Wie lang und komplex sollte ein Passwort sein? Muss ich wirklich immer wieder meine Passwörter ändern? Und sollte ich mich eigentlich immer auf Internetseiten abmelden? Andreas Türk, Group Product Manager Identity, Privacy und Security am Google Safety Engineering Center (GSEC) in München, klärt für die Nachrichtenagentur spot on news über die sechs größten Mythen rund um Passwörter auf. Der Experte ist seit 2006 bei Google und arbeitet am GSEC mit seinem Team vorrangig an Produkten und Hilfen, die es Nutzerinnen und Nutzern ermöglichen sollen, ihre Privatsphäre und Daten zu schützen.
Mythos 1 - Komplexe Passwörter sind sicherer: Ein sicheres Passwort muss acht Zeichen lang sein, eine Ziffer, ein Sonderzeichen und Großbuchstaben enthalten
"Die Erstellung komplexer Passwörter ist grundsätzlich ein vernünftiger Ansatz - allerdings nur, wenn ein Passwortmanager dafür verwendet wird", erklärt Türk und liefert auch den Grund dafür. "Denn Menschen, die kombinierte Zahlen-Buchstaben-Varianten oder Sonderzeichen verwenden, gestalten den Rest des Passworts gerne einfach, um es sich trotzdem noch merken zu können." Sein Tipp: "Je länger ein Passwort ist, desto schwieriger ist es für Bots und Hacker, einen Account zu knacken. Acht Stellen sind das absolute Minimum, besser sind zwölf- oder sogar 16-stellige Passwörter. Länger ist demnach immer besser als komplizierter."
Mythos 2 - Passwort ändern: Passwörter sollten alle paar Monate geändert werden
Passwörter häufig zu erneuern, muss nicht unbedingt zuträglich in Sachen Sicherheit sein, ist Türks Ansicht. "Wer seine Passwörter häufiger ändern muss, greift eher zu altbekannten Passwörtern mit kleinen Veränderungen, zum Beispiel 'PASSw0rd2' statt 'PASSw0rd1'. Dadurch erhöht sich das Sicherheitsrisiko." Er rät, "vor allem Wörter und Zeichenfolgen [zu verwenden], die für Nutzerinnen und Nutzer leicht einprägsam sind, auf die andere aber sehr wahrscheinlich nicht kommen werden". Ein sicheres Passwort müsse geändert werden, "wenn es in die Hände Unberechtigter gelangt ist, beispielsweise in Folge eines Datenlecks". Mit Googles Passwortcheck können Userinnen und User ihre im eigenen Konto gespeicherten Passwörter überprüfen. So finden sie heraus, ob ihre Passwörter womöglich nach einem Datendiebstahl veröffentlicht worden sind.
Mythos 3 - Am besten die Passwörter merken: Passwortmanager sind riskant, weil sie alle Zugangsdaten an einem Ort speichern
"Hier gilt ganz klar: Das größte Sicherheitsrisiko geht nicht vom Passwortmanager aus, sondern besteht, wenn das primäre E-Mail-Konto gehackt wird", erklärt der Experte. "Hat ein Angreifer Zugriff auf dieses Konto, kann er relativ einfach alle Passwörter zurücksetzen." Türk ist sich sicher: "Die Vorteile eines Passwortmanagers überwiegen klar die Risiken. Das E-Mail-Konto sollten Nutzerinnen und Nutzer so gut wie möglich absichern, am besten mittels Zwei-Faktor-Authentifizierung. Die Verwendung sicherer, verschiedener Passwörter ohne einen Passwortmanager ist kaum möglich. Dieses smarte Tool generiert nicht nur in Sekundenschnelle starke Passwörter, sondern bündelt, speichert und macht diese geräteübergreifend auf dem Smartphone (iOS oder Android) sowie Desktop abrufbar."
Mythos 4 - Es braucht nur ein gutes Passwort: Ein einziges gutes Passwort schützt vor allen Risiken
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt auf seiner Webseite: "Ja, in der Regel lohnt sich der Einsatz eines Passwort-Managers. [...] Für Ihre hochsensiblen Inhalte sollten Sie im Passwort-Manager am besten einen erweiterten Schutz einrichten. Dieser lässt sich durch die Einrichtung eines zweiten Faktors bei wichtigen Accounts realisieren."
"Leider ist ein Passwort allein nie der sicherste Weg, um Daten zu sichern. Egal wie kompliziert oder wie lang es ist", führt Türk aus. "Phishing, Datenmissbrauch oder die Wiederverwendung von früheren Passwörtern stellen auch für das vermeintlich sicherste Passwort ein Risiko dar." Wie das BSI rät er: "Insbesondere bei kritischen Websites und Anwendungen sollten Accounts auch durch eine Zwei-Faktor-Authentifizierung geschützt werden. Letztere ersetzt das sichere Passwort allerdings nicht, weshalb beide nur in Kombination verwendet werden sollten."
Bei einer Zwei-Faktor-Authentifizierung müssen User über zwei unterschiedliche Wege beweisen, dass sie berechtigt für einen Zugang sind. Der eine Faktor ist das Passwort, der andere kann beispielsweise ein Einmalkennwort oder Bestätigungscode sein, der per SMS oder über eine App auf dem Smartphone landet.
Mythos 5 - An die Regeln halten: Passwortregeln auf Websites sorgen für ein sicheres Passwort
"Die meisten Websites haben bei der Passworterstellung bestimmte Vorgaben, die Nutzerinnen und Nutzer erfüllen müssen - meist eine Mischung aus Zeichen sowie Klein- und Großbuchstaben. Laut einer Untersuchung eines französischen Sicherheitsinstituts neigen die meisten Menschen jedoch dazu, Großbuchstaben am Anfang und Zahlen am Ende ihres Passworts zu verwenden", erklärt Türk. Wer sich also nur an die Vorgaben einer Website halte, gestalte damit noch lange kein sicheres Passwort. "Wie immer gilt bei der Erstellung eines Passworts, dass die Zeichen gut durchmischt und mindestens acht, besser zwölf- oder sogar 16-stellige Kombinationen gewählt werden sollten."
Mythos 6 - Abmelden ist sinnvoll: Automatisches oder manuelles Abmelden von Websites schützt
Entgegen der Vermutung vieler kann das Abmelden auf Internetseiten sogar eine gewisse Gefahr bergen. "Je öfter Menschen ihre Passwörter eingeben müssen, desto eher verwenden sie ein und dasselbe Passwort - das haben verschiedene Studien gezeigt. Ein ständiges Ab- und Anmelden auf Webseiten ist daher sogar kontraproduktiv", begründet der Google-Experte. "Es empfiehlt sich, die automatische Abmeldefunktion zu deaktivieren. Nutzerinnen und Nutzer sollten eine PIN sowie eine Gesichts- oder Fingerabdruckerkennung auf Smartphone und Laptop nutzen und auf Webseiten und in Apps eingeloggt bleiben."