Passwort-Mythen: Welche Tipps sind noch sinnvoll und welche längst überholt?
Zahlen und Sonderzeichen sind ein Muss, auch die Länge eines Passwortes sollte nicht unterschätzt werden. Ist der Name des eigenen Haustieres wirklich keine gute Idee für den Onlinebanking-Account? All das sind Aspekte, denen sich Andreas Türk, Product Manager Identity, Privacy und Security bei Google, gewidmet hat, um mit einigen Mythen rund um das Thema Passwörter aufzuräumen.
1. Muss man sein Passwort regelmäßig ändern?
Ein Passwort regelmäßig zu ändern, ist nur dann sinnvoll, wenn die Passwörter sich nicht ähneln. Doch auch die kreativsten Menschen neigen früher oder später dazu, alte Passwörter mit leichten Abwandlungen wiederzuverwenden. Leicht zu merkende Passwörter sind besonders beliebt, auch wenn sie Zahlen und Zeichen enthalten. Der Experte rät dazu, für Passwörter vor allem Wörter oder Wortkombinationen zu verwenden, die zwar einprägsam sind, auf die Außenstehende aber nur schwer kommen können.
2. Sind Passwortmanager riskant?
Hartnäckig hält sich das Gerücht, dass Passwortmanager riskant sind, da sich alle Daten gesammelt an einem Ort befinden. Die größte Gefahr ist aber tatsächlich nicht ein gehackter Passwortmanager, sondern ein erfolgreicher Angriff auf das primär genutzte E-Mail-Konto. Von hier aus können nämlich die meisten Passwörter zurückgesetzt werden. Die Vorteile eines Passwortmanagers überwiegen ganz klar den Risiken – deshalb sollte er auch genutzt werden.
3. Keine Sicherheitsprobleme mit Biometrie
Biometrie an sich ist eine super Sache, um Apps oder bestimmte Geräte zu entsperren. Jedoch muss sich auch hier vorher einmal angemeldet werden und dafür werden Passwörter benötigt, die wiederum gehackt werden können. Einen eingebauten Hackerschutz dank Biometrie gibt es also nicht. Auch hier ist es wichtig, ein möglichst sicheres Passwort zu verwenden. Am besten mit Zwei-Faktor-Authentifizierung.
4. Möglichst lange und komplexe Passwörter
Dieser Tipp ist auf jeden Fall richtig und gut. Je komplizierter und länger ein Passwort ist, desto schwerer ist es zu knacken. Das gilt jedoch in den meisten Fällen nur, wenn das Passwort von einem Passwortmanager erstellt wurde. Wer selbst konstruierte Passwörter mit Zahlen und Sonderzeichen ergänzt, neigt dazu, den Rest das Passwortes einfach zu gestalten, um es sich trotzdem merken zu können. Grundsätzlich gilt jedoch: lang ist besser als kompliziert. Acht Stellen sollten das absolute Minimum sein, 12- und besser noch 16-stellige Passwörter bieten noch mehr Sicherheit.
5. Passwortregeln beachten
Wer sich einen Account bei einer Website einrichten will, muss im Normalfall auch ein Passwort angeben. Viele Seiten haben dafür bestimmte Regeln. Oft nach dem gleichen Schema: mindestens acht Stellen, mindestens ein Groß- und Kleinbuchstabe, mindestens eine Zahl. Hört sich erstmal sicher an, doch viele Menschen neigen dazu, ihr Passwort mit einem Großbuchstaben zu beginnen und am Ende eine Zahl dahinter zu hängen. Das macht es für Hacker deutlich einfacher. Wichtig ist, dass Zeichen und Zahlen möglichst wild durcheinander gewürfelt werden.
6. Abmelden ist sinnvoll
Wer ständig sein Passwort eingeben muss, neigt dazu, der Einfachheit halber ein und dasselbe Passwort für alle möglichen Dienste und Accounts zu verwenden. User sollten deshalb unbedingt die Funktion der automatischen Abmeldung deaktivieren.
7. Gibt es mit guten Passwörtern kein Risiko mehr?
Ein Passwort kann noch so gut sein, zu Datenmissbrauch und Phishing kann es immer kommen. Der sicherste Weg ist ein komplex generiertes Passwort, das nur ein Mal verwendet wird. Dazu kommt eine Zwei-Stufen-Verifizierung, die in Kombination mit dem Passwort verwendet werden sollte.
Zum Weiterlesen:
- Das beliebteste Passwort der Deutschen lautet 123456 – immer noch
- „Weisenrat für Cybersicherheit“ für Umdenken bei Passwort-Regeln
- Fatales Verhalten der Mitarbeiter: Firmen-Passwörter immer öfter im Darknet
Eine einseitige Sicht der Dinge:
1) wirtschaftlich und gesellschaftlich kostet es mehr, das Passwort einmal im Monat zu ändern, als ein potentieller Bruch des Passworts.
2) je kompliziert das Passwort, desto unwahrscheinlicher, das es gemerkt wird und ggf doch aufgeschrieben wird. Wo ist die schöne Linie, einfach eine Geschichte als Passwort zu haben?
https://blogs-helmholtz-de.cdn.ampproject.org/i/s/blogs.helmholtz.de/augenspiegel/wp-content/uploads/sites/10/2017/08/password_strength.png
3) so mancher Dienst nimmt sich wichtiger als er ist, indem er auf komplizierte Passwörter besteht oder unangekündigt 2fa einführt. Dass Skype zum Beispiel neuerdings Code an meine fakeadresse senden will… Vielleicht will ich das gar nicht, dass Skype einen weiteren Kanal zu mir hat?! Insbesondere, wenn ich mich privat, geschäftlich und Recherche/erkundung trenne.