Abo
  • Services:

Passwort-Richtlinien: Schlechte Passwörter vermeiden

Groß- und Kleinbuchstaben, mindestens ein Sonderzeichen, aber nicht irgendeins? Viele Passwort-Richtlinien führen dazu, dass Nutzer genervt oder verwirrt sind, aber nicht unbedingt zu sichereren Passwörtern. Wir geben Tipps, wie Entwickler es besser machen können.

Artikel von Hanno Böck veröffentlicht am
Schlechte Passwörter: Die sollten Onlineservices auf jeden Fall ablehnen - aber wie? Wir geben Tipps anhand der Richtlinien des US-Nist.
Schlechte Passwörter: Die sollten Onlineservices auf jeden Fall ablehnen - aber wie? Wir geben Tipps anhand der Richtlinien des US-Nist. (Bild: Hanno Böck)

"Ihr neues Passwort muss zwischen 8 und 14 Stellen lang sein, Buchstaben, mindestens eine Zahl sowie mindestens ein Sonderzeichen enthalten. Sonderzeichen sind !, @, $, %, /, =, ?, `, +, ~, #, _, ., ;, :, {, }, |. Das erste Zeichen Ihres Passwortes darf kein ? oder ! Sein." So lautet die Passwort-Richtlinie beim Anlegen eines Online-Accounts bei der AOK (Rechtschreibfehler wie im Original).

Inhalt:
  1. Passwort-Richtlinien: Schlechte Passwörter vermeiden
  2. Bereits kompromittierte Passwörter verbieten

Diese Passwort-Richtlinie ist sicher ein Extremfall, aber sie steht beispielhaft für etwas, das häufiger zu sehen ist: Services erwarten von ihren Nutzern, sich bei den Passwörtern an allerlei willkürliche Regeln zu halten. Viele davon sind nervig, andere sind schädlich, weil sie sicherere Passwörter verhindern. Dabei geht es besser.

Passwort-Empfehlungen des Nist für Servicebetreiber

Darüber, wie Nutzer ihre Passwörter am besten verwalten, ist in letzter Zeit viel geschrieben und gesagt worden. Eine häufige Empfehlung lautet: Ein Passwort für jeden Service, die Verwendung von Passwort-Managern und wenn möglich, die Verwendung von Zwei-Faktor-Authentifizierung.

Doch wie sollen Anbieter von Online-Services die Passwort-Problematik am besten handhaben? Dafür lohnt ein Blick in die Empfehlungen, welche die US-Standardisierungsbehörde Nist (National Institute of Standards and Technology) 2017 veröffentlicht hat. Im Rahmen der Digital Identity Guidelines gibt das Nist auf drei Seiten Ratschläge für den Umgang mit Passwörtern.

Stellenmarkt
  1. T-Systems Multimedia Solutions GmbH, Berlin, Dresden, Jena, Leipzig oder Rostock
  2. BWI GmbH, Nürnberg, München, Rheinbach

Relativ offensichtlich ist, dass es nicht sinnvoll ist, Vorgehensweisen zu verbieten, die Passwörter sicherer machen können. So sollten keine zu knappen Längenbegrenzungen vorgegeben werden - das Nist empfiehlt, dass mindestens 64 Zeichen zulässig sein sollten. Das ist aber die absolute Untergrenze, denn es kann durchaus sinnvoll sein, noch längere Passwörter zu erlauben. Wer seine Passwörter aus ganzen Sätzen konstruiert, überschreitet diese Grenze möglicherweise und wählt dabei ein vergleichsweise sicheres Passwort.

Alle Zeichen erlauben

Weiterhin sollten die möglichen Zeichen nicht eingegrenzt werden. Alles sollte erlaubt sein: Neben Groß- und Kleinbuchstaben auch Sonderzeichen, und zwar nicht nur bestimmte. Das Nist empfiehlt dabei, generell Unicode-Zeichen zu erlauben. Auch Leerzeichen sollten möglich sein.

Das Nist rät auch von vielem ab, was in der Vergangenheit üblich war. Etwa davon, spezielle Regeln für die Zusammensetzung eines Passworts zu machen. Groß- und Kleinbuchstaben oder Sonderzeichen zu verlangen, gilt demnach nicht mehr als Stand der Technik.

Denn: Rein mathematisch betrachtet ist es viel wichtiger, längere Passwörter zu wählen als Zeichen aus unterschiedlichen Zeichenklassen. Es gibt verschiedene zielführende Strategien für sichere Passwörter, und nicht alle benötigen Sonderzeichen oder Großbuchstaben. Ebenfalls rät das Nist von Richtlinien ab, die einen regelmäßigen Passwortwechsel vorsehen.

Doch wenn man diese Regeln alle weglässt - wie verhindert man, dass Nutzer besonders unsichere Passwörter wählen? Das Nist empfiehlt dazu, dass Passwörter mindestens acht Zeichen haben sollen. Dabei solle es vermieden werden, den Nutzernamen oder auch den Namen des Services selbst als Passwort zu verwenden. Des Weiteren könne das Passwort mit Wörterbuchlisten abgeglichen werden.

Bereits kompromittierte Passwörter verbieten 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. für 50,96€ mit Code: Osterlion19
  2. (aktuell u. a. ADATA XPG GAMMIX D3 DDR4-3200 8 GB für 49,99€ + Versand)
  3. 229,99€
  4. (u. a. Plantronics RIG 800HS PS4/PC für 87€ und Indiana Jones - The Complete Adventures Blu-ray...

Olliar 17. Apr 2019 / Themenstart

Wie verhindert man, das die NSA den Dienst betreibt und einen Hash, der in der Liste ist...

robinx999 12. Apr 2019 / Themenstart

Im Artikel steht doch "Wer seine Passwörter aus ganzen Sätzen konstruiert, überschreitet...

robinx999 12. Apr 2019 / Themenstart

Die Idee gab es so ja schon mal hat sich aber bei kaum jemandem durchgesetzt. Die sah im...

LordSiesta 12. Apr 2019 / Themenstart

Ich frag mich ja, ob es der Turing-Bomber die Codes auch rechtzeitig gefunden hätte, wenn...

senf.dazu 11. Apr 2019 / Themenstart

Wie lange braucht man da so durchschnittlich bis man ein Paßwort findet das man nicht...

Kommentieren


Folgen Sie uns
       


Huawei P30 Pro - Test

5fach-Teleobjektiv und lichtstarker Sensor - das Huawei P30 Pro hat im Moment die beste Smartphone-Kamera.

Huawei P30 Pro - Test Video aufrufen
Orientierungshilfe: Wie Webseiten Nutzer tracken dürfen - und wie nicht
Orientierungshilfe
Wie Webseiten Nutzer tracken dürfen - und wie nicht

Für viele Anbieter dürfte es schwierig werden, ihre Nutzer wie bisher zu tracken. In monatelangen Beratungen haben die deutschen Datenschützer eine 25-seitige Orientierungshilfe zum DSGVO-konformen Tracking ausgearbeitet.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Cookie-Banner Deutsche Datenschützer spielen bei Nutzertracking auf Zeit
  2. Fossa EU erweitert Bug-Bounty-Programm für Open-Source-Software
  3. EU-Zertifizierung Neues Gesetz soll das Internet sicherer machen

Echo Wall Clock im Test: Ach du liebe Zeit, Amazon!
Echo Wall Clock im Test
Ach du liebe Zeit, Amazon!

Die Echo Wall Clock hat fast keine Funktionen und die funktionieren auch noch schlecht: Amazons Wanduhr ist schon vielen US-Nutzern auf den Zeiger gegangen - im Test auch uns.
Ein Test von Ingo Pakalski

  1. Amazon Echo Link und Echo Link Amp kommen mit Beschränkungen
  2. Echo Wall Clock Amazon verkauft die Alexa-Wanduhr wieder
  3. Echo Wall Clock Amazon stoppt Verkauf der Alexa-Wanduhr wegen Technikfehler

Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

    •  /