Wie lang sollte ein Passwort sein?

Da wohl kein Anbieter öffentlich einräumen will, beim Hashen nicht State of the Art vorzugehen, waren die Antworten erwartbar. "Wir setzen immer das sicherste Hashverfahren ein, um unsere Nutzerdaten immer bestmöglich zu schützen. Ein Gesetzesverfahren ändert daran gar nichts, da Systembetreiber jederzeit auch davon ausgehen müssen, dass eventuell Daten anderweitig abhandenkommen können und darum zu schützen sind", schrieb Mailbox.org. Auch 1&1 setzt nach eigenen Angaben "jederzeit die neuesten sicheren Verfahren" ein.

Stellenmarkt

1. Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU), Erlangen
2. Melitta Business Service Center GmbH & Co. KG, deutschlandweit

Über eine größere Stellschraube verfügen die Anbieter jedoch bei den Passwortvorgaben. So könnten sie vorschreiben, dass die Nutzer generell Passwörter mit mehr Zeichen verwenden. Einem von Troy Hunt vor zwei Jahren erstellten Überblick zufolge variieren die Vorgaben bei 15 großen Diensten zwischen eins (Wikipedia) und acht (Google, Yahoo, Microsoft, Twitch). Neun der Dienste schrieben mindestens sechs Zeichen vor. Damit setzen nur die wenigsten der Dienste eine Empfehlung der US-Standardisierungsbehörde Nist (National Institute of Standards and Technology) um, wonach Passwörter mindestens acht Zeichen lang sein sollten.

"Besser 12 oder mehr"

Laut Nist sollten die Vorgaben an Länge und Komplexität der Passwörter jedoch nicht zu hoch sein, damit Nutzer diese nicht auf unsichere Weise aufschreiben oder abspeichern. Passwortmanager können dabei helfen, längere und komplexere Passwörter zu verwenden.

GMX und Web.de schreiben beispielsweise unter Verweis auf das Nist achtstellige Passwörter vor, empfehlen auf ihren Webseiten "besser 12 oder mehr" zu verwenden. "Denn je länger Ihr Passwort, desto schwerer ist es zu knacken", heißt es zur Begründung. Auch Mailbox.org schreibt acht Zeichen vor.

Abgleich mit geleakten Passwörtern sinnvoll

Ebenso wichtig wie die Mindestlänge eines Passwortes dürfte der Abgleich mit bereits geleakten Passwörtern sein. So empfiehlt das Nist, die von Nutzern gewählten Passwörter mit Listen bereits kompromittierter Passwörter abzugleichen, die bei früheren Datenlecks bekannt geworden sind. Als Basis für einen Abgleich hat Hunts Dienst HaveIBeenPwned schon eine halbe Milliarde geleakter Passwort-Hashes bereitgestellt.

Ein solcher Abgleich wird von den angefragten Anbietern noch nicht eingesetzt. Mailbox.org stellt allerdings seinen Nutzern den Dienst HaveIBeenPwned bereit, damit diese darüber informiert werden, ob ihr Account in einer geleakten Datenbank auftaucht.

Posteo verwies darauf, dass die E-Mail-Dienste nach einer Gerichtsentscheidung zu Gmail zwar nicht mehr zu den Telekommunikationsdiensten zählen und daher derzeit von der Gesetzesänderung zur Bestandsdatenauskunft betroffen wären. Es gibt allerdings auch Pläne der Bundesregierung, E-Mail-Anbieter per Gesetzesänderung dem Telekommunikationsgesetz (TKG) zuzuordnen. Dann würden andere Regelungen zur Herausgabe von Bestandsdaten gelten.

Welches Fazit lässt sich daher ziehen?