Schon im Oktober 2016 hatte die britische Cybersicherheitsbehörde NCSC (National Cyber Security Centre) sich bei ihrer Empfehlung für sichere Passwörter dafür ausgesprochen, bei der Passwortfindung auf die Kombination von drei zufällig ausgewählten Wörtern zurückzugreifen. Als Beispiele nannte das NCSC etwa die Wörter Coffeetrainfish oder Walltinshirt. Die Idee dahinter: Die so entstehenden Passwörter sind leicht zu merken, länger als manches bisher verwendete – etwa der Name der Ehefrau – und insgesamt schwerer zu knacken. Jetzt hat das NCSC die Regel noch einmal nachdrücklich ins Spiel gebracht.
3 zufällige Wörter sicherer als komplexe Passwörter
Demnach könnten so gefundene Passwörter – wie Stuhlmünzensteckdose – effektiver und damit sicherer vor den Angriffen Cyberkrimineller sein als komplexere Passwörter. Schließlich, so die Expert:innen, zielten diese genau auf solche Passwörter ab. Wer etwa beim Passwort nur die beiden Buchstaben s durch die Ziffern Fünf ersetzt und das o durch eine Null sowie ein Ausrufezeichen hinzufügt, möge zwar die Vorgaben für die Passworterstellung, etwa bei Onlinekonten, erfüllen. Cyberkriminelle würden diese Art der Buchstaben-Zahlenkombinationen aber schon längst mitabprüfen.
Die Durchsetzung von Komplexitätsanforderungen, etwa die vorgeschriebene Verwendung von Sonderzeichen und Zahlen, führe anders als beabsichtigt dazu, dass vorhersehbarere Passwörter erstellt werden, heißt es vonseiten der Behörde. Passwörter, die aus drei zufälligen Wörtern erstellt wurden, seien dagegen tendenziell länger und schwerer vorherzusagen. Zudem würden dabei Buchstabenkombinationen verwendet, die für die von Cyberkriminellen verwendeten Algorithmen schwieriger zu erkennen gewesen seien, so das NCSC.
3 Zufallswörter einfacher zu merken
Allerdings weisen die Expert:innen darauf hin, dass die Drei-Zufallswörter-Regel nicht 100-prozentig sicher ist. Der große Vorteil liege darin, dass es einfacher für Nutzer:innen sei, sich ein Passwort aus drei zufällig ausgewählten Passwörtern zu merken als ein wirklich komplexes aus sehr vielen Buchstaben, Ziffern und Sonderzeichen. Letztlich sei es natürlich der sicherste Weg, einen Passwortmanager zu verwenden, aber deren Akzeptanz sei immer noch sehr gering. Schaut man sich in den Listen der am häufigsten verwendeten Passwörter – à la Passwort1234 – um, könnte an der NCSC-Idee durchaus etwas dran sein.