Es ist sehr wichtig für verschiedene Webdienste unterschiedliche, möglichst lange und natürlich sichere Passwörter zu verwenden. Für mehrere Logins das gleiche Passwort zu verwenden, stellt ein großes Sicherheitsrisiko dar. Immer wieder kommt es vor, dass Webseiten gehackt werden, oder dass durch fahrlässige Fehlkonfigurationen der Betreiber, Zugangsdaten in großen Mengen offengelegt werden. Im schlimmsten Fall speichern Anbieter die Passwörter ihrer Kunden sogar im Klartext, was gemäß DSGVO zu Recht verboten ist. Verwendet man stets dasselbe Passwort für alle Dienste, reicht bereits ein einziger Verlust aus, um viele Logins zu kompromittieren. Der sogenannte Identitätsdiebstahl ist im günstigsten Fall lästig, meistens jedoch sehr teuer oder sogar strafrechtlich problematisch. Ein verlorener Ebay-Account kann reichen, um sich mit den Ansprüchen einer Vielzahl geprellter Käufer von hochwertiger Unterhaltungselektronik auseinandersetzen zu müssen…
Passwörter die den Zugang zu Webdiensten absichern, können einer sehr großen Zahl von Angriffen ausgesetzt sein. Es hängt auch davon ab, wie gut die Sicherheitsmechanismen des Betreibers sind, um solche Attacken wirksam einzudämmen. Man sollte jedoch vorsorglich davon ausgehen, dass ein potentieller Angreifer automatisiert eine sehr große Zahl möglicher Login/Passwort-Kombinationen ausprobieren kann. Sichere Passwörter bestehen deshalb immer aus einer Zusammenstellung kleiner und großer Buchstaben sowie aus Ziffern und Sonderzeichen. Man sollte niemals Passwörter verwenden, die im Duden stehen. Klassiker wie „Passwort123“, „qwertz“, „abc123“ oder „12345678“ sind ohnehin tabu. Von solchen Passwörtern, die manche auch heute noch als sicher erachten, gibt es im Internet vorgefertigte Listen mit einigen tausenden Einträgen – zum schnellen Ausprobieren (über Bot-Netze können hunderte E-Mail-Adresse/Passwort-Kombinationen innerhalb von Sekunden ausprobiert werden). Passwörter, die in deartigen Wortlisten enthalten sind, dürfen niemals verwendet werden. Genausowenig dürfen Passwörter verwendet werden, die bereits als Beispiel für ein sicheres Passwort im Internet veröffentlicht worden sind…
Was ist ein gutes Passwort?
Idealerweise denkt man sich für ein gutes Passwort zunächst einen eigenen längeren Merksatz aus, und setzt das Passwort dann aus den Anfangsbuchstaben der einzelnen Wörter zusammen. Die so erzeugten Passwörter sind hinreichend komplex und sehr sicher. Für jeden Dienst kann man den verwendeten Satz geringfügig modifizieren, so dass man auf diese Weise viele verschiedene Passwörter erhält, die man sich trotzdem alle merken kann. Problematisch ist es, wenn Betreiber strikte Vorgaben für ihre Passwörter machen, oder bestimmte Sonderzeichen technisch nicht verwendbar sind. Ein bekannter Mail-Anbieter empfiehlt inzwischen Passwörter mit mindestens 15 Zeichen. Die Merksatz-Methode kann dann an ihre Grenzen stoßen.
Eine andere Möglichkeit besteht darin, zufällig und ohne Zusammenhang mehrere Wörter aus einem Wörterbuch oder von einer Wortliste auszuwählen und diese Wörter dann zu einem sehr langen Passwort zusammenzusetzen. Dieses Verfahren wird auch als Diceware-Methode bezeichnet. Das enstehende Passwort ist, trotz seiner Länge, relativ leicht zu merken und es besitzt eine sehr hohe Entropie (kryptologische Informationsdichte). Durch computergestützte Angriffe sind derartige Passwörter noch schwieriger angreifbar als die komplexen, aber meist kürzeren, Passwörter der Merksatzmethode.
Müssen Passwörter regelmäßig geändert werden?
Die früher geläufige Meinung, dass es wichtig sei, Passwörter regelmäßig zu ändern, wird inzwischen eher selten vertreten. Es gibts zwar noch Systeme, die eine solche regelmäßige Änderung fordern, aber der Stand der Dinge das nicht mehr. Im Gegenteil, die ständige Aufforderung neue Passwörter zu vergeben, bewirkt unter Umständen sogar eine Verschlechterung der Sicherheit. Die Nutzer neigen in diesen Fällen dazu, anstatt komplexer Passwörter eher einfache Wortkombinationen mit periodisch angepassten Zahlenfolgen zu verwenden, um den Überblick über das jeweils gültige Passwort zu behalten.
Ein Passwort sollte immer dann dringend geändert werden, wenn der Verdacht auf Kompromittierung besteht. Wenn also verdächtige oder unerklärliche Aktivitäten festgestellt werden, oder wenn man eine nicht nachvollziehbare Sicherheitswarnung eines verwendeten Dienstes erhält. E-Mail-Konten verdienen besondere Aufmerksamkeit, da darüber leicht andere Passwörter zurückgesetzt oder geändert werden können. Beim Verlust von Hardware (Handy, Tablet, Laptop, PC, Festplatte, USB-Stick) ist die Änderung aller dort gespeicherten Zugangsdaten und WLAN-Passwörter obligatorisch. Des Weiteren sollte man bei der Eingabe von Zugangsdaten stets sicherstellen, dass man sich wirklich auf der echten Login-Seite des jeweiligen Diensteanbieters befindet und die Verbindung über ein gültiges Zertifikat gesichert ist (Schloss-Symbol im Browser), damit man seine Daten nicht über die sogenannte Phishing-Methode selbst offenlegt. Abschließend bleibt zu erwähnen, dass es sinnvoll ist, verwendete Passwörter dann zu ändern, wenn man Kenntnis von aufgedeckten Sicherheitslücken eines eigenen Diensteanbieters erhält. Sofern möglich, sollte außerdem stets die Zwei-Faktor-Authentisierung zur Absicherung von Logins über einen zweiten Kanal aktviert werden, falls diese beim jeweiligen Anbieter zu Verfügung steht.