Warum ist „&%§$Qmgft@()=“ kein gutes Passwort?

Noch immer kümmern sich nur wenige Menschen um die IT-Sicherheit. Anstelle der Verwendung von Passwort-Managern wird versucht, sich die eigenen Login-Daten zu merken.  Seit Jahren halten sich viele Mythen über vermeintlich sichere Passwörter. Das Beispiel „&%§$Qmgft@()=“ gilt als unpassendes Passwort, da es zu komplex ist und gegebenenfalls irgendwo notiert oder hinterlegt werden muss.

Der Weisenrat für Cyber-Sicherheit emfpiehlt einen neuen Ansatz bei Passwortregeln, da komplexe Vorgaben beim Anlegen von Passwörtern mehr Risiken bergen als Sicherheit bringen sollen.

Im Jahresbericht der sechs rennomierten Professorinnen und Professoren aus dem Bereich Cybersicherheit wird verdeutlicht: „Es ist ein weitverbreiteter Irrglaube, dass strengere Richtlinien die Qualität der Passwörter steigern“. Der Weisenrat für Cybersicherheit in Deutschland setzt sich für eine Abkehr von komplizierten Vorgaben beim Anlegen von Passwörtern ein und erklärt, es gebe Situationen, in denen strengere Regeln die Qualität der gewählten Passwörter mitunter sogar verschlechterten.

Besonders wichtig: Passwörter nicht mehr mit einem Verfallsdatum zu versehen. Es soll viel gefährlicher sein, dasselbe Passwort für mehrere Dienste einzusetzen, als bei einem Dienst das Passwort nicht regelmäßig zu wechseln. Ein Wechsel ist nur dann empfehlenswert, wenn es hier deutliche Anzeichen einer Ausspähung oder Ähnlichem gibt.

Laut Smith hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinen jüngsten Richtlinien bereits keine Vorgaben mehr zum Passwortalter gemacht, was eine gute Entwicklung sei. Er forderte aber das BSI auf, den Behörden und Unternehmen einheitliche Vorgaben für die Passwort-Richtlinien zu machen und sich an den Empfehlungen des Open Web Application Security Projects (OWASP) und US-amerikanischen National Institute of Standards and Technology (NIST) zu orientieren.

Die Expertinnen und Experten setzen sich auch für einen neuen Umgang mit Verschlüsselungstechnologie ein. Laut Professor Claudia Eckert würden neue Entwicklungen im Bereich Quantencomputing dazu führen, dass bewährte Verschlüsselungsverfahren wie RSA unsicher würden. „Deshalb empfehlen wir für IT-Lösungen, die eine lange Lebenszeit haben können, dass verwendete Algorithmen ausgetauscht oder vorhandene Hardwarekomponenten neu programmiert werden können“. So könne man agil auf neue technische Herausforderungen reagieren. „Digitale Infrastrukturen in den vernetzten Städten müssten jederzeit verfügbar, verständlich und beherrschbar bleiben“, so Matthias Hollick, Professor für Sicherheit in Mobilen Netzen an der Technischen Universität Darmstadt. „Krisen wie Cyber-Angriffe, Naturereignisse, menschliches und technisches Versagen sowie Gewalt und Terror gefährden den verlässlichen Betrieb von IT-Systemen.“ Daher gilt es als notwendig, dass auch im Krisenfall und bei hohem Vernetzungsgrad der Betrieb kritischer Infrastrukturen garantiert werden kann.

6 Tipps für ein sicheres Passwort

☑ mehr unterschiedliche Phrasen und weniger Sonderzeichen verwenden

☑ Lange Passwörter: Minimum acht Zeichen, zwölf Zeichen erhöhen Sicherheit signifikant, 16 noch besser

☑ Passwörter nicht doppelt verwenden

☑ Keine regelmäßigen Passwortänderungen machen, außer bei echter Alarmierung

☑ Zwei Faktor-Authentifizierung, sodass für die Anmeldung Kennwort und eine weitere Eingabe (z.B. Code) nötig ist

☑ Passwort-Manager nutzen, der alle Anmeldeinformationen verwaltet und über mehrere Geräte hinweg synchronisiert