digitale Themen, leicht verständlich.

Leicht zu merken

Auf die Länge kommt es an: Neue Regeln für sichere Passwörter

Geschätzte Lesezeit: ca. 1 Minute

Foto von Sandra Spönemann

von Sandra Spönemann (@die_spoent_wohl)-

Nummern und Sonderzeichen verwenden, regelmäßig ändern und sie möglichst kompliziert machen – das soll Passwörter angeblich am sichersten machen. Das 'National Institute of Standards and Technology' (USA) hat nun jedoch neue Richtlinien veröffentlicht, die den klassischen Regeln widersprechen.

Obwohl das oben genannte Institut die Richtlinien für "digital identities" für staatliche Behörden publiziert, gilt das zugrundeliegende Prinzip auch für private User: Statt möglichst komplizierte Passwörter zu erstellen, die sich die Nutzer kaum bis gar nicht merken können, sollte man besonders lange verwenden.

Selbst wenn lange Kennwörter keine Sonderzeichen oder Zahlen enthalten, seien sie laut Paul Grassi, Senior Standards and Technology Adviser, sicherer als kurze. "Wir fokussieren uns auf die kognitive Seite (der Passworterstellung) – welche Tools können Nutzer verwenden, um sich an Kennwörter zu erinnern?", so Grassi. Ein langes Passwort, zum Beispiel ein fantasiereicher, ungewöhnlich formulierter Satz, ist demnach besser zur Kontosicherung geeignet als ein kurze Folge unzusammenhängender Zeichen.

So if you can picture it in your head, and no one else could, that's a good password.

Paul Grassi, Adviser bei NIST

Weiter begründet der Experte die Veränderung der Richtlinien damit, dass Benutzer, die alle 90 Tage dazu aufgefordert werden, ihr Passwort zu verändern, dabei häufig nur einen Teil des alten Kennworts ändern würden. Und diesen Umstand hätten auch die "bad guys" antizipiert.

Neben der Verantwortung der User selbst, sichere Login-Daten zu erstellen, wird in den Richtlinien des National Institute of Standards and Technology (NIST) auch darauf eingegangen, welche Anforderung "verifier" erfüllen müssen – wie also das Programm gestaltet sein muss, das die Anmeldedaten auf Zulässigkeit prüft. Passwörter, die bei früheren Hacks "gestohlen" wurden, Begriffe aus dem Wörterbuch, repitive oder sequenzielle Zeichen (abcd, 11111) und kontextspezifische Wörter (Benutzername, Name des Services, etc.) sollten demnach direkt ausgeschlossen werden.

Hier erfährst du mehr über: Datenschutz und Sicherheit

Sag uns deine Meinung!