3. Dezember 2022, 14:01 Uhr | Lesezeit: 8 Minuten
Täglich nutzen wir für die verschiedensten Dienste Passwörter. Manche Online-Dienste verlangen sogar bei der Passwort-Erstellung technische Vorgaben, wonach Zeichen vorkommen müssen. Länge, Sonderzeichen oder regelmäßiger Wechsel – TECHBOOK hat bei Experten nachgefragt, auf was es wirklich ankommt.
Passwörter schützen unsere Konten auf den unterschiedlichsten Portalen. Doch was macht ein gutes Passwort eigentlich aus? Die Länge? Möglichst viele Sonderzeichen? Alle paar Wochen ein Passwort-Wechsel? TECHBOOK hat mit Arno Wacker, Professor für Datenschutz und Compliance an der Universität der Bundeswehr in München, sowie mit Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gesprochen. Eins vorweg: Viele der gängigen Weisheiten für ein sicheres Passwort sind überholt und für den Nutzer sinnlos.
Übersicht
So sicher ist ein regelmäßiger Passwort-Wechsel
Es klingt eigentlich ganz logisch: Wer ein sicheres Passwort haben möchte, muss seine Passwörter in regelmäßigen Abständen ändern. So weit die gängige Theorie. Dies gilt jedoch laut IT-Sicherheitsexperte Arno Wacker in der Form jedoch nicht mehr. Die Regel hat ihren Ursprung in den alten Richtlinien des Nationalen Instituts für Standards und Technologie (NIST), der Umgang mit Passwörtern wurde jedoch von der US-Bundesbehörde 2017 geändert und die Forderung einer regelmäßigen Passwortänderung endgültig fallen gelassen. „Der Grund dafür ist, dass es zwischenzeitlich einige wissenschaftliche Studien gibt, die besagen, dass eine regelmäßige Änderung der Sicherheit eher schadet anstelle ihr zu nützen. Ein einfach nachvollziehbarer Grund ist die Psychologie des Nutzers: Wenn Nutzer nicht alle paar Monate ihr Passwort ändern müssen, neigen Sie deutlich weniger dazu, schlechte oder einfache Passwörter zu wählen, d.h. sie halten sich eher daran, ein gutes und starkes Passwort zu generieren“, sagt Wacker zu TECHBOOK.
Dennoch halte sich das Gerücht, Nutzer sollten ihre Passwörter stets verändern. Auf Nachfrage von TECHBOOK verneinte das BSI jedoch eine uneingeschränkte Empfehlung zur stetigen Änderung des Passworts. „Erfolgreiche Cyber-Angriffe werden nach Erfahrung des BSI im Schnitt erst nach über 200 Tagen entdeckt. Ein regelmäßiger Wechsel von Passwörtern kann daher sinnvoll sein, um gestohlene Passwörter für Cyber-Kriminelle unbrauchbar zu machen, auch wenn der Passwortdiebstahl bis dahin unbemerkt geblieben ist“, erklärt Tim Griese vom BSI. In jedem Fall sollten Nutzer ihr Passwort ändern, wenn es Anzeichen gibt, dass das Passwort kompromittiert sein könnte. Hinweise dafür können unter anderem die Anzahl der fehlgeschlagenen Logins sowie das Datum des letzten Logins geben. Bei einer Passwort-Änderung sollte der Nutzer unbedingt darauf achten, dass er erneut ein starkes Passwort wählt.
Lesen Sie auch: Die sichersten Passwort-Manager für Smartphone und Browser
Besteht ein sicheres Passwort aus mehreren Wörtern?
Ein Passwort bestehend aus unterschiedlichen Wörtern kann durchaus sinnvoll sein. „Eine Passphrase kann ebenfalls einen hohen Schutzwert bieten, darf allerdings nicht zu kurz sein“, rät Griese vom BSI. Die Länge entscheidet über die Qualität eines Passworts. Allerdings seien Passwörter aus zwei Wörtern nicht empfehlenswert, vor allem weil ein Passwort ab 20 Buchstaben als sicher gilt und zwei Wörter allein diese Länge vermutlich nicht erreichen können. „Aber der Ansatz ist richtig: Wenn man einen ganzen Satz, d.h. eine sogenannte Passphrase, verwendet, deren Gesamtlänge deutlich über 20 Zeichen liegt, so kann das heute als sicher angesehen werden“, begründet Arno Wacker.
Bei der Verwendung von zwei Wörtern mit insgesamt 10 Buchstaben entspricht die Passwortstärke etwa 47 Bit. Oder anders ausgedrückt: Ein Computer braucht ca. 140.737.488.355.328 Versuche, um das Passwort durch eine Brute-Force-Attacke zu knacken. Dabei versucht der Angreifer jede mögliche Buchstabenkombination durchzugehen, das benötigt aber Zeit. Dies sei zwar für einen Einzelrechner bereits eine Herausforderung, jedoch nicht für große Rechnerverbunde. Bei drei Wörtern mit 16 Buchstaben sei es mit circa 71 Bit schon deutlich besser, aber auch noch nicht im sicheren Bereich. Mit vier Wörtern mit insgesamt 20 Buchstaben erreichen Nutzer eine Stärke von 95 Bit. Dies gilt als relativ sicher. Mit einem Passwort aus sechs Worten ist bereits eine kryptografische Stärke erreicht. Nur um es verständlich auszudrücken: Bei einer Passphrase mit 20 Buchstaben braucht ein Computer oder Computernetzwerk ganze 39.614.081.257.132.168.796.771.975.168 Versuche, um das Passwort zu finden – selbst wenn es nur aus Kleinbuchstaben besteht! Eine unvorstellbar hohe Zahl an Versuchen.
Lesen Sie auch: Wie Google mit seinen „Passkeys“ Passwörter ersetzen will
Reicht ein starkes Passwort für sämtliche Dienste?
Egal, wie stark ein Passwort ist, trotzdem sollten Nutzer immer verschiedene Passwörter wählen – und niemals nur eins für alle Konten verwenden. Bei Daten-Leaks werden Passwortdatenbanken von Dienstanbietern gestohlen. Anschließend muss das Passwort des Nutzers gar nicht mehr geknackt werden. „Wird dieses Passwort, und sei es noch so stark, für andere Accounts genutzt, stehen einem Angreifer auch diese Accounts offen. Deshalb ist es wichtig, für unterschiedliche Accounts unterschiedliche Passwörter zu verwenden“, sagt Tim Griese vom BSI zu TECHBOOK. Auch wisse der Nutzer nie, wie gut der genutzte Dienst mit dem Passwort umgehe. „Im schlechtesten Fall speichert der Dienst das Passwort im Klartext (so geschehen bei Facebook)“, sagt Wacker. Die Passwortstärke wäre bei einem solchen Angriff völlig egal.
Das bewirken Sonderzeichen
Und auch diesen Ratschlag hören Nutzer in Bezug auf Passwörter immer wieder: Sonderzeichen machen ein Passwort sicherer. Aber stimmt das? Oftmals haben Nutzer nicht einmal die Wahl. Online-Dienste fordern vermehrt ein Passwort mit Sonderzeichen oder mehreren Zeichenarten. „Sonderzeichen erweitern das Spektrum der genutzten Zeichen und machen es dadurch für Angreifer schwieriger, das Passwort zu knacken. Ein sehr langes Passwort ohne Sonderzeichen (Passphrase), erschwert es einem Angreifer den Zugriff jedoch ebenso. Je nach Länge der Passphrase sogar deutlich mehr als bei einem einfachen Passwort. Daher kommt es eher auf die Länge des gewählten Passworts an als auf die Nutzung von Sonderzeichen“, sagt Tim Griese vom BSI.
Lesen Sie auch: Diese Passwörter können Betrüger in einer Sekunde knacken!
So viele Zeichen und Zeichenarten benötigt ein sicheres Passwort
Ein Passwort kann gar nicht lang genug sein. „Hier kann man pauschal sagen: je länger, desto besser – die Länge spielt bei der Sicherheit des Passworts die größte Rolle“, erklärt Experte Arno Wacker. Je nach Dienst gibt es bestimmte Regeln für die Länge. Ein Online-Passwort sollte mehr als zehn Zeichen besitzen, ein WLAN-Passwort etwa mehr als 20 Zeichen aufweisen. Mathematisch betrachtet, so Wacker, gilt ein Passwort ab einer Länge von zwölf Zeichen als gut, bietet entsprechend ausreichende Sicherheit. Ausgehend von den Richtlinien von NIST seien allerdings Passwörter ab 20 Zeichen erst wirklich sicher.
Bei der Wahl eines sicheren Passwortes kommt somit immer auf zwei Merkmale an – Länge und Komplexität des Passwortes. Wer mehrere Zeichenarten wie Kleinbuchstaben, Sonderzeichen und Großbuchstaben nutzt, erhöht damit die Komplexität des Passwortes. Das lässt sich aber schlechter merken. Deshalb hilft folgende Übersicht bei der Auswahl des richtigen Passwortes.
- Wer sich nur ein auf ein Passwort aus Groß- und Kleinbuchstaben verlassen möchte, sollte eine Passwortlänge zwischen 20 und 25 Zeichen wählen. Damit wären zwei Zeichenarten abgedeckt. Um sich alle Wörter zu merken, bieten sich eine Folge von Wörtern oder eine Passphrase an.
- Wer vier Zeichenarten nutzt, kann das Passwort auf 8-12 Zeichen verkürzen. Es ist dann aber sehr komplex und schwerer zu merken, wenn es aus Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen besteht.
- Zudem gilt ein Passwort mit 8 Zeichen als sicher, wenn mindestens drei Zeichenarten und eine Mehr-Faktor-Authentifizierung genutzt werden. Dies kann zum Beispiel durch ein Einmal-Passwort geschehen, welches zusätzlich in einer App generiert wird.
Schutz vor Hackern So sieht das perfekte Passwort aus
Sicher im Netz So sicher sind die Passwörter der Deutschen
Persönliche Daten schützen Mit diesem Trick sind Sie Passwortdieben einen Schritt voraus
Das perfekte Passwort
Doch was ist abgesehen von der Länge noch entscheidend? „Unter einem ‚guten‘ Passwort versteht man ein Passwort, welches keinem Muster folgt, d.h. vollständig zufällig ist und für jedes Zeichen ein Zeichen aus einem Zeichenvorrat von 100 Zeichen gewählt wird“, sagt Wacker. Sich jeweils ein gutes und vor allem langes Passwort für die unterschiedlichsten Dienste zu merken, klingt nach einer echten Herausforderung. Aber keine Sorge, ein Elefantengedächtnis ist nicht nötig, ein Passwortmanager verspricht Hilfe. „Das ist eine Software, die die Passwörter des Nutzers sicher verschlüsselt in einer Datei ablegt. Der Zugriff darauf ist gesichert durch ein starkes Masterpasswort und potenziell einem zweiten Faktor“, sagt Wacker. Da sich in dieser Software alle Passwörter befinden, ist bei der Auswahl besonders auf Sicherheitsaspekte zu achten. Daher muss die Software open-source sein, ein gutes Beispiel hierfür sei KeePassXC, rät Wacker.
Die Sicherheitsfrage kommt dann zum Einsatz, wenn der Nutzer das Passwort vergessen hat und trotzdem Zugriff auf das entsprechende Konto erhalten will. Aber: „Die Sicherheitsfrage ist eine sehr schlechte Idee und wurde daher ebenfalls aus den aktuellen Richtlinien des NIST gestrichen bzw. sogar explizit gefordert, dass es sie nicht mehr gibt. Es ist vollkommen richtig – Angreifer (Hacker) können die Sicherheitsfrage, insofern sie auf Informationen basiert, die irgendwie verfügbar sind oder erraten werden können, auch beantworten und damit das stärkste Passwort umgehen“, weiß Arno Wacker. Verlangt der Online-Dienst eine Sicherheitsfrage, sollten die Nutzer dieselben Kriterien berücksichtigen wie bei einem sicheren Passwort.
Quelle:
- BSI, aufgerufen am 21.11.22.