Internet-Sicherheit: Wieso Sie Ihr Passwort nur selten ändern sollten

Mark Zuckerbergs Passwort lautet «dadada», wiekürzlich nach einem Hackerangriff auf den Twitter- und den Pinterest-Account des Facebook-CEOs publik wurde. Zuckerberg verstiess damit gegen eine der zwei goldenen Regeln des Passwort-Setzens. «Denken Sie sich ein komplexes Passwort aus.» Und: «Änderen Sie Ihr Passwort regelmässig.»

Doch wie Wissenschaftler nun herausgefunden haben, könnten Internet-Nutzer die zweite Regel getrost ignorieren. Der Blog Ars Technica hat zu diesem Thema einige Studien zusammengetragen, die beweisen: Es ist relativ egal, wie häufig man sein Passwort verändert.

Bereits 2010 hatten Wissenschaftler der University of North Carolina at Chapel Hill Daten von etwa 10'000 ehemaligen Studenten ausgewertet, die ihre Kennwörter regelmässig ändern mussten, weil die Sicherheitsrichtlinien der Hochschule das so vorschrieben, so die «Süddeutsche Zeitung». Das Fazit: «Unsere Studie wirft Zweifel auf, dass es sinnvoll ist, Passwörter mit einem Verfallsdatum zu versehen.»

Die Vorsichtsmassnahme erhöhe die Sicherheit nämlich nur dann, wenn jedes Mal ein komplett neues Kennwort vergeben werde. An diese Regel hielten sich die meisten Surfer allerdings nicht. Aus «password» werde oft einfach «password1» oder «pa$$word». Moderne Programme könnten solche Muster aber leicht vorhersagen. Ein weiteres Problem: Menschen würden dazu tendieren, von Beginn weg weniger komplexe Passwörter zu wählen, wenn sie diese ohnehin bald wieder ändern müssten.

Die Ergebnisse der Wissenschaft haben nun sogar die Federal Trade Comission (FTC), die Wettbewerbsschutzbehörde der USA, überzeugt. Hatte Sie Anfang Jahr noch den Tipp gegeben, man solle sein Passwort häufig ändern, so verzichtet sie neu auf diesen Ratschlag. In ihren letzten Sonntag veröffentlichten «Passwort-Tipps für Fortgeschrittene» fehlt die Empfehlung.

Die neue Devise lautet: Im Fall eines besonderen Ereignisses sollte man sein Passwort schnell ändern, hingegen nicht ohne konkreten Verdacht. Ginge es nach der Wissenschaft, wären Passwörter ohnehin längst verschwunden. Fingerabdrücke, Iris-Scanner oder Spracherkennungssoftware wären nämlich sicherere Möglichkeiten der Identifizierung.

Doch de facto wird es noch dauern, bis niemand mehr Passwörter eingibt. Daher bleibt die Frage, wie ein sicheres Passwort aussieht. Dabei gilt: Gute Passwörter dürfen nicht nach bestimmten Mustern aufgebaut sein: Brigitte44!, *B3rn3r0berland* und Singingintherain739 sind also leicht zu knacken.

Damit ein Passwort sicher wird, muss es willkürlich sein. Zum Beispiel ein Fantasiewort, das einen mal zum Lachen gebracht hat oder eine Zeile aus einem Gedicht, das nicht allzu bekannt ist, kombiniert mit Zahlen, die man aus Telefonnummern, Schuhgrössen oder Ähnlichem kombiniert. Ein Beispiel: Aus dem Fantasiewort Schwubbelmurks, der Telefonnummer 079..., der Schuhgrösse 37 und der Hausnummer 156 wird dann: schwu079BBel37murks156. Dieses Passwort ist richtig schwer zu knacken.

Wer überprüfen möchte, ob sein Passwort tatsächlich sicher ist, kann dies auf der Website des Datenschutzbeauftragten des Kantons Zürich tun. In einem Interview mit Comedian John Oliver erklärte NSA-Whistleblower Edward Snowden, dass ein schlechtes Passwort die grösste Gefährdung für Computer-Nutzer ist: