„Ändere dein Passwort“-Tag

Seit 2012 ist jedes Jahr am 01. Februar der „Ändere dein Passwort“-Tag. Den Start machten US-Techblogs und Gizmodo, die im Jahr 2012 eine Art positiven Gruppenzwang zum Passwort ändern generieren wollten. Zumindest die wichtigsten Passwörter sollten einmal im Jahr geändert werden. Aber ist das wirklich so sinnvoll und wichtig?

Ob das regelmäßige Ändern des Passworts wirklich zu mehr Sicherheit führt, ist mindestens umstritten. Guckt man sich die Passwort-Richtlinien von Unternehmen an, so bekommen Nutzer alle paar Wochen oder Monate die Aufforderung zur Änderung. Das führt oft dazu, dass die Nutzer sich ein leicht zu merkendes Passwort geben, garniert mit einer Nummer. So wird aus „passwort!12“ bei der nächsten Änderung schnell „passwort!13“. Ein Mehr an Sicherheit ist da sicher nicht gegeben.

Doch was ist wichtiger als regelmäßig sein Passwort zu ändern? Ein Passwort sollte ein Mindestmaß an Komplexität aufweisen. Dass das auch heutzutage noch ein Problem ist, zeigen die beliebtesten Passwörter in Deutschland. Das Hasso-Plattner-Institut (HPI) veröffentlicht regelmäßig eine Liste der beliebtesten Passwörter. Datengrundlage sind 67 Millionen Zugangsdaten, die in 2019 geleakt wurden. 2019 registrierte das HPI über 178 Datenleaks, die in ihren Identiy Leak Checker eingeflossen sind. 96 dieser Datenleaks wurden von den Diensteanbietern bestätigt. Die Liste der beliebtesten Passwörter Deutschland sieht in jedem Jahr nahezu gleich aus.

Zudem sollte man regelmäßig prüfen, ob man selbst Opfer eines Datendiebstahls geworden ist. Das HPI bietet dazu den schon erwähnten Identity Leak Checker an. Seit 2014 kann jeder Internetnutzer das Tool kostenlos durch Eingabe der E-Mail-Adresse nutzen und prüfen, ob Identitätsdaten von ihm frei im Internet kursieren und missbraucht werden könnten. Mittlerweile umfasst die Datenbank mehr als 10 Milliarden Identitätsdaten. Ein weiteres Tool, um auf Basis der E-Mail-Adress ezu prüfen, ob der eigene Login und die persönlichen Daten von Daten-Leaks betroffen sind, ist HaveIbeenpwned.

Was die Datenleaks auch zeigen: Die Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten ist keine gute Idee. Wird ein Dienst gehackt, sind eventuell andere Dienste direkt auch kompromittiert. Laut einer Umfrage des E-Mail Anbieters Web.de nutzer leider immer noch 59 Prozent der Internetnutzer dasselbe Passwort für mehrere Dienste. Persönliche Informationen gehören laut dieser Studie auch noch zum Standard bei Passwörtern.

 

Beliebteste Passwörter Deutschlands

• 123456
• 123456789
• 12345678
• 1234567
• password
• 111111
• 1234567890
• 123123
• 000000
• abc123

Quelle: Hasso-Plattner

Ein Passwort wird sicherer, je länger das Passwort und je größer der Zeichenvorrat ist. Denn daraus ergibt sich, wie lange es wohl dauert alle möglichen Kombinationen durchzurechnen.

Der Zeichenvorrat hat die Größe 10, wenn man nur Zahlen benutzt (0 – 9). Können für ein Passwort nur Buchstaben genutzt werden, ist der Zeichenvorrat bereits bei 26 ohne und 52 mit Groß-und Kleinschreibung. Zahlen und Groß- und Kleinbuchstaben ergeben 62 Zeichen im Zeichenvorrat, mit Sonderzeichen kommt man auf 96 – 108 mögliche Zeichen.

Eine 4-stellige PIN – also ein kurzes, einfaches Passwort – hat 10^4 mögliche Kombinationen: 10.000 Passwörter. Alle Kombinationen zu berechnen dauert < 1 Sekunde. Nimmt man zu den Zahlen noch Groß- und Kleinbuchstaben hinzu, bekommt man bereits 62^4 = 14.776.336 mögliche Passwörter. Aber auch hier braucht ein normaler PC <1 Sekunde, um alle Kombinationen zu berechnen. Bei einer Passwortlänge von 12 Stellen ergeben sich bereits 62^12 = > 3 Trilliarden Möglichkeiten und es würde für einen normalen PC ca. 1.705 Jahre dauern, alle Kombinationen zu berechnen. Eine Cluster oder eine Cloud bräuchte immer noch knapp 6 Jahre.

 

Wie erstellt man ein sicheres Passwort?

Um ein sicheres Passwort zu erstellen, gibt es verschiedene Methoden. Eine davon ist die Satzmethode, die wir kurz erklären:

• Denken Sie sich einen einfach zu merkenden Satz aus: „Mein Auto ist das schnellste der Welt.„
• Wählen Sie einzelne Buchstaben (z.B. erster und letzter Buchstabe): Mn Ao it ds se dr Wt.
• Großbuchstaben, Satz- und Sonderzeichen einfügen: MnA01tdss€drWt.

Bereits nach fünfmaliger Eingabe dieses Passwortes werden Sie sich an das Tipp-Muster erinnern. Dieses Passwort ergib 96^15 Kombinationen und es würde über 500 Millionen Jahre dauern, um alle Kombinationen zu berechnen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält einige interessante Tipps für Passwörter und Passwortsicherheit für sie bereit.