by

Mythen der IT-Security: Passwortregeln

9. September 2017 in IT

Wer kennt es nicht?

Das Kennwort muss mindestens 8 Zeichen lang sein. Sie müssen mindestens jeweils einen Kleinbuchstaben, einen Großbuchstaben, eine Ziffer und ein Sonderzeichen verwenden. Während der Eingabe müssen Sie einen rituellen Tanz aufführen, dabei muss mindestens die Sonne oder der Mond angebetet werden und Sie müssen alle Ihre Vorfahren bis in die 4. Generation sortiert nach dem Geburtsdatum aufzählen. OK, jetzt habe ich etwas übertrieben. Aber ehrlich gesagt kommt man sich doch hin und wieder so vor.

Natürlich ist es wichtig ein Passwort zu nutzen, dass etwas komplizierter ist als „Passwort“ oder „12345“. Letzteres ist übrigens das Kennwort für den Luftschild vom Planeten Druidia im Film Spaceballs. Dass in dieser kultigen Parodie dieses Kennwort gewählt wurde ist übrigens kein Zufall. „12345“ gehört weltweit zu den am häufigsten verwendeten Kennwörtern. Und das hat sich anscheinend seit den 80’ern so gehalten. Wir Menschen sind faul. Wir möchten uns keine komplizierten Zeichenkolonnen merken. Nur leider sind so einfache Kennwörter leicht durch einen Wörterbuchangriff zu knacken. Die oben genannten Passwortregeln haben also einen wirklich guten Grund, da sie die Angriffe erschweren. Nun ist es leider so, dass diese Passwortregeln von jedem Dienstanbieter anders definiert werden. Habe ich also mal ein schön komplexes Passwort gefunden, dass ich mir auch irgendwie merken kann, dann kann ich dies eventuell nicht überall verwenden. Es gibt übrigens erste Untersuchungen die erstaunlicher Weise der Einbettung von Sonderzeichen in Kennwörtern kaum eine Erschwerung beim Knacken der Passwort-Hashes zuschreiben.

Richtig problematisch wird es allerdings durch die absolute Unart Nutzer zu zwingen Ihre Passwörter in regelmäßigen Abständen zu ändern. Und dazu merken sich die Systeme auch noch die letzten Passwörter und verlangen jedesmal ein anderes. Ständig wechselnde und komplexe Passwörter kann sich niemand merken. Das hat leider zur Folge, dass die Passwörter auf einem Post-It unter der Tastatur oder sogar am Bildschirmrand kleben. Und jetzt fördern die Regeln die Sicherheit eben nicht mehr. Im Gegenteil, die Unsicherheit wird erhöht.

Bei diesem Thema wird häufig extremisiert und dadurch das Gegenteil vom Ziel erreicht. Wie bei allem im Leben kommt es auch hier auf das Maß an. Natürlich sollte eine gewisse Komplexität gefordert werden. Aber bitte verzichtet auf die regelmäßige Änderung. Nur dann können sich Nutzer die Passwörter merken und nutzen keine Post-It’s.

Mein Tipp für ausreichend komplexe Passwörter: Einen Satz suchen in dem Zahlen vorkommen. Dieser Satz sollte natürlich kein übliches Sprichwort sein. Von allen Wörtern des Satzes die Anfangsbuchstaben mit Groß- und Kleinschreibung zusammen mit den Zahlen ergibt dann ein leicht merkbares Kennwort.

Leave a reply

You must be logged in to post a comment.