Kaum ein Thema, dem nicht bereits ein – meist recht zufällig gewählter – eigener Tag gewidmet ist. Das ist auch beim alljährlich am 5. Mai abgehaltenen World Password Day nicht anders – und doch empfiehlt es sich diesen zum Anlass zu nehmen, um wieder einmal die eigene Passwort-Politik zu hinterfragen. Denn je mehr Daten online gespeichert werden, desto wichtiger wird es auch diese gut vor Dritten zu schützen. Schließlich sieht die Realität so aus: Auch wenn die Schlagzeilen oft von spektakulären Hacks dominiert werden, die allermeisten Einbrüche finden schlicht "dank" schlecht gewählter Passwörter statt.

Länge wichtiger als Komplexität

In einem aktuellen Artikel hat Wired einige Experten nach ihren Tipps für gute Passwörter befragt, und diese haben tatsächlich so manch guten Ratschlag für die Nutzer parat. So verweist etwa Mark Burnett, Autor des Buchs "Perfect Passwords" dazu, dass der üblicher Hinweis, möglichst komplexe Passwörter zu wählen, oftmals kontraproduktiv ist. In Wirklichkeit sei es besser ein längeres Passwort zu wählen, das man sich auch merken könne als eines, das möglichst kompliziert ist. Zwei Zeichen mehr bei einem einfach merkbaren Passwort würden bereits die Komplexität von alphanumerischen Zufallskombination aufwiegen. Burnett empfiehlt ein Passwort mit 12-15 Zeichen, dann sollte der eigene Account auch ohne unverständlichem Zeichensalat effektiv geschützt sein.

Unberechenbarkeit

Freilich macht es die Länge nicht alleine aus, es gelte unberechenbar zu bleiben. Wer beliebte popkulturelle Referenzen, einfach herauszufindende persönliche Details oder Sinnsprüche als Passwort verwende, braucht sich nicht wundern, wenn der eigene Account gehackt werde, warnt Morgan Slain, CEO der Passwort-Management-Firma SplashData. Prinzipiell gelte: Je gebräuchlicher und einfach zu erraten ein Passwort ist, desto leichter ist es auch zu knacken.

Die richtige Position

Viele Passwort-Eingabefelder verlangen mittlerweile eine minimale Komplexität, also etwa das Hinzufügen einer Zahl. Leider fügen die meisten User diese aber einfach am Anfang oder Ende zu einem Wort hinzu – was das Ganze wiederum ziemlich berechenbar macht. Besser sei es eine Zahl oder eine Sonderzeichen irgendwo mitten in der Passphrase unterzubringen.

Kein Doppeleinsatz

Einer der gebräuchlichsten Fehler ist es Passwörter doppelt zu verwenden. Die Realität sei, dass früher oder später irgendein Service, bei dem man sich angemeldet hat, gehackt werden wird. Kommen die Angreifer dadurch an das Passwort, können sie sich gleich auch noch bei anderen Services einloggen – womit oft erst die wahren Probleme für die betroffenen User starten. Natürlich ist es unrealistisch sich Dutzende Passwörter zu merken, insofern empfiehlt sich die Verwendung eines Passwort-Managers, der all dies gesammelten Logins verwaltet.

Wechseln: Ja, aber nicht zu oft

Oft wird in Hinblick auf die Absicherung von Online-Accounts geraten, das Passwort regelmäßig zu wechseln. Dem stimmt Burnett zwar prinzipiell zu, oft erfolge dies aber schlicht zu häufig. Vor allem entsprechende Firmenregeln hätten oft genau den gegenteiligen Effekt zu dem, was eigentlich beabsichtigt wird. Da es sehr schwer sei, sich jedes Monat ein neues Passwort zu merken, würden viele User lieber zu einfacheren – und damit schlechteren – Passwörtern greifen.

Zweiter Faktor

Für die Zukunft lautet der wichtigste Ratschlag aber wohl, sich nicht auf das Passwort alleine zu verlassen. Immer mehr Services würden eine Zwei-Faktor-Authentifizierung anbieten, bei der das Passwort mit einer zweiten Sicherheitsmaßnahme kombiniert wird. Dies kann ein eindeutiger Code oder auch der eigene Fingerabdruck sein. All dies führt jedenfalls dazu, dass ein Angreifer selbst nach dem Erbeuten des Passworts keinen Zugriff auf die eigenen Daten hat. Insofern empfiehlt es sich Zwei-Faktor-Authentifizierung überall dort, wo es möglich ist, auch zu aktivieren. (red, 5.5.2016)