Sicherheit: Tag der unsinnigen Passwort-Ratschläge

Zu kaum einem IT-Sicherheits-Thema gibt es so viele unsinnige Tipps wie zu Passwörtern. Auch Behörden wie das BSI und Forschungseinrichtungen wie das Hasso-Plattner-Institut veröffentlichen jede Menge Unfug.

Ein IMHO von Hanno Böck veröffentlicht am
Der Offline-Passwortmanager hat durchaus seine Vorteile.
Der Offline-Passwortmanager hat durchaus seine Vorteile. (Bild: Thomas Au/CC-BY 2.0)

Passwörter sollten mindestens 15 Zeichen lang sein und Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen enthalten, behauptet das Hasso-Plattner-Institut. Sie sollten natürlich nicht in Wörterbüchern vorkommen, leicht zu merkende Passwörter sind meist schlecht. Das BSI rät, Passwörter regelmäßig zu wechseln und für jeden Service ein eigenes Passwort zu verwenden. Das Institut für Internet-Sicherheit mahnt eindringlich, Passwörter nicht aufzuschreiben, und im Browser speichern soll man sie laut PC Welt auch nicht. Einen Passwort-Manager sollte man verwenden, aber natürlich keinen unsicheren. Allerdings speichern die meisten Passwortmanager die Passwörter online, was man auch nicht tun sollte, wie etwa Spiegel Online schreibt.

Inhalt:
  1. Sicherheit: Tag der unsinnigen Passwort-Ratschläge
  2. Einmalige Passwörter und Zwei-Faktor-Authentifizierung

Wer alle diese Tipps beherzigen möchte, kann eigentlich nur zu einem einzigen Schluss kommen: Passwörter können von Menschen nicht sicher genutzt werden. Also am besten den Internetzugang kündigen und das Faxgerät wieder auspacken?

Der heutige 1. Februar ist der Tag des Passwort-Wechsels. Ausgerufen wurde er vor einigen Jahren vom Onlinemagazin Gizmodo. Daher werden wir auch heute mit gut gemeinten, aber oft schlechten Ratschlägen behelligt. So sollen wir alle für sämtliche Services, die wir verwenden, das Passwort ändern - beim Autor des Artikels sind das etwa 700.

Eine revolutionäre Idee: Empfehlung auf Basis wissenschaftlicher Belege

Vor einigen Jahren hat die US-Verbraucherschutzbehörde FTC mit einem Tweet ihre Follower ebenfalls zum regelmäßigen Ändern des Passworts aufgefordert. Doch später tat die Behörde etwas, was im Feld der IT-Sicherheit absolut außergewöhnlich ist: Sie schaute sich an, welche wissenschaftlichen Belege es für ihre Empfehlungen zum Wechseln des Passworts eigentlich gibt.

Stellenmarkt
  1. IT-Administrator (m/w/d)
    P&I Personal & Informatik AG, Wiesbaden
  2. Chief Product Owner Customer Happiness lexoffice (m/w/d)
    Haufe Group, Freiburg
Detailsuche

Das Ergebnis: keine. Vielmehr gab es eine Reihe von Studien, die nahelegen, dass ein regelmäßiger Wechsel des Passworts eher schädlich ist. So gibt es Hinweise darauf, dass in Unternehmen, die ihre Mitarbeiter zum Wechseln des Passworts zwingen, tendenziell schlechtere Passwörter gewählt werden. Die existierenden Studien basieren leider auf reinen Beobachtungsdaten oder Simulationen und können keinen kausalen Zusammenhang beweisen.

Bessere Studien wären wünschenswert, doch zumindest lässt sich sagen: Aus den verfügbaren Daten lässt sich eine generelle Empfehlung zum Passwortwechsel nicht ableiten, sondern eher das Gegenteil. Eine solch wissenschaftliche Herangehensweise hält aber Behörden wie das BSI nicht davon ab, die fragwürdigen Empfehlungen weiter zu verbreiten.

Warum ist 123456 immer noch beliebter als hXt_ah!w0S3%DmT.L?

Das Hasso-Plattner-Institut (HPI), Deutschlands führendes Institut für pseudowissenschaftliche Statistiken zur IT-Sicherheit, veröffentlicht jährlich eine Top-Ten-Liste der beliebtesten Passwörter. Es hat erst kürzlich verkündet, dass wieder einmal 123456 das beliebteste Passwort der Deutschen ist. Eine schockierende Nachricht. Noch schlimmer: Nicht ein einziges Passwort, das alle Empfehlungen für sichere Passwörter einhält, schaffte es in die Top Ten.

Und das wird auch für alle Zeit so bleiben. Denn sichere Passwörter zeichnen sich dadurch aus, dass sie einmalig sind. Insofern kann ein sicheres Passwort niemals zum beliebtesten Passwort gekürt werden, da jedes besonders sichere Passwort in den Statistiken nur einmal auftauchen wird.

Derartige Listen mit beliebtesten Passwörtern sind ohne jede Aussagekraft und reiner Nonsens. Relevant wäre zu wissen, wie viele Nutzer solche unsicheren Passwörter nutzen. Selbst dann wäre zu fragen, welcher Anteil der Accounts schlicht Test- oder Wegwerfaccounts sind. Das HPI verrät uns nämlich nicht, woher seine Daten stammen.

Mutmaßlich stammen die Daten aus Passwortleaks. Das allein wirft schon Fragen auf, denn verwendbar für solche Statistiken sind natürlich nur Datenlecks, die öffentlich wurden und bei denen die Passwörter unsicher gespeichert sind. Sprich: Man erstellt tendenziell Statistiken über Daten von eher unsicheren Services. Das dürften für die meisten Nutzer nicht die wichtigsten Services sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Einmalige Passwörter und Zwei-Faktor-Authentifizierung 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Hubble
Uralttechnik ohne Ersatz versagt im Orbit

Das Hubble-Teleskop ist außer Betrieb. Die Speicherbänke aus den 1980er Jahren lassen sich nicht mit der CPU von 1974 ansprechen, die auf einer Platine zusammengelötet wurde.
Von Frank Wunderlich-Pfeiffer

Hubble: Uralttechnik ohne Ersatz versagt im Orbit
Artikel
  1. Batteriezellfabrik: Porsche will Hochleistungsakkus mit Silizium-Anoden bauen
    Batteriezellfabrik
    Porsche will Hochleistungsakkus mit Silizium-Anoden bauen

    Akkus für nur 1.000 Elektroautos im Jahr will Porsche mit der neuen Tochterfirma Cellforce bauen. Vor allem für den Motorsport.

  2. Pornografie: Hostprovider soll Xhamster sperren
    Pornografie
    Hostprovider soll Xhamster sperren

    Medienwächter haben den Hostprovider von Xhamster ausfindig gemacht. Dieser soll das Pornoportal für deutsche Nutzer sperren.

  3. SSDs und Monitore zum Knallerpreis beim Amazon Prime Day
     
    SSDs und Monitore zum Knallerpreis beim Amazon Prime Day

    Wer auf der Suche nach neuer Hardware ist, sollte den Prime Day von Amazon nutzen. Hier warten Rabatte auf alle möglichen Artikel.
    Ausgewählte Angebote des E-Commerce-Teams

Komischer_Phreak 27. Aug 2019

Das ist ein per Definition unsicheres Passwort, das entsprechende Programme recht...

quineloe 03. Feb 2019

Kluge Frage. Nicht. Du behauptest was von "personenbezogenen Mailadressen". Gerade das...

goliath 03. Feb 2019

Ich danke dir für deine Zusammenfassung!

Liriel 02. Feb 2019

msecure5. kostet zwar einmalig was aber cloud backup ist mit drinnen. unterstützt auf...

Gucky 01. Feb 2019

einfach mal blind ins notepad tippen.


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day • SSDs (u. a. Crucial MX500 1TB 75,04€) • Gaming-Monitore • RAM von Crucial • Fire TV Stick 4K 28,99€/Lite 18,99€ • Bosch Professional • Dualsense + Pulse 3D Headset 139,99€ • Gaming-Chairs von Razer uvm. • HyperX Cloud II 51,29€ • iPhone 12 128GB 769€ • TV OLED & QLED [Werbung]
    •  /