Nach wie vor wird für die Authentifizierung bei Online-Diensten oder den Zugriff auf Ressourcen und Daten im lokalen Netz ein Passwort verwendet. Zwar gibt es allgemein akzeptierte Grundregeln, wie ein sicheres Passwort aussehen sollte, doch in einigen Punkten gibt es auch Meinungsunterschiede, so etwa im Hinblick auf erzwungene Passwortwechsel.
Die Flut der Passwörter stellt die meisten Menschen vor einige Probleme, denn wirklich sicher sind Passwörter nach allgemeiner Meinung nur dann, wenn sie bestimmten Mindestanforderungen genügen und dadurch eben nicht einfach zu behalten sind. So sollten Passwörter beispielsweise ausreichend lang und aus einer möglichst zufälligen Zeichenfolge bestehen. Einfache Ziffernfolgen, Namen oder Begriffe, die auch in Wörterbücher stehen, sollten dagegen in jedem Fall vermieden werden.
Erzwungene Passwortwechsel führen zu neuen Risiken
Als Schutz vor zu einfachen Passwörtern machen viele T-Administratoren daher zum einen bestimme Vorgaben (etwa zu Mindestlänge und der Nutzung von Sonderzeichen, Ziffern und Buchstaben) und erzwingen zum anderen auch einen regemäßigen Wechsel des Passworts in relativ kurzen Abständen.
Gerade vor dieser Pflichtänderungspraxis warnen jetzt allerdings die Sicherheitsexperten der britischen Communications Electronics Security Group , und weisen darauf hin, dass sich die Nutzer in diesen Fällen die Passwörter
- entweder notieren,
- sie auch für andere Zwecke verwenden
- und sie bei den erzwungenen Änderungen häufig auch nur minimal variieren.
Dies könnten Angreifer ausnutzen und die Passwörter dann doch relativ einfach knacken. Zudem verursachten die Passwortwechsel oft auch erhöhte Support-Kosten, weil dadurch Passwörter öfter vergessen würden und zurückgesetzt werden müssten.
Meldungen zu unberechtigten Login-Versuchen weitergeben
Als Alternative zu den erzwungenen Passwortwechseln empfehlen die Experten daher eine Protokollierung erfolgloser Login-Versuche, über die auch die jeweiligen Kontobesitzer informiert werden sollte, um somit unberechtigte Zugriffe schneller zu erkennen.
Allgemeine Passwort-Empfehlungen
Die zunehmenden Probleme mit den vielen Passwörtern waren auch Gegenstand einer Umfrage des Branchenverbands Bitkom, die diese Risiken durch zu leichte oder mehrfach verwendete Passwörter bestätigte. Als Ausweg aus der Passwort-Misere empfiehlt der Branchenverband folgende Maßnahmen:
- Verwenden Sie unbedingt für jeden Dienst ein eigenes Passwort, alternativ ein einheitliches Grundpasswort, das aber in jedem Fall zusätzlich immer individualisiert werden muss.
- Vermeiden Sie einfache Zeichenfolgen und Begriffe aus Wörterbüchern. Verwenden Sie zufällige Folgen von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen.
- Die Passwörter sollten eine Mindestlänge haben, je länger sie sind, desto besser. Als absolutes Minimum gelten 8 Zeichen.
Verwenden Sie Merksätze bzw. Eselsbrücken, über die Sie sich ein ausreichend sicheres Passwort generieren können. Beispielsweise nehmen Sie von einem gut zu merkenden Satz die Anfangsbuchstaben der einzelnen Wörter und Satzzeichen und ergänzen oder tauschen einzelne Buchstaben durch Ziffern aus.
- Optional können Sie auch Passwort-Manager verwenden, bei denen die einzelnen Passwörter verschlüsselt abgelegt werden und Sie nur noch ein Master-Passwort benötigen. Allerdings sollte dies Master-Passwort unbedingt besonders sicher sein, außerdem müssen Sie hier den Anbietern vertrauen, dass die Daten tatsächlich auch vor Zugriffen geschützt sind. Zudem haben Sie auf alle Dienste keinen Zugriff mehr, wenn Sie das Master-Passwort vergessen.