Gestaltung und Umgang mit Passwörtern

BSI ändert seine Meinung

Gestaltung und Umgang mit Passwörtern

Selten, aber es geschieht: Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat seine Meinung geändert, fordert keine ständigen Passwortwechsel mehr.
Das National Institute of Standards and Technology (NIST, US-Behörde) revidierte diese Ansicht bereits 2017 mit folgenden Ratschlägen:

  • Passwörter müssen geheim gehalten werden (Zettel mit den Passwörtern an Bildschirmen oder Tastaturen sind absolut inakzeptabel)

  • dasselbe Passwort sollte nicht für unterschiedliche Zwecke verwendet werden

  • umso länger das Passwort, umso besser (es empfehlen sich auch vollständige Sätze)

  • zu komplizierte Passwörter gefährden die Sicherheit

  • Sonderzeichen oder Zahlen sind gut, wenn das Passwort dadurch nicht zu kompliziert wird und im schlechtesten Fall häufig so verwendet wird (Bsp. Pa$$w0rd)

  • grundlose Passwortwechsel sind zu vermeiden

  • wenn ein Passwort gewechselt wurde, darf es nicht wiederverwendet werden und auch marginale Veränderungen reichen nicht aus

Für die Wahl des Passworts ist zu beachten:

  • Es muss individuell und gleichzeitig merkbar sein. Eine beliebte Methode funktioniert so: Man denkt sich einen Satz aus und benutzt von jedem Wort nur den 1. Buchstaben (oder nur den zweiten oder letzten). Anschließend verwandelt man bestimmte Buchstaben in Zahlen oder Sonderzeichen. Hier ein Beispiel: "Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang." Nur die ersten Buchstaben: "MsiaupmmZdMl". "i und l" sieht aus wie "1", "&" ersetzt das "und": "Ms1a&pmmZ3M1".

Ebenfalls zu beachten:

  • Mindestens 8 Zeichen

  • Alle verfügbaren Zeichen nutzen (Groß-/Kleinschreibung, Ziffern, Sonderzeichen wie Leerzeichen, ?!%+ etc.)

  • Keine Namen, Wörter aus Wörterbüchern

  • Keine wiederholung-/Tastaturmuster („abcd“, „qwert“, „1234“, etc.)

Passwörter müssen geheim gehalten werden, sollten

  • niemals unverschlüsselt auf dem PC abgelegt werden oder auf dem berühmten Notizzettel am Bildschirm kleben. Wer sich Passwörter notieren will, sollte sie stattdessen gut unter Verschluss halten bzw. auf dem Rechner in einer verschlüsselten Datei ablegen.

  • auf jeden Fall geändert werden, wenn es einen Hinweis gibt, dass es tatsächlich in die Hände von unbefugten Dritten gelangt ist. Ein solcher Hinweis kann beispielsweise die direkte Aufforderung eines Diensteanbieters sein, das Passwort zu ändern, ebenso die Nachricht, dass Passwörter eines bestimmten Dienstleisters gestohlen worden und nun im Internet aufgetaucht sind,

  • keine einheitlichen Passwörter verwendet,

  • voreingestellte Passwörter geändert,

  • Bildschirmschoner mit Kennwort gesichert,

  • Passwörter nicht an Dritte weitergeben oder per E-Mail versendet werden, darüber hinaus gilt:

  • auch eine Spam- oder Phishing-Mail, in der korrekte persönliche Daten genutzt werden, kann ein Hinweis darauf sein, dass jemand Zugang zu einem privaten Account hatte und dort Daten abgriff.

  • ist ein Gerät mit einem Schadprogramm infiziert, ist dies ebenfalls ein Grund, Passwörter zu ändern das Gerät muss jedoch zunächst bereinigt werden, erst anschließend sollten die Passwörter geändert und Log-Ins wieder über das betroffene Gerät durchgeführt werden.

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)