Ein Sonderzeichen, ein Großbuchstabe, eine Zahl – das war einmal.
Foto: Imago Images

BerlinViele Jahre mussten wir alle paar Monate aus Sicherheitsgründen unsere Passwörter wechseln. Damit ist nun Schluss! Denn das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist von den uns allen wohl vertrauten Regeln wie „ein Sonderzeichen, ein Großbuchstabe, eine Zahl“ und eben „regelmäßiger Passwortwechsel“ abgerückt. Die neuen Empfehlungen sind: Jedes Zeichen ist erlaubt, auch Leerzeichen. Passwörter sollen nicht regelmäßig gewechselt werden, außer es wurde eines entwendet oder dies kann vermutet werden.

Denn es ist bekannt, dass Menschen für viele Anwendungen das gleiche Passwort verwenden, das sie durch den Zwang zum regelmäßigen Wechsel dann nur minimal verändert weiternutzen. Fein, werden Sie sagen, und wie sieht es mit dem Wichtigsten aus? Ich erlaube mir hier unsere BVG zu zitieren, die ihre großen Gelben ja bekanntermaßen mit der Länge bewirbt, auf die es bei Passwörtern wohl noch mehr als bei Bussen ankommt. Und ich muss zugeben, dass ich in diesem Punkt vom BSI leicht enttäuscht bin. Das würde ich nie laut sagen, aber Ihnen sage ich das, werte Leserinnen und werte Leser: 8 Zeichen sind einfach zu wenig für meinen Geschmack, 10 sind aus meiner Sicht das Minimum, besser gleich 12 Zeichen, länger geht immer. Hier hätte das BSI mit den neuen Empfehlungen von den Anwendern, ergo uns allen, mehr fordern können.

Zumal ich drei gute Argumente für lange Passwörter mitgebracht habe: Erstens müssen Sie sich nur noch ein einziges Master-Passwort merken – Auflösung folgt geschwind; das sollte dann länger und damit sicherer sein. Zweitens können wir uns mit einer weiteren Empfehlung des BSI auch längere Passwörter leicht merken: Nutzen Sie Passphrasen zur Bildung eines Passwortes, soll heißen: Nehmen Sie einen Ihnen geläufigen Satz und leiten daraus Ihr Passwort ab wie zum Beispiel Morgen spiele ich auf meiner Trompete Brahms’ Klavierkonzert nach, kann man machen, ergibt dann das 10-stellige Passwort MsiamTB’Kn. Sie können auch immer die ersten zwei Buchstaben nehmen und erhalten MospicaumeTrBrKlna, 18 Zeichen. Sie können auch direkt den Beispielsatz verwenden, das sind dann 65 Zeichen. Ihrer Fantasie sind keine Grenzen gesetzt.

Drittens sollten Sie einen sogenannten Passwort-Manager zum sicheren Speichern all Ihrer Passwörter verwenden. Dann zieht das erste Argument: Sie müssen sich nur Ihr Master-Passwort zum Zugang zum Passwort-Manager merken. Es gibt für den privaten Gebrauch gute und kostenlose Passwort-Manager am Markt. So gewappnet erfüllen Sie mit der Länge nicht nur die wichtigste Anforderung an Passwörter, sondern auch die allerwichtigste: die Vielfalt! Sie sollten für jede Anwendung ein eigenes Passwort benutzen. Dann kann ein Angreifer, wenn er eins Ihrer Passwörter erlangt, nur die eine Anwendung missbrauchen. Und nicht alle Anwendungen, wenn Sie ein Passwort für alle nutzen.

Machen Sie es gut, ändern Sie Ihre Passwörter gemäß der neuen Empfehlungen, Länge für Master-Passwort, Vielfalt für alle Anwendungen und Passwort-Manager nicht vergessen. Denn in zwei Wochen werde ich diese hier an gleicher Stelle abfragen.

Der Autor ist Datenschutzbeauftragter des Berliner Verlags und Expert Director der Core SE, an der der Verleger der Berliner Zeitung eine Beteiligung hält.