Passwort-Check aus Bayern: Bis eben war Ihr Passwort noch sicher

Ein bayrisches Ministerium bietet einen Online-Passwortcheck an und gibt schlechte Passwort-Tipps. Ich bin entsetzt.

Ein IMHO von veröffentlicht am
Sollte man lieber für sich behalten: Passwort.
Sollte man lieber für sich behalten: Passwort. (Bild: Christoph Scholz/CC-BY-SA 2.0)

Das Bayerische Staatsministerium für Digitales - ja, sowas gibt es - will unter dem Motto "Online - aber sicher!" für mehr Sicherheit unter den Bayern und allen anderen sorgen. Dafür bietet es einen Passwort-Check an. Nutzer sollen ihr Passwort auf einer Webseite des Ministeriums eingeben, um es überprüfen zu lassen. Das mag gut gemeint sein, ist aber eine extrem dumme Idee.

Inhalt:
  1. Passwort-Check aus Bayern: Bis eben war Ihr Passwort noch sicher
  2. Starke Passwörter, die keine sind

Denn sein Passwort an irgendeinem anderen Ort im Internet als dem dafür vorgesehenen Dienst einzugeben, ist direkt der erste Fehler, den man in Sachen Passwortsicherheit begehen kann. Auch wenn eine Webseite verspricht, von einem hochoffiziellen bayrischen Staatsministerium zu sein und die Passwörter nur lokal zu prüfen.

Denn die Erziehungsmaßnahme zu einem vermeintlich sicheren Passwort - dazu später mehr - schlägt direkt fehl, da den Nutzern parallel dazu vermittelt wird, dass es schon okay ist, sein Passwort auf einer Webseite einzugeben, um es prüfen zu lassen. Das fühlt sich wie ungewollte Satire an und hilft letztlich vor allem Phishern, die Nutzer trickreich zur Eingabe ihrer Zugangsdaten bewegen möchten.

Immerhin: Nach der Verwendung und dem Nutzernamen fragt die Webseite des Ministeriums nicht.

Nicht schon wieder Passwortrichtlinien

Stellenmarkt
  1. Systemverantwortlicher (m/w/d) Modul - Ultrasonic Parking Functions
    IAV GmbH, Berlin, Chemnitz, Gifhorn
  2. Sachbearbeiter/in IT-Strategie/IT-Management / Verwaltungsmodernisierung (m/w/d)
    Bundesamt für Auswärtige Angelegenheiten, Brandenburg/Havel
Detailsuche

Nicht besser wird es, wenn man sich ansieht, was der Passwort-Check da so prüft. Statt das Passwort auf bereits bekannte Passwörter zu kontrollieren, wie es so mancher Dienst im Internet bei der Registrierung sinnvollerweise tut, setzt das Bayerische Ministerium für Digitales - wie kann es anders sein - auf Passwortrichtlinien. Also auf Anforderungen, was für Zeichen ein Passwort enthalten soll oder muss.

Solche Passwortregeln gelten schon seit Jahren nicht mehr als der Stand der Technik. Die US-Standardisierungsbehörde Nist (National Institute of Standards and Technology) rät bereits seit 2017 explizit von Passwortrichtlinien ab.

Denn: Rein mathematisch betrachtet ist es viel wichtiger, längere Passwörter zu wählen als Zeichen aus unterschiedlichen Zeichenklassen. Es gibt verschiedene zielführende Strategien für sichere Passwörter, und nicht alle benötigen Sonderzeichen oder Großbuchstaben.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Ohnehin schützt eine Richtlinie nicht davor, das eine supersichere Passwort, weil es viele Sonderzeichen enthält, bei etlichen Diensten zu verwenden. Darauf weist der Passwort-Check des Ministeriums allerdings erst im Kleingedruckten in den weiteren Infos zu einem sicheren Passwort unter der Rubrik "Passwortmanager" hin.

Statt eines prominenten Hinweises auf einmalige Passwörter bewertet der Passwort-Checker die Länge des Passwortes sowie vorhandene Klein- und Großbuchstaben, Zahlen und Sonderzeichen mit Punkten. Abzug gibt es für Zeichen, die in einem Wörterbuch gefunden wurden. Garniert wird das Ganze mit einer Aufwandschätzung inklusive der dafür benötigten Rechenzeit.

Wir haben die Probe aufs Exempel gemacht und vermeintlich sichere Passwörter gefunden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Starke Passwörter, die keine sind 
  1. 1
  2. 2
  3.  


keigo 01. Mär 2022

Ich verstehe deinen Satz nicht. Was meinst du mit IMHO? In my humble opinion?

keigo 01. Mär 2022

Ja das bin ich!

My1 26. Feb 2022

definitiv. ich habe sogar ne liste mit ca 17k wörtern (danke 1password für die...

Truster 25. Feb 2022

mehrere Offline Standorte sowie mehrere online Standorte. Zum glück lege ich nicht jeden...



Aktuell auf der Startseite von Golem.de
Cariad
Aufsichtsrat greift bei VWs Softwareentwicklung durch

Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
Artikel
  1. Delfast Top 3.0: Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein
    Delfast Top 3.0
    Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein

    Ukrainische Infanteristen nutzen E-Motorräder, um leise und schnell zum Einsatz zu gelangen und die Panzerabwehrlenkwaffe NLAW zu transportieren.

  2. Überwachung: Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein
    Überwachung
    Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein

    In Rheinland-Pfalz werden Handynutzer am Steuer eines Autos automatisch erkannt. Dazu wird das System Monocam aus den Niederlanden genutzt.

  3. Love, Death + Robots 3: Mal spannend, mal tragisch, mal gelungen, mal nicht so
    Love, Death + Robots 3
    Mal spannend, mal tragisch, mal gelungen, mal nicht so

    Die abwechslungsreichste Science-Fiction-Serie unserer Zeit ist wieder da - mit acht neuen Folgen der von David Fincher produzierten Anthologie-Reihe.
    Von Peter Osteried

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 günstig wie nie: 614€ • Ryzen 9 5900X 398€ • Top-Laptops zu Tiefpreisen • Edifier Lautsprecher 129€ • Kingston SSD 2TB günstig wie nie: 129,90€ • Samsung Soundbar + Subwoofer günstig wie nie: 228,52€ [Werbung]
    •  /