Neue Empfehlung Experten wollen unsere Passwörter unsicher machen
Die subjektive Sicht zweier Autoren auf ein Thema. Niemand muss diese Meinungen übernehmen, aber sie können zum Nachdenken anregen.
News folgen
Gute Passwörter müssen möglichst kompliziert sein und alle paar Wochen gewechselt werden? Sicherheitsexperten rücken von bisherigen Leitlinien ab. Ist das eine gute Idee?
Sonderzeichen, Groß- und Kleinbuchstaben und auch regelmäßig wechseln: In einem aktuellen Bericht setzt sich der sogenannte Weisenrat für Cybersicherheit in Deutschland aber für eine Abkehr solcher komplizierten Vorgaben ein.
Denn: Es gebe Situationen, in denen strengere Regeln die Qualität der gewählten Passwörter mitunter sogar verschlechterten.
Ist es wirklich eine gute Idee, die strengen Richtlinien bei der Passwortsicherheit zu lockern?
Ja, zu viele Passwort-Regeln nerven und schaden
Sichere Passwörter sind wichtig. Aber zu strenge Richtlinien bei der Passwortvergabe – wie Sonderzeichen, Zahlen, Groß- und Kleinbuchstaben oder regelmäßiger Passwortwechsel (vor allem das) – nerven. Solche Regeln führen im Endeffekt dazu, dass Nutzer eher schwache Kennwörter verwenden, um das System aus Bequemlichkeit auszutricksen. Das haben Studien gezeigt, sagen Experten des US-amerikanischen National Institute of Standards and Technology (NIST) und nun auch der sogenannte Weisenrat für Cybersicherheit in Deutschland. Sie fordern, dass Sicherheit benutzerfreundlich sein muss – und sie haben recht.
Untersuchungen haben beispielsweise gezeigt, dass Nutzer bei strengen Richtlinien eher ein einfaches Passwort wählen und dahinter das gewünschte Sonderzeichen dranhängen. Wenn sie das Kennwort dann ändern müssen, kommt noch ein Sonderzeichen hinzu. Am Ende ergibt das zum Beispiel sowas: Passwort1#. Das erfüllt zwar alle Vorgaben, aber sicher ist das nur bedingt.
Stattdessen raten Experten, eine Mindestlänge beim Passwort zu verlangen. Denn je länger das Passwort, desto länger brauchen Programme theoretisch, es zu knacken. Personenbezogene Daten sollte man meiden, ebenso wie Kennwörter, die in Leakdatenbanken vorkommen. Auch sollten Sie nicht überall das gleiche Kennwort verwenden – das gilt vor allem für Accounts, die Bank– oder andere sensible Daten enthalten. Eine der effektivsten und einfachsten Lösungen ist darum, einen Passwort-Manager zu nutzen. Der erstellt zufällig so viele Kennwörter, wie man will. Merken müssen Sie sich nur das Kennwort des Passwortmanagers. Und: Vergessen Sie nicht, die Zwei-Faktor-Authentifizierung einzuschalten.
Peter Schinkstellvertretender ChefredakteurNein, das löst kein Problem
Menschen können sich komplizierte Passwörter nur schwer merken. Und benutzen sie deshalb gerne an mehreren Stellen – für Mailkonten, Websites oder das Handy. Deshalb findet der Weisenrat für Cybersicherheit nun unsichere Passwörter besser. Zitat: "Studien haben jedoch ergeben, dass zu strenge Vorgaben die Qualität der Passwörter nicht zwangsläufig steigern." Wir sollen Passwörter also weniger oft wechseln und keine Sonderzeichen mehr verwenden müssen. Dafür überall unterschiedliche Passwörter verwenden. Klingt erst mal gut, oder?
Was auf den ersten Blick wie eine Erleichterung klingt, ist beim näheren Hinsehen der IT-technische Super-GAU. Weniger komplexe Passwörter machen natürlich unsere Daten unsicherer. Das Gremium selbst schreibt das verklausuliert: "Daher stellen Passwortrichtlinien immer einen Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit dar."
Wer simple Passwörter als Vorgabe für die gesamte Industrie wünscht, der öffnet die Büchse der Pandora. Können wir künftig wieder 123456 als Passwort verwenden? Eine Horrorvorstellung.
An anderer Stelle im Bericht wird explizit auch die Zwei-Faktor-Authentifizierung (2FA) und der Passwortmanager erwähnt. Die unsägliche Debatte über die Komplexität von Passwörtern hätten sich die Experten deshalb sparen können. Besser gewesen wären Empfehlungen, die wirklich zielführend sind. Denn bis heute machen deutsche Unternehmen um die Zwei-Faktor-Authentifizierung gerne einen Bogen.
Embed
Teilen Sie Ihre Meinung mit
Welche Meinung zum Thema haben Sie? Schreiben Sie eine E-Mail an Lesermeinung@stroeer.de
- Eigene Recherchen
- Bericht: "Mehr Sicherheit für die digitale Transformation" (PDF)
