Köln - Am Schlüsselbund hängen immer mehrere Schlüssel: einer für die Haustür, die Wohnungstür, den Keller, vielleicht auch für das Fahrradschloss oder das Auto. Im Alltag ist es ganz selbstverständlich, auf unsere Sicherheit zu achten.

Was in der analogen Welt niemand hinterfragen würde, werfen viele Internetnutzer bei ihren Online-Konten über Bord. Sie nutzen ein Passwort für mehrere Dienste. Das kann für Nutzer fatale Folgen haben – knackt ein Hacker das Passwort, hat er nicht nur Zugriff auf ein Konto, sondern gleich auf mehrere.

Viele Regeln für gute Passwörter richten sich nach den Tipps des Passwort-Gurus Bill Burr. Er arbeitete bei der US-Behörde National Institute of Standards and Technology (NIST), für die er Empfehlungen für sichere Passwörter erstellte. Der Informatiker sagte bereits 2017 im Wall Street Journal, „vieles von dem, was ich getan habe, bereue ich.“ Manche Empfehlungen, wie Passwörter alle 90 Tage zu wechseln, sind überholt. Die NIST hat ihre Regeln für US-Behörden schon im letzten Jahr überarbeitet, trotzdem lassen sich Tipps für Verbraucher ableiten. Ein gutes Passwort zu erstellen, ist leichter als gedacht. Ein Überblick.

Passwörter nicht regelmäßig ändern

Die Experten der NIST raten mittlerweile davon ab, Passwörter regelmäßig zu ändern. Der Grund: Nutzer wählen dadurch oft einfache Phrasen, die sie sich gut behalten können. Nutzer sollten ihr Passwort allerdings ändern, wenn ein Hacker Daten bei einem Dienst, den sie nutzen, abgegriffen hat. Ob die eigene E-Mail-Adresse bei Diensten hinterlegt ist, die schon Opfer von Hacker-Angriffen wurden, können Nutzer bei „Haveibeenpwned.com“ oder online beim Hasso Plattner Institut prüfen.

Sonderzeichen sind nicht automatisch sicherer

Die Experten von NIST raten Seitenbetreibern, auf komplizierte Vorgaben für Nutzer zu verzichten. Sonderzeichen würden nicht per se die Sicherheit erhöhen, Nutzer würden oft eine Standardphrase abwandeln. So wird aus „Passwort“ einfach „Pa$$w0rt1!!“. Kriminelle nutzen Software, die Buchstabenfolgen und Zeichenketten automatisch ausprobieren und können so solche Passwörter einfach knacken.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist auf seiner Webseite daraufhin, dass ein beliebtes Sonderzeichen wie „!“ oder „?“ am Anfang oder Ende ein einfaches Passwort nicht sicherer macht.

Auf die Länge kommt es an

Damit ein Passwort sicher ist, sollte es möglichst lang sein. Mindestens acht Zeichen, besser sind aber zwölf, raten die Experten der NIST. Noch sicherer wird es mit 16 Zeichen. Um sich ein gutes Passwort zu merken, gibt es verschiedene Eselsbrücken. Das BSI empfiehlt, sich einen Satz auszudenken. Davon kann dann beispielsweise der erste Buchstabe jedes Wortes als Passwort genutzt werden. Das Passwort sollte außerdem nicht in einem Wörterbuch existieren.

Keine Rückschlüsse auf Persönliches

Passwörter sollten nicht den Familiennamen, Geburtsdaten oder den Namen des Haustiers enthalten, rät das BSI. Die Experten der NIST raten Seitenbetreibern nicht nur auf Sicherheitsfragen bei der Wiederherstellung von Konten zu setzten, denn Informationen zu dem Namen des Haustiers oder des Lieblingstiers lassen sich oft online finden. Für Nutzer heißt dies, dass sie besser nicht die Sicherheitsfrage nach dem Namen des Haustiers wählen, wenn sie Bilder mit dem Namen ihres Lieblings auf Facebook posten.

Passwörter niemals doppelt benutzen

Wer sich ein langes Passwort überlegt hat, macht häufig den Fehler es bei allen Diensten zu verwenden. Das Problem: Wird das Passwort geknackt, können es Hacker bei den verschiedenen Konten ausprobieren und bekommen so gleich Zugriff auf alle Daten einer Person. Nutzer sollten keine einheitlichen Passwörter verwenden, empfiehlt das BSI. Die Verbraucherzentrale rät zudem davon ab, sich über ein Konto (wie es zum Beispiel bei Google oder Facebook angeboten wird) bei andren Diensten anzumelden. Das Problem: der zentrale Login ermöglicht Kriminellen dann Zugriff auf alle Konten.

In den Regeln der NIST werden auch Seitenbetreiber aufgerufen, die Sicherheit der Nutzer zu erhöhen. Sie sollten die Passwörter mit anderen Daten abgleichen, um unvorsichtige Nutzer zu schützen. Bei Einträgen aus dem Wörterbuch oder einfachen Passwörtern wie „12345abcde“ oder „aaaaa“, erkennt dies der Algorithmus und der Nutzer muss sich ein neues Passwort ausdenken.

Passwort-Manager nutzen

Damit schwierige und lange Passwörter nicht vergessen werden, empfehlen Experten Passwort-Manager. Ein solches Programm verwaltet die Passwörter der verschiedenen Konten und verschlüsselt sie. Nutzer müssen sich nur ein zentrales Passwort merken. Dieses sollte deshalb besonders lang sein. Das BSI nennt zum Beispiel das Programm „KeePass“.

Zwei-Faktor-Verfahren

Für wichtige Konten wie E-Mail, Facebook oder Twitter können Nutzer ihre Daten zusätzlich absichern: Mit der sogenannten Zwei-Faktor-Authentifizierung, bei der man sich zum Passwort noch auf einem zweiten Weg identifizieren muss. Zum Beispiel wird ein Code per SMS an das eigene Mobiltelefon gesendet. (rh)