Experte verrät

Darum müsste ein Passwort keine Sonderzeichen und Großbuchstaben haben

Schloss liegt auf einer Tastatur
Alles ein Irrtum? Viele Tipps rund um das Passwort sind unnötig.
Foto: Getty Images

Täglich nutzen wir für die verschiedensten Dienste Passwörter. Länge, Sonderzeichen oder regelmäßiger Wechsel – TECHBOOK hat bei Experten nachgefragt, auf was es wirklich ankommt.

Passwörter schützen unsere Konten auf den unterschiedlichsten Portalen. Doch was macht ein gutes Passwort eigentlich aus? Die Länge? Möglichst viele Sonderzeichen? Alle paar Wochen ein Passwort-Wechsel? TECHBOOK hat mit dem Professor für Datenschutz und Compliance an der Universität der Bundeswehr in München, Arno Wacker, sowie mit Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gesprochen. Eins vorweg: Viele der gängigen Weisheiten für Passwörter sind überholt und für den Nutzer sinnlos.

So sinnvoll ist ein regelmäßiger Passwort-Wechsel

Es klingt eigentlich ganz logisch: Wer ein sicheres Passwort haben möchte, muss seine Passwörter in regelmäßigen Abständen ändern. So weit die gängige Theorie. Dies gelte in der Form jedoch nicht mehr. Die Regel hat ihren Ursprung in den alten Richtlinien des NIST (Nationalen Instituts für Standards und Technologie), der Umgang mit Passwörtern wurde jedoch von der US-Bundesbehörde 2017 geändert und die Forderung einer regelmäßigen Passwortänderung endgültig fallen gelassen. „Der Grund dafür ist, dass es zwischenzeitlich einige wissenschaftliche Studien gibt, die besagen, dass eine regelmäßige Änderung der Sicherheit eher schadet anstelle ihr zu nützen. Ein einfach nachvollziehbarer Grund ist die Psychologie des Nutzers: Wenn Nutzer nicht alle paar Monate ihr Passwort ändern müssen, neigen Sie deutlich weniger dazu schlechte/einfache Passörter zu wählen, d.h. sie halten sich eher daran, ein gutes und starkes Passwort zu generieren“, sagt IT-Sicherheitsexperte Arno Wacker gegenüber TECHBOOK.

ANZEIGE

Tolles Duo: Kabellose Tastatur und Maus


✔️ PrimeDay Countdown Deal
✔️ Günstig im Set
✔️ Kompatibel mit Windows und Chrome OS

Dennoch halte sich das Gerücht, Nutzer sollen ihre Passwörter stets verändern. Eine Ursache hierfür sieht Wacker in der Tatsache, dass das BSI in Deutschland diese Empfehlung, entgegen anderer Richtlinien, weiterhin gibt. „Das Passwort muss regelmäßig gewechselt werden, z. B. alle 90 Tage“, heißt es im IT-Grundschutz-Katalog des BSIs. Auf Nachfrage von TECHBOOK verneinte das BSI jedoch eine uneingeschränkte Empfehlung zur stetigen Änderung des Passworts. „Erfolgreiche Cyber-Angriffe werden nach Erfahrung des BSI im Schnitt erst nach über 200 Tagen entdeckt. Ein regelmäßiger Wechsel von Passwörtern kann daher sinnvoll sein, um gestohlene Passwörter für Cyber-Kriminelle unbrauchbar zu machen, auch wenn der Passwortdiebstahl bis dahin unbemerkt geblieben ist“, erklärt Tim Griese vom BSI. In jedem Fall sollten Nutzer ihr Passwort ändern, wenn es Anzeichen gibt, dass das Passwort kompromittiert sei. Hinweise dafür können unter anderem die Anzahl der fehlgeschlagenen Logins sowie das Datum des letzten Logins geben. Bei einer Passwort-Änderung sollte der Nutzer unbedingt darauf achten, dass er erneut ein starkes Passwort wählt. 

Ist ein Passwort aus mehreren Wörtern ratsam?

Ein Passwort bestehend aus unterschiedlichen Wörtern kann durchaus sinnvoll sein. „Eine Passphrase kann ebenfalls einen hohen Schutzwert bieten, darf allerdings nicht zu kurz sein“, rät Griese vom BSI. Die Länge entscheidet über die Qualität eines Passworts. Allerdings seien Passwörter aus zwei Wörtern nicht empfehlenswert, vor allem weil ein Passwort ab 20 Buchstaben als sicher gilt und zwei Wörter allein diese Länge vermutlich nicht erreichen können. „Aber der Ansatz ist richtig: Wenn man einen ganzen Satz, d.h. eine sogenannte Passphrase, verwendet, deren Gesamtlänge deutlich über 20 Zeichen liegt, so kann das heute als sicher angesehen werden“, begründet Arno Wacker.

Bei der Verwendung von zwei Wörtern mit insgesamt 10 Buchstaben entspricht die Passwortstärke etwa 47 Bit. Oder anders ausgedrückt: Ein Computer bräuchte 140.737.488.355.328 Versuche, um das Passwort durch eine Brute-Force-Attacke, bei der jede möglich Buchstabenkombination durchgegangen wird, herauszufinden. Dies sei zwar für einen Einzelrechner bereits eine Herausforderung, jedoch nicht für große Rechnerverbunde. Bei drei Wörtern mit 16 Buchstaben sei es mit circa 71 Bit schon deutlich besser, aber auch noch nicht im sicheren Bereich. Mit vier Wörtern mit insgesamt 20 Buchstaben erreichen Nutzer eine Stärke von 95 Bit, was heute als sicher bezeichnet werde, während man mit sechs Worten bereits weit jenseits der empfohlenen kryptographischen Stärke vom NIST ankommen würde. Nur um es verständlich auszudrücken: Bei einer Passphrase mit 20 Buchstaben braucht ein Computer oder Computernetzwerk ganze 39.614.081.257.132.168.796.771.975.168 Versuche, um das Passwort zu finden – selbst wenn es nur aus Kleinbuchstaben besteht!

ANZEIGE

Unterwegs Laden dank Kfz Ladegerät


✔️ Zwei Quick Charge 3.0 USB-Anschlüsse
✔️ Universelle Kompatibilität
✔️ Absicherung gegen Überhitzung & Kurzschluss

Reicht ein starkes Passwort für sämtliche Dienste?

Egal, wie stark ein Passwort ist, trotzdem sollten Nutzer immer verschiedene Passwörter wählen – und niemals nur eins für alle Konten verwenden. Bei Daten-Leaks werden Passwortdatenbanken von Dienstanbietern gestohlen. Anschließend muss das Passwort des Nutzers gar nicht mehr geknackt werden. „Wird dieses Passwort, und sei es noch so stark, für andere Accounts genutzt, stehen einem Angreifer auch diese Accounts offen. Deshalb ist es wichtig, für unterschiedliche Accounts unterschiedliche Passwörter zu verwenden“, sagt Tim Griese vom BSI zu TECHBOOK. Auch wisse der Nutzer nie, wie gut der genutzte Dienst mit dem Passwort umgehe. „Im schlechtesten Fall speichert der Dienst das Passwort im Klartext (z.B. recht aktuell, so geschehen bei Facebook)“,  sagt Wacker. Die Passwortstärke wäre bei einem solchen Angriff völlig egal.

Das bewirken Sonderzeichen

Und auch diesen Ratschlag hören Nutzer in Bezug auf Passwörter immer wieder: Sonderzeichen machen ein Passwort sicherer. Aber stimmt das? Oftmals haben Nutzer nicht einmal die Wahl, sie werden dazu aufgefordert, ein Passwort mit Sonderzeichen zu nutzen. „Sonderzeichen erweitern das Spektrum der genutzten Zeichen und machen es dadurch für Angreifer schwieriger, das Passwort zu knacken. Ein sehr langes Passwort ohne Sonderzeichen (Passphrase), erschwert es einen Angreifer jedoch ebenso bzw. je nach Länge der Passphrase sogar deutlich mehr als bei einem einfachen Passwort. Daher kommt es eher auf die Länge des gewählten Passworts an als auf die Nutzung von Sonderzeichen“, sagt Tim Griese vom BSI.

So vergessen Sie bald nie mehr Ihre Passwörter

Es kommt auf die Länge an

Ein Passwort kann gar nicht lang genug sein. „Hier kann man pauschal sagen, je länger desto besser – die Länge spielt bei der Sicherheit des Passworts die größte Rolle“, erklärt Experte Arno Wacker. Je nach Dienst gibt es bestimmte Regeln für die Länge. Ein Online-Passwort sollte mehr als zehn Zeichen besitzen, ein WLAN-Passwort etwa mehr als 20 Zeichen aufweisen. Mathematisch betrachtet, so Wacker, gilt ein Passwort ab einer Länge von zwölf Zeichen als gut, bietet entsprechend ausreichend Sicherheit. Ausgehend von den Richtlinien von NIST seien allerdings Passwörter ab 20 Zeichen erst wirklich sicher.

Das perfekte Passwort

Doch was ist abgesehen von der Länge noch entscheidend? „Unter einem ‚guten‘ Passwort versteht man ein Passwort, welches keinem Muster folgt, d.h. vollständig zufällig ist und für jedes Zeichen ein Zeichen aus einem Zeichenvorrat von 100 Zeichen gewählt wird“, sagt Wacker. Sich jeweils ein gutes und vor allem langes Passwort für die unterschiedlichsten Dienste zu merken, klingt nach einer echten Herausforderung. Aber keine Sorge, ein Elefantengedächtnis ist nicht nötig, ein Passwortmanager verspricht Hilfe. „Das ist eine Software, die die Passwörter des Nutzers sicher verschlüsselt in einer Datei ablegt. Der Zugriff darauf ist gesichert durch ein starkes Masterpasswort und potentiell einem zweiten Faktor“, sagt Wacker. Da in dieser Software alle Passwörter gespeichert werden, müsse an dieser Stelle ganz besonders auf Sicherheit geachtet werden. Daher muss die Software open-source sein, ein gutes Beispiel hierfür sei KeePassXC, rät Wacker.

Haben Nutzer das Passwort vergessen, können sie die Sicherheitsfrage nutzen, um Zugriff auf ihr entsprechendes Konto zu erhalten. Aber: „Die Sicherheitsfrage ist eine sehr schlechte Idee und wurde daher ebenfalls aus den aktuellen Richtlinien des NIST gestrichen bzw. sogar explizit gefordert, dass es sie nicht mehr gibt. Es ist vollkommen richtig – Angreifer (Hacker) können die Sicherheitsfrage, insofern sie auf Informationen basiert, die irgendwie verfügbar sind oder erraten werden können, auch beantworten und damit das stärkste Passwort umgehen“, weiß Arno Wacker. Muss eine Sicherheitsfrage gesetzt werden, sollten Nutzer sie nach denselben Kriterien wie ein Passwort wählen.

Themen