Wie muss ein sicheres Passwort aussehen?

«Es ist wichtig, dass für jeden Dienst und jedes Konto ein eigenes starkes Passwort gewählt wird.» Was eigentlich zum Einmaleins der Cyber-Sicherheit gehören sollte, ist nach wie vor ein Satz, den Security-Experten gebetsmühlenartig wiederholen.

Worauf es bei der Wahl des Passworts ankommt und welche Gründe für eine externe Passwort-Verwaltung sprechen, verrät Christian Funk, Leiter des deutschsprachigen Forschungs- und Analyseteams beim IT-Sicherheitsunternehmen Kaspersky, im Interview.

Der Vorteil unterschiedlicher Passwörter liegt auf der Hand: «Nur so sind weitere Accounts im Ernstfall geschützt, sollte tatsächlich mal ein Passwort kompromittiert werden», erklärt Funk.

Er sagt, worauf es bei der Wahl eines sicheren Passworts ankommt: «Ein starkes, sicheres Passwort besteht aus mindestens 16 Zeichen und einer Kombination aus Gross- und Kleinbuchstaben, Zahlen sowie Sonderzeichen.»

Dass am «Change Your Password Day» am 1. Februar dazu aufgerufen wurde, sein Passwort zu ändern, weil das die Sicherheit erhöhe, sieht Funk kritisch:

«Nach heutigem Verständnis wirkt sich das regelmässige Ändern von Zugangsdaten eher kontraproduktiv auf die Sicherheit von Online-Konten aus. Das heisst die Passwörter werden tendenziell eher schwächer als stärker gestaltet.»

Das russische Softwareunternehmen schlägt deshalb vor, den Fokus des Jahrestags zu ändern: «Daher plädieren wir bei Kaspersky nicht für einen 'Ändere-Dein-Passwort-Tag', sondern für einen 'Stärke-Dein-Passwort-Tag'.

Weil es praktisch ist, nutzen viele die in ihrem Browser implementierte Passwort-Verwaltung. Häufig bietet diese zusätzlich die Option, sichere Passwörter zu generieren. Allerdings ist die Information dann auf dem Computer hinterlegt – eine Gefahr?

«Moderne Implementierungen von Passwort-Management in Browsern sind besser und sicherer geworden», sagt Funk zwar, schränkt aber ein, «dennoch bieten sie als fester Teil des Browsers mehr Angriffsfläche für web-basierte Angriffe und in manchen Fällen Schwächen in der sicheren Verwahrung der Passwörter, etwa der Verschlüsselung.»

Wer völlig auf Nummer sicher gehen möchte oder muss, greift deshalb zu weiterer Software, um seine Passwörter zu verwalten.

Ihr Vorteil liegt dem Experten zufolge neben der sicheren Verschlüsselung des Passworts darin, «dass sie auch ausserhalb des Browsers ihre Dienste anbieten, etwa bei der Anmeldung bei Game-Launcher-Software wie Steam, Uplay oder anderen Portalen mit eigener Software.»

Zu besonderer Vorsicht mahnt Funk bei biometrischen Daten:

«Das Gesicht und der Fingerabdruck sind einzigartig, die Sensorik und der Code zur Überprüfung können aber in manchen Fällen überlistet werden. Im Fall von Fingerabdrücken können diese auch mit einfachen Mitteln von einer Person kopiert und zur Freischaltung von Geräten verwendet werden.»

Im Gegensatz zu einem normalen Passwort ist der Verlust von biometrischen Daten weitreichender, erklärt Funk:

«Das grosse Problem dabei: Wenn ein Passwort in die falschen Hände gerät, kann der Nutzer es einfach ändern. Passiert dies bei biometrischen Informationen, dann sind sie für alle Zeiten für sicherheitsrelevante Authentisierungsmethoden verbrannt.»

Notwendig machen die Wachsamkeit der User kriminelle Machenschaften im Netz. «Nutzer denken fatalerweise immer noch, dass sie und ihre Daten für Cyberkriminelle uninteressant wären», kommentiert Funk und warnt: «Das macht sie oftmals zu leichten Opfern.»

Auch sichere Passwörter allein schützen nicht vor betrügerischen Absichten, der Rat des Sicherheitsexperten: «Nutzer sollten immer wachsam sein, den eigenen Verstand einschalten und prüfen, woher Mails stammen und aus welchen Quellen sie Dateien herunterladen.»