Was ist ein sicheres Passwort?

Aus meiner Sicht ist es sinnvoller, zu fragen, wie ein unsicheres Passwort aussieht, da ansonsten etwas utopisches avisiert wird: Absolute Sicherheit. Tatsächlich gibt es einige Faktoren, die unsichere Passwörter ausmachen bzw. Unsicherheitsfaktoren darstellen:

  • Passwortlänge: Je kürzer ein Passwort ist, umso unsicherer ist es schon alleine, weil Brute-Force-Angriffe umso leichter werden. Das BSI rät zu jedenfalls 8 Zeichen bei Internet-Passwörtern, während bei Geräten wie WLAN-Routern zu jedenfalls 20 Zeichen geraten wird.
  • Zeichen: Nutzen Sie jedenfalls Buchstaben sowohl gross- wie kleingeschrieben, wenigstens ein Sonderzeichen (Ausrufezeichen, Fragezeichen, Klammeraffe) und wenigstens eine Ziffer.
  • Keine allgemeinen Bezeichnungen: Verwenden Sie keine allgemeinen Begriffe die man in einem Duden findet, keine Zeichen- oder Zahlenketten die eingängig sind und auch keines der bekannten unsicheren Passwörter. Verwenden Sie all dies auch nicht “nur” als Bestandteil Ihres Passworts, vor allem nicht, in dem Sie dann einfach ein simples Sonderzeichen dran hängen.
  • Keine persönlichen Bezeichnungen: Vermeiden Sie persönliche Daten wie Geburtsdaten von Familienmitgliedern, Hochzeitsdatum, Vornamen, Nachnamen, Hausnummern, Postleitzahlen etc. Verwenden Sie all auch hier all dies nicht “nur” als Bestandteil Ihres Passworts, vor allem nicht, in dem Sie dann einfach ein simples Sonderzeichen dran hängen.
  • Passwort-Manager verwenden: Mit einer allgemeinen Empfehlung diesbezüglich tue ich mich schwer. Zentral in einem Passwortmanager alle Passwörter zu sichern ermöglicht hochkomplexe Passwörter, schafft aber eine zentrale Angriffsstelle. Hier kann man Kritik üben, man muss es aber nicht. Dabei sollte man auch wissen, dass die Stiftung Warentest im Jahr 2017 bei einem Test von Passwort-Managern ebenfalls teilweise Kritikpunkte gefunden hatte.
  • Kein unverschlüsseltes Speichern: Wenn Sie sich Passwörter notieren, tun Sie dies nicht unverschlüsselt. Also nicht am Schreibtisch unter der Auflage “versteckt”, nicht im Notizbuch, nicht in einer unverschlüsselten Text-Datei oder Cloud-Notiz.
  • Passwort regelmäßig ändern: Aus meiner Sicht vollkommen überholt ist der Ratschlag, das Passwort regelmäßig zwingend zu ändern. Berechtigt ist hier die Kritik dahin gehend, dass gerade der Zwang regelmässig ggfs. kurzfristig zu wechseln dazu führt, erst recht einfache Passwörter zu verwenden.

Dazu auch von mir: Vorsorge zur Vermeidung eines Hacker-Angriffs

Quelle: NCSC,  Contains public sector information licensed under the Open Government Licence v3.0., http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

Ansonsten gilt für mich: Mitdenken ist angesagt. Bei der Süddeutschen Zeitung gab es Mitte 2017 einen Artikel Zum Thema “unsichere Passwörter” der mit Mythen aufräumen wollte, aber aus meiner Sicht weitere Bauchschmerzen verursacht: So wird beispielsweise gesagt, die Empfehlung Sonderzeichen zu verwenden sei überholt, als Beispiel wird angeführt, was Nutzer daraus machen:

Das NIST empfiehlt Seitenbetreibern deshalb, auf allzu komplizierte Vorgaben zu verzichten. So sollen Passwörter nicht mehr einen Großbuchstaben und zwei verschiedene Sonderzeichen enthalten müssen. Die Nutzer, argumentiert das NIST, variierten sonst nur ihre Standard-Chiffre: Aus “Passwort” werde “Pa$$w0rt1!!” – eine Variation, die Algorithmen leicht erraten können. Besser sei es, weniger Sonderzeichen und dafür unterschiedliche Sätze als Grundlage zu nutzen.

SZ Artikel online, 16. Juli 2017, 19:01 Uhr – Sicherheitstipps

Das ist natürlich ein lustiges Beispiel, aber nicht dafür, wie unnötig Sonderzeichen sind, sondern wie dämlich User sein können. Die Zahl der Kombinationen zu verringern weil man einfache Varianten wählen kann ist ein Denkfehler, der sich zeigt, wenn man auf die Alternative blickt: Lange Sätze sollen nämlich die Lösung sein. Hier aber kann man auch tolle Konstruktionen wie “DasIstMeinPasswort” verwenden. Am Ende läuft es immer darauf hinaus, dass der individuelle Nutzer das hauptsächliche Risiko ist. Von mir verbleibt es dabei, dass es sinnvoll ist Sonderzeichen zu nutzen. Entgegenstehende Meinungen wird es sicher wie Sand am Meer geben.