Nummerschloss auf einer PC-Tastatur
IT-Sicherheit

Passwortsicherheit

Der Zugriff auf Informationen wird oft über die Eingabe einer Kombination aus persönlicher Kennung (Profilname, E-Mail-Adresse, Kunden- oder Telefonnummer) und geheimem Passwort geschützt. Wer Kennung und Passwort kennt, kann sich authentifizieren. Kennungen können leicht erraten werden, umso wichtiger ist ein sicheres Passwort. Dazu einige grundsätzliche Anmerkungen:

  • Das Passwort sollte geheim gehalten und nicht an andere Personen weitergegeben werden.

  • Wird ein Passwort unautorisierten Personen bekannt, ist es unverzüglich zu ändern.

  • Bei der Eingabe des Passworts sollte darauf geachtet werden, dass keine unbefugten Personen die Eingabe beobachten können.

  • Für jeden Webdienst sollte ein separat erstelltes Passwort verwendet werden. Viele Angriffe basieren darauf, einmal bekannt gewordene Kombinationen aus Profilnamen bzw. E-Mail-Adresse und Passwörtern bei anderen Diensten zu testen.

  • Die Verwendung eines Passwortmanagers ist zu empfehlen. Achten Sie jedoch darauf, ein Masterpasswort festzulegen.

Anforderungen an ein sicheres Passwort:

  • Je länger ein Passwort ist, desto besser ist der Schutz. Die absolute Mindestlänge von Passwörtern sollte acht Zeichen betragen.

  • Es sollten Passphrasen, das heißt lange Wortfolgen, genutzt werden.

  • Durch die Verlängerung des Passworts lassen sich die Kombinationsmöglichkeiten bei der Zeichenauswahl erhöhen und so die Erfolgsaussichten von unberechtigten Zugriffen senken.

  • Das Passwort kann auch aus einem alphanumerischen Zeichenmix mit Sonderzeichen gebildet werden. Je individueller, desto besser.

  • Das Passwort sollte in keinem Wörterbuch stehen, denn diese werden bei Angriffen standardmäßig zu Hilfe genommen.

  • Beliebte Tastenkombinationen wie 1234567890, qwertz, password, 1q2w3e4r oder Vergleichbares sind zu vermeiden.

  • Ebenfalls zu vermeiden sind sogenannte Trivialpasswörter, die sich aus Namen, Geburtsdaten oder Kfz-Kennzeichen herleiten lassen.

  • Außer für Anwendungen mit höherem Schutzbedarf sollte ein zwangsweiser zyklischer Wechsel des Passworts nicht erzwungen werden. Dafür ist aber ein ausreichend langes sicheres Passwort zu bilden.

  • Die Wiederverwendung eines bereits benutzten Passworts sollte erst nach mindestens fünf Wechseln erfolgen.

  • Vorgegebene Start- bzw. Initialpasswörter einer Anwendung oder eines Diensts sollten immer unverzüglich geändert werden, da diese mit hoher Wahrscheinlichkeit Dritten bereits bekannt und auch leicht zu erraten sind.

Mit dem Webdienst Pwned Password können Sie überprüfen, ob sich Ihr Passwort auf einer Liste von offengelegten („gehackten“) Passwörtern befindet. Weitere Hinweise – unter anderem auch zu Passwortmanagern und zu Mehrfaktorauthentifizierungen – finden Sie in unserem Ratgeber Umgang mit Passwörtern.