In der neuen Reihe "Experten-Interview" zeigt Ihnen unser Sicherheitsexperte Arne, was beim Passwort wichtig ist. Z. B., wie man sichere, leicht zu merkende Passwörter erstellt. Und welche Fehler man nicht machen darf.
WEB.DE Blog: Arne, Du arbeitest ja bereits seit Längerem als Sicherheitsexperte für WEB.DE. Hat sich beim Thema Passwort-Sicherheit viel verändert – gibt es heute andere Regeln oder Standards als noch vor einigen Jahren?
Arne: Unter uns Sicherheitsexperten hat sich an den Standards für wirklich sichere Passwörter gar nichts Grundlegendes geändert. Schon immer lautete die goldene Regel: Je länger das Passwort, desto sicherer!
WEB.DE Blog: Und wie ist es bei den Nutzern?
Arne: Für den normalen Anwender gibt es tatsächlich neue Empfehlungen. Früher hieß es nämlich oft: Das Passwort muss mindestens acht Zeichen haben und eine möglichst zufällige Kombination aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen sein. Das würde ich so heute niemanden mehr empfehlen:
Acht Zeichen allein sind einfach zu kurz und damit nach heutigen Standards nicht mehr sicher genug. Zwölf Zeichen und mehr sind besser! WEB.DE Blog: Kannst Du mal ein Beispiel geben für so ein unsicheres Passwort?
Arne: Klar. Eine gängige Praxis war es z. B., normale Wörter zu verwenden und einzelne Buchstaben durch ähnlich aussehende Sonderzeichen zu ersetzen. Aus dem Wort Passwort wurde dann "P@ssw0rt". Das Ergebnis war ein extrem unsicheres Passwort, denn Hacker können solche Abwandlungen durch Passwort-Rate-Algorithmen nur all zu leicht umgehen.
WEB.DE Blog: Und wie ist es mit der regelmäßigen Passwortänderung?
Arne: Auch die gilt mittlerweile als überholt: Regelmäßiges Ändern trägt nur bedingt zur Sicherheit des Passwortes bei – erhöht aber beispielsweise die Gefahr des Vergessens.
WEB.DE Blog: Und welche Standards gelten aktuell?
Arne: Das Wichtigste ist ein möglichst langes Passwort. Jedes Zeichen mehr erhöht die Sicherheit eines Passwortes ganz erheblich. Das ist die allerwichtigste Grundregel.
Faustregel: Je länger das Passwort, desto sicherer ist es!
Und wer sein Passwort schon sehr lange hat und auch bei vielen unterschiedlichen Diensten dasselbe Passwort verwendet, dem empfehle ich dennoch, sich einmalig ein neues zu überlegen und es zu ändern.
WEB.DE Blog: Welche Methode empfiehlst Du selbst, um ein sicheres Passwort zu erstellen?
Arne: Ich empfehle gerne die Satz- oder Wort-Kombinations-Methode. Das ist eine, wie ich finde, sehr gute Möglichkeit ein sehr langes aber auch einfach zu merkendes Passwort zu erstellen.
Ein Beispiel wäre da etwa "Am-liebsten-esse-ich-Pizza". Oder man reiht einfach drei bis vier Wörter aneinander. "Schreibtisch-Fahrrad-Rucksack-Gemüsesuppe". Solche Passwörter lassen sich recht gut merken und sind durch Ihre Länge sehr schwer zu knacken.
WEB.DE Blog: Danke! Das ist ein sehr bildhaftes Beispiel. Und es erfüllt ja sogar die Anforderung mit den Sonderzeichen: Durch die Bindestriche zwischen den Wörtern.
Arne: Ja, da ist quasi alles drin, was ein sicheres Passwort braucht. Trotzdem darf man jetzt nicht den Fehler machen, dasselbe Passwort für mehrere Accounts zu verwenden. Insbesondere E-Mail-Postfächer sollten immer jeweils mit einem eigenen, möglichst sicheren Passwort geschützt sein.
WEB.DE Blog: Du meinst, weil man seine E-Mail-Adresse an vielen Stellen angibt?
Arne: Genau: Die E-Mail-Adresse ist im Internet das wichtigste Identifikationsmerkmal. Damit melde ich mich bei einer Vielzahl von Shops, Sozialen Medien und anderen Webseiten an. Oder ich nutze Login-Funktionalitäten wie "netID". Wer dann unberechtigt Zugriff auf mein E-Mail-Postfach erlangt, kann sich damit auch Zugang zu vielen anderen Diensten verschaffen. Daher muss ich mein E-Mail-Postfach durch ein eigenes, besonders sicheres Passwort so gut es geht schützen!
WEB.DE Blog: Ok, dass man verschiedene Passwörter nutzen soll, leuchtet ein. Aber hast Du einen Tipp, wie man sich die auch gut merken kann?
Arne: Klar, das ist schon eine Herausforderung mit den vielen Passwörtern. Ich persönlich mache das, in dem ich einen Teil des Satzes oder der Wortreihe immer gleich lasse und nur einen Teil ändere. Z. B.:
"Schreibtisch-Fahrrad-Briefkasten-Neuigkeiten" für meine E-Mail-Postfach
"Schreibtisch-Fahrrad-Freundschaften-Unterhaltungen" für mein soziales Netzwerk
Die letzten Wörter in meinen Beispielen haben für mich einen Bezug zu dem Dienst, bei dem ich mich anmelden möchte. Damit kann ich es mir gut merken. WEB.DE Blog: Gelten Sicherheitsstandards für Passwörter allgemein für alle Anwendungsfälle? Dürfte ich also – anders als in der Arbeit – daheim einen Zettel mit meinen E-Mail-Passwörtern unter der Tastatur liegen haben?
Arne: Prinzipiell gelten die Standards immer für alle Systeme. Ein möglichst sicheres Passwort sollte immer das Ziel sein. Allerdings gibt es schon gewisse Unterschiede:
Am Arbeitsplatz gelten oft ganz bestimmte Passwort-Regeln, die das Unternehmen in Regularien vorgibt. An die sollte sich jeder natürlich unbedingt halten.
Im Privaten gilt: Wer sich seine Passwörter nur schwer merken kann, der kann es sich natürlich an einem sicheren Ort notieren. Ein Hacker kann auf das Passwort auf dem Zettel unter der Tastatur natürlich nicht zugreifen. Ich würde dennoch empfehlen, eher ein Hinweis zu notieren, als das tatsächliche Passwort. In der Kombination mit der Satzmethode reicht ein Hinweis sicher oft schon aus, um sich zu erinnern. Finde ich auf meinem Zettel den Hinweis "Meine Leibspeise", dann fällt mir der Satz "Am-liebsten-esse-ich-Pizza" schnell wieder ein.
WEB.DE Blog: Wie steht es mit der Speicherung von Passwörtern auf dem Smartphone?
Arne: Komplett abraten würde ich von Einträgen im Telefonbuch des Smartphones. Was Viele nicht wissen: Sehr viele Apps haben Zugriff auf die Daten des Telefonbuchs und übertragen diese möglicherweise an die Server der Apps. Somit habe ich keine Kontrolle mehr, wo mein Passwort möglicherweise im Klartext gespeichert ist.
WEB.DE Blog: Welche anderen Möglichkeiten gibt es?
Arne: Wer sich seine Passwörter lieber digital merken möchte anstatt auf einem Zettel, dem würde ich einen Passwort-Manager empfehlen. Viele Browser oder Smartphone-Betriebssysteme haben solche bereits integriert.
Wichtig hierbei: Der Zugang zu dem Passwort-Manager selbst sollte mit einem sehr sicheren, also beispielsweise mit einem langen Satz, gesichert sein. Oder, dass das Smartphone mit einer PIN vor unbefugten Zugriffen geschützt ist – das wäre wichtig.
WEB.DE Blog: Zu guter Letzt: Gibt es wirklich Nutzer, die die absolut unsicheren Passwörter "Passwort123" oder "111111" benutzen? Ist das bei WEB.DE überhaupt noch möglich?
Arne: Leider ja. Es gibt tatsächlich Nutzer*innen die leider sehr unbedarft mit ihren Passwörtern umgehen. Solche einfachen Passwörter bieten im Grunde fast keinen Schutz vor unbefugtem Zugriff.
Und nein: Wer sich bei WEB.DE registriert oder das Passwort ändert, dem erlauben wir solche einfachen Passwörter nicht. Wer noch von früher ein solches schwaches Passwort verwendet, sollte es gleich ändern und meine Tipps beherzigen. Dann ist das E-Mail-Postfach auch gut geschützt.
WEB.DE Blog: Welche Möglichkeit haben unsere Nutzer außerdem, Ihren Login zu schützen?
Arne: Wer noch mehr auf Nummer sicher gehen will, der kann bei WEB.DE die Zwei-Faktor-Authentifizierung aktivieren. Neben dem Passwort wird beim Login dann noch ein zusätzlicher Code abgefragt, der über eine Smartphone-App generiert wird. Dadurch kann ein Dritter, selbst wenn er das Passwort kennt, keinen Zugang zum E-Mail-Konto erhalten.
WEB.DE Blog: Vielen Dank für das aufschlussreiche Interview, Arne!
Zur Person:
Arne Allisat arbeitet bei WEB.DE bereits seit sechs Jahren im Bereich E-Mail-Sicherheit. Als Head of E-Mail-Security beschäftigt er sich mit der Sicherheit von E-Mail-Accounts und kämpft mit seinem Team erfolgreich gegen Spam-Mails und andere potenzielle Sicherheitsrisiken. Laufende Weiterbildungen und der regelmäßige Austausch mit anderen IT-Sicherheitsexperten gehören für ihn zum Arbeitsalltag dazu.
Hat Ihnen das Interview mit unserem Experten gefallen? Dann schenken Sie uns doch ein "Gefällt mir!
Und wenn Ihnen WEB.DE gefällt, geben Sie uns auch gerne positives Feedback auf der Bewertungsplattform Trustpilot.
