipp wäre aber eigentlich: Passwörter austauschen? Ja! Neue Passwörter selbst definieren? Auf keinen Fall: Password Management Systeme sind hier extra mit Funktionen wie Password Reset and Synchronisation ausgestattet. In Password Safe werden automatisch nach frei definierbaren Zeiträumen sichere Passwörter an Endanwendungen neu gesetzt. Doppelt sicher: Das neue Passwort kann auf einen unbekannten Wert zurückgesetzt werden! Denn in diesem Falle gilt: „Nur, was man nicht kennt, kann man auch schützen.“

Komplex und lang – was gilt hier noch?

Länge und Komplexität gehen Hand in Hand miteinander. Denn ein gutes Passwort kann „kurz und komplex“, aber auch „lang und einfach“ sein, wie das BSI richtig feststellt und ein Minimum von 8 Zeichen in Abhängigkeit von der Zeichenart empfiehlt. Die Krux bei einer Mindestanzahl aber ist: Wenn jeder sich an diese Richtlinie hält und diese Länge genau trifft oder nur minimal überschreitet, ist sie ein Indiz für Hacker, das ihnen die Entschlüsselung erleichtert. Nehmen Sie Passwortregeln also immer als das, was sie sind: Mindestvorgaben mit Luft nach oben. Gönnen Sie sich ein paar Zeichen mehr. Das schadet nicht und bedeutet auch keinerlei Aufwand, da Sie ja sowieso einen Password Generator verwenden (sollten) …

Sonderzeichen, Zahlen & Co.? Logo – aber nur unlogisch!

Können Sie diesen Vornamen lesen: „N8d1A“? Herzlichen Glückwunsch, Ihr Hacker auch! Die Regel, mindestens jeweils 2 Sonderzeichen, 2 Zahlen und 2 Großbuchstaben zu verwenden, gibt Sinn. Aber dann bitte richtig! Denn das Ersetzen von Buchstaben durch ähnlich aussehende Ziffern wird von Computern schon längst durchschaut. Verwenden Sie also definitiv Zeichen und Ziffern. Diese dürfen nur nicht erwartbar sein, sondern müssen zufällig gesetzt werden. Klingt anstrengend? Ist es auch. Der Kompromiss zwischen Sicherheit und Anwendbarkeit lautet auch hier wieder, dringend einen Password Manager zu nutzen, der die Arbeit für Sie erledigt. So sind „%&/)(§%“ keine Grenzen gesetzt und Sie können sich entspannt zurücklehnen, wenn die Passwort-Richtlinien im nächsten Jahr wieder verschärft werden.

Schlussendlich lässt sich sagen: Alle Passwortregeln müssen im Ganzen betrachtet werden. Es nützt nichts, wenn eine Regel befolgt und die andere außer Acht gelassen wird. Denn effektiver Passwort-Schutz funktioniert nur im Gesamtpaket!