Je komplexer ein Passwort, desto besser? Falsch! Der ,,Beirat Digitaler Verbraucherschutz’’ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) positioniert sich deutlich: Sichere Passwörter müssen weder extrem kompliziert noch elendig lang sein.

Nutzer benötigen zu viel Zeit für komplexe Passwörter

Eine Untersuchung des Beirats hatte zuletzt gezeigt, dass Nutzer zu viel Zeit für die Generierung von Passwörtern nach den bisherigen Vorgaben benötigen. Die Notwendigkeit, sich eine Vielzahl an Passwörtern zu merken, wirkt zudem dem eigentlichen Zweck entgegen. Durch die Komplexität der bisherigen Vorgaben  werden nämlich erst recht zu einfach gestrickte Passwörter verwendet oder hoch komplexe Passwörter gleich für verschiedene Accounts genutzt.

Vor dem Hintergrund dieser Erkenntnisse entwickelte der Beirat neue Handlungsempfehlungen für die allgemeine Passwortsicherheit:

  1. Jedes Passwort soll einzigartig sein und nur für ein einziges Konto verwendet werden.
  2. Überkomplexe Passwörter und ständige Passworterneuerungen sollen vermieden werden.
  3. Es sollen lieber Passwörter verwendet werden, die aus mehreren Worten bestehen und sich trotzdem gut merken lassen.
  4. Konten sollten, falls möglich, über eine 2-Faktor-Authentifizierung abgesichert werden.

Die Vorschläge im Einzelnen:

Das wichtigste Gebot bei der Erstellung eines Passwortes ist die Einzigartigkeit. Für die höchstmögliche Sicherheit sollte jedem Account ein anderes Passwort zugewiesen werden. Laut BSI birgt die Nutzung desselben Passwortes für mehrere Accounts eine große Gefahr: Sobald Angreifer nur ein einziges Passwort herausgefunden haben, können sie gleich mehrere Konten übernehmen. Das Mantra lautet also: Für jedes Konto ein eigenes Passwort!

Mehrere, nicht zusammenhängende Wörter verwenden

BSI mit neuen Vorschlägen zum Passwortschutz.
So aufwendig und unnötig es ist, überkomplexe Passwörter zu generieren, so sehr sollte man zu einfache unbedingt vermeiden! (Bild-Credit: Canva)

Das Erstellen von überkomplexen, langen Passwörtern mit einer Folge beliebiger Zeichen ist auch keine gute Lösung. Es sei wesentlich zielführender, Passwörter zu verwenden, die aus mehreren, nicht zusammenhängenden Wörtern zusammengesetzt sind, erklären die Verbraucherschützer beim BSI. Beispielsweise ist das Passwort ,,MeineElefantenAufDerTerasse’’ viel eher zu empfehlen als „D@spAs$woRThiER!$Ts1chER“. Ein herkömmlicher PC würde laut einem Test bei checkdeinpasswort.de rund 68 Quadrilliarden Jahre brauchen, um das Elefanten-Passwort zu knacken.

Auch von einer ständigen Erneuerung der Passwörter rät der BSI-Beirat deutlich ab. Es sei längst nicht mehr nötig, sich in bestimmten Zeitabständen immer wieder ein neues Passwort auszudenken. Dies gilt auch für die Nutzung von Konten in Unternehmen. Stattdessen sollte für jedes Konto jeweils ein gutes Passwort nach den genannten Empfehlungen erstellt werden, das dann bestenfalls nicht mehr geändert werden muss.

Unternehmen haben allerdings oft nicht die Möglichkeit, nach Vernunft- oder Sachlichkeitskriterien solche Vorschläge umzusetzen. Da spielen dann Sicherheitsaspekte, die von Versicherungen vorgeschrieben werden, eine Rolle.

Wo möglich, Zwei-Faktor-Authentifizierung verwenden

Um auch ein gutes Passwort noch weiter abzusichern, rät das BSI zur sogenannten Zwei-Faktor-Authentifizierung. Dabei besteht die Anmeldung bei einem Account nicht nur aus der Eingabe des korrekten Passwortes, sondern auch aus einem Code, der eigens dafür generiert werden muss. Im Falle einer Kompromittierung des Passworts bleibt das dann betroffene Konto trotzdem geschützt.

Hier der Download-Link zu den Handlungsempfehlungen.

Und hier weitere Artikel aus unserem Blog zum Thema Passwortsicherheit:

Tipps und Tricks für ein sicheres Passwort

Sichere Passwörter – alles Quatsch?

Mit diesen Tricks wird das Passwort sicher

Blog Netzwelt Tipps & Tricks

One reply to “BSI: Zu komplexe Passwörter sind kontraproduktiv”

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert