Press "Enter" to skip to content

Passwort doch nicht regelmäßig ändern – sagt jetzt auch das BSI

Auch wenn Experten davon längst abrieten, galt bei Behörden und in Unternehmen oft noch: Passwort alle paar Monate wechseln, das erhöht die Sicherheit. Nun hat das BSI, die oberste deutsche IT-Sicherheitsbehörde, mit diesem Mythos aufgeräumt.

Grundsätzlich ist die Empfehlungen, nicht immer beim gleichen Zugangswort zu bleiben, nicht verkehrt. Oft bleiben Hackerangriffe auf Internetunternehmen monatelang unentdeckt, so dass Kriminelle mit einem ergatterten Passwort in aller Seelenruhe immer mehr weiter vordringen können – erst in den E-Mail Zugang, dann in den Online-Shopping-Account und zuletzt vielleicht noch ins Onlinebanking. Ein Passwortwechsel könnte dies stoppen. Allerdings verspielen die meisten NutzerInnen diesen Sicherheitsvorteil, indem sie beim regelmäßigem Ändern ein immer simpleres Passwort wählen – um es sich überhaupt merken zu können.

Und so trägt man nun auch beim Bundesamt für Sicherheit in der Informationstechnik dieser Bequemlichkeit der NutzerInnen Rechnung und rät nicht mehr zum regelmäßigen Wechsel.

“Die reine Lehre hat den Check gegen die Realität verloren.” Joachim Wagner, BSI

Die Länge ist das A und O

Im Prinzip gehe es einzig und allein darum, wie lange ein normaler Computer braucht, um ein Passwort zu knacken, heißt es beim Bundesamt. Und deshalb gilt die Grundregel: je länger das Wort, desto besser. Auch von der Empfehlung einer konkreten Mindestlänge, also zum Beispiel wenigstens acht Zeichen zu verwenden, rückt das BSI ab, genauso vom Ratschlag unbedingt besonders komplizierte Kombinationen von Buchstaben, Zahlen und Sonderzeichen zu benutzen. Essentiell sei die Länge des Passwortes, ein längerer Satz, den man sich gut merken könne, sei geeignet, so das BSI. Daneben gelten grundsätzlich noch ein paar andere Regeln.

Passwörter soll man nicht erraten können

“Passwort” ist kein sicheres Passwort, “Hallo” ist kein sicheres Passwort und “123456789101112” ist auch kein sicheres Passwort, obwohl es etwas länger ist. Das Passwort sollte nicht erratbar sein und in keinem Wörterbuch stehen, egal in welcher Sprache.

Vorsicht bei „Geheimfragen“ zur Passwortwiederherstellung

Bei vielen Accounts kann man zu einer “Geheimfrage“ eine Antwort hinterlegen. Die gibt man ein, um sich in einen Account einloggen zu können, zu dem man das Passwort vergessen hat. Problem: diese Antworten stellen sicherheitstechnisch eine echte Schwachstelle dar. Viele der Antworten lassen sich in einem Wörterbuch finden oder sind leicht zu erraten. Wer auf die „Geheimfrage“ nach seinem Lieblingstier die Antwort „Hund“ hinterlegt hat, dessen Postfach lässt sich leicht knacken.

Passwortmanager um nicht den Überblick zu verlieren

Zig Accounts, die man mit unterschiedlichen Passwörtern sichern soll. Für dieses Problem gibt es eine Lösung: Passwort-Manager. Die Stiftung Warentest hat im Januar 2020 Passwort-Manager getestet, von 14 schnitten nur drei gut ab. Wichtig: Das Master-Passwort, mit dem sie in ihren Passwort-Manager gelangen, müssen Sie selbst eingeben. Das ist dann das einzige Passwort, das sie regelmäßig verwenden und es sollte deswegen besonders sicher sein.

2-Faktor-Authentifizierung, wo dies geht

Zwei-Faktor-Authentifizierung, das heißt: Neben dem Passwort muss noch eine PIN eingegeben werden, um sich einzuloggen. Dieses Verfahren ist vom Online Banking bekannt. Die PIN kommt entweder per SMS, manche Anbieter arbeiten auch mit speziellen Authentifizierungs-Apps. Wann immer es geht, sollten Sie die doppelte Authentifizierung einschalten, insbesondere bei wichtigen Accounts. Die 2-Faktor-Methode ist etwas nervig, erhöht die Daten-Sicherheit aber enorm!