Passwörter sind seit ewigen Zeiten ein beliebtes Streitthema in der Informationssicherheit. Der einzige Zweck von Passwörtern ist die Schutz vor unauthorisiertem Zugriff. Gelangt ein Angreifer in den Besitz eines Passwortes, ist der Schutz nicht mehr gewährleistet. Die „Password Guidance“ des National Cyber Security Center (NCSC) listet die gängigsten Angriffstechniken zur Erlangung eines Passwortes auf. Neben dem Abfangen des Passwortes während des Anmeldeprozesses aufgrund fehlender Übertragungsverschlüsselung, dem Mitschneiden der Eingabe durch einen Keylogger, ist vor allem das „Erraten“ des Passwortes durch den Angreifer ein großes Problem.
Während man sich gegen die ersten zwei Möglichkeiten mithilfe technischer Maßnahmen schützen kann, ist das beim „Erraten“ nur schwer möglich. Hiergegen hilft jedoch die Wahl eines sicheren Passwortes. Doch was ist nach heutigem Stand ein sicheres Passwort? Wie lang muss es sein? Wie viele Sonderzeichen soll es enthalten? Sollte das Passwort regelmäßig gewechselt werden?
Das National Insitute of Standards and Technology (NIST) gibt mit seiner „Digital Identity Guideline (800-63B)“ ebenso wie das NCSC mit seiner „Password Guidance“ einige gute Tipps und Anregungen, die sowohl für Privatpersonen als auch für Unternehmen hilfreich sind.
Je länger desto besser
Allgemein wird in den oben genannten Dokumenten festgestellt, dass die Passwortlänge der Hauptfaktor in Bezug auf die Passwortsicherheit ist. Je länger ein Passwort ist, desto sicherer ist es, denn mit jedem weiteren Zeichen erhöht sich die Anzahl der Kombinationsmöglichkeiten exponentiell. Generell wird eine Länge von mindestens 8 Zeichen empfohlen. Im Unternehmenskontext kann dies jedoch teilweise nicht mehr ausreichen. Unter bestimmten Umständen können hier 8-Zeichen-Passwörter auf einem im freien Handel verfügbaren System innerhalb von wenigen Stunden geknackt werden.
Komplexität zählt, aber ohne Regeln
Ebenso wie die Länge, hat auch die Komplexität Einfluss auf die Sicherheit eines Passwortes. Allerdings sollte man hier auf klassische Regeln zur Passwortkomplexität, wie sie beispielsweise in Unternehmen eingesetzt werden, verzichten. Viele Studien zeigen auf, dass Menschen auf solche Regeln sehr vorhersagbar reagieren. Klassische Regeln die Groß- und Kleinschreibung, Zahlen und Sonderzeichen verlagen, führen oft zu wie „Sommer1!“. Statt dieser Regeln sollte stattdessen überpüft werden, ob das gewählte Passwort bereits in einem Data-Breach aufgetaucht ist, aus einem einzelnen Wort besteht oder typische Muster (z.B. qwertz, asdfg, 1234) enthält. Das NIST vertritt die Meinung, dass – sofern möglich – auch Unicode-Zeichen verwendet werden können. In Zukunft könnten also Passwörter wie „JfNoP?a!78F❄️“ durchaus an der Tagesordnung sein.
Passphrasen sind gut
Ein langes Passwort (> 20 Zeichen), das zufällig (nicht von einem Menschen) generiert wurde und alle möglichen Zeichen enthält (also Buchstaben, Zahlen und Emojis) ist sehr sicher, aber kaum zu merken. Als Alternative bieten sich Passphrasen an. Hierbei werden ganze Sätze als Passwort verwendet. Ganze Sätze haben den Vorteil, dass sie eine gewisse Länge haben, ausreichend komplex sind und vor allem leicht zu merken sind. „Der erste Kaffee am Morgen ist besser als jedes Passwort ☕.“ ist definitiv leichter zu merken als „KO&7<i%Z{‚:p[/Lsy> 7TqV.l“.
Kein regelmäßiges Ändern erzwingen
In Unternehmen ist es oft Standard, dass die Passwörter halbjährlich oder vierteljährlich geändert werden müssen. Der Gedanke hierbei ist, einem Ausnutzen eines gestohlenen Passwortes zuvor zukommen. Allerdings hat auch diese Praxis, ähnlich der Komplexitätsregeln, oft einen negativen Effekt auf die Passwortsicherheit. Sich alle 3 – 6 Monate ein neues sicheres Passwort zu merken ist schwer und dadurch werden die Passwörter vorhersagbar. Ein vierteljährlicher Wechsel führt oft zu Passwörtern wie „Fühling2019!“ oder „Winter18@“ (also Jahreszeit + Jahr + Sonderzeichen). Zudem werden gestohlene Passwörter oft schon kurz nach dem Diebstahl von Angreifern eingesetzt, sodass ein regelmäßiges Ändern zu spät kommt. Sowohl das NIST auch das NCSC empfehlen Passwörter nur im Fall einer Kompromittierung, also beispielsweise ungewöhnliche Accountaktivitäten oder Ähnliches, zu ändern.
Password Manager sind gut
Auch wenn man sich mit Passphrasen über Wasser hält, ist es sehr schwierig, sich für jeden Account eine eigene Passphrase auszudenken und zu merken. Die beste Methode, um der Masse an Passwörtern Herr zu werden, sind Password Manager. Diese ermöglichen die automatische Generierung und Speicherung von sicheren, zufälligen und langen Passwörtern. Man muss sich lediglich ein sicheres Master-Passwort merken, mit dem die anderen Passwörter sicher verschlüsselt abgespeichert werden. Dieses Master-Passwort kann auch gerne eine sichere Passphrase sein, damit es leicht zu merken ist.
Kontrolle ist gut, Zwei-Faktor ist besser
Neben der herkömmlichen Anmeldung mittels Nutzername und Passwort bieten viele Dienste (Twitter, Facebook, Google, Microsoft, …) mittlerweile die Verwendung eines zweiten Faktors an. Für eine erfolgreiche Anmeldung muss hier zusätzlich ein weiterer Faktor, in der Regel ein mehrstelliger generierter Code, eingegeben werden. Dadurch kann sich ein Angreifer selbst mit Besitz des Passwortes nicht anmelden, da er keinen Zugriff auf den zweiten Faktor hat.