Den Ratschlag, lieber schwierige Passwörter zu nutzen, statt simple Codes häufig zu wechseln, gibt es schon länger. Jetzt rückt das Bundesamt für Sicherheit in der Informationstechnik (BSI) von seiner langjährigen Empfehlung ab, Passwörter regelmäßig zu ändern. In der aktuellen Ausgabe des BSI-Grundschutz-Kompendiums wurde die entsprechende Textpassage gestrichen. Die Experten raten jetzt nur noch für den Fall, dass ein Passwort in fremde Hände geraten sein könnte, das Kennwort zu ändern. Auch die dort bisher aufgeführte Verpflichtung, feste Regeln für Länge und Komplexität vorzuschreiben, ist verschwunden.
Bereits seit Jahren sind Sicherheitsexperten der Ansicht, dass solche Regeln eher schaden als nützen. „Ein gutes Passwort kann man bedenkenlos über Jahre hinweg nutzen“, schreibt das Portal Heise Security. „Das regelmäßige Ändern führt eher dazu, dass man schwache Passwörter benutzt und diese beispielsweise nach einem Schema (geheim1, geheim2, ...) erzeugt.“ Sicherheitsexperte Prof. Markus Dürmuth, der an der Ruhr-Uni Bochum zu Themen wie Passwort-Sicherheit forscht, begrüßte den Kurswechsel des BSI: „Das ist ein sehr wichtiger Schritt, für den das BSI allerdings sehr lange gebraucht hat.“
Wie aber sehen sichere und praktikable Strategien für Passwörter und PIN-Codes aus? Und vor allem: Wie gelingt es, sich die trotzdem zu merken? Die folgenden zehn Tipps helfen Ihnen dabei:
1. Vorsicht
Man mag es kaum glauben, aber viele Menschen sichern weder PC noch Smartphone überhaupt mit einem Zugriffscode ab. Dabei ist selbst ein schwacher Schutz besser als gar keiner – speziell auf Mobiltelefonen, die längst zum Zweithirn vieler Nutzer avanciert und mit Adresslisten, Fotos und dergleichen eine wahre Fundgrube für Hacker sind. Aktivieren Sie deshalb am Handy neben der PIN-Abfrage der SIM-Karte auch den Passwortschutz des Gerätes selbst – am besten mit einer mindestens sechsstelligen PIN – die nicht ihrem Geburtsdatum entspricht. So wird nicht nur die SIM, sondern auch das Mobiltelefon für Diebe unbrauchbar und der simple Zugriff auf die in den Apps gespeicherten Daten verhindert. Prüfen Sie zudem, ob die Passwortabfrage in Ihrem heimischen schnurlosen Funknetz (WLAN) aktiv ist. Sonst surfen Fremde kostenlos mit.
2. Abwechslung
Vermeiden Sie es, identische Passwörter für mehrere Zwecke zu nutzen. Wer im WLAN-Netz eines Cafés den gleichen Zugangscode zur Abfrage der E-Mails verwendet wie daheim für Zugriffe auf das Online-Bankkonto, handelt fahrlässig. Denn die Codes werden über Funk meist unverschlüsselt übertragen. Sicherheitsexperten empfehlen, wenigstens drei unterschiedlich komplexe Schlüssel für unterschiedlich sensible Anwendungen einzusetzen. Wichtig: Wenn die Gefahr besteht, dass ein Passwort bekannt geworden ist oder gar geknackt oder bei einem Hackerangriff auf einen Online-Dienst gestohlen wurde, tauschen Sie es sofort aus. Und zwar nicht bloß im betroffenen Konto, sondern auch in allen anderen, bei denen der betroffene Code zum Einsatz kommt.
3. Komplexität
Auch bei Passwörtern gilt: „Viel hilft viel“. Je länger und komplexer die Codes sind, desto sicherer sind sie. Je weniger Systematik und Semantik in ihnen steckt, desto besser. Vor allem der Einsatz von Sonderzeichen wie §, &, $ oder @ steigert die Zahl der Passwortalternativen enorm. Leider sind diese Schlüssel auch schwerer zu merken – sofern man sich nicht eines intelligenten Kniffs bedient.
4. Codes mit Gefühl
Reine Zahlencodes wie Handy-, EC- oder Kreditkarten-PINs geraten im alltäglichen Informationswust allzu leicht in Vergessenheit. Sie lassen sich besser merken, wenn Sie diese mit emotional relevanten Fakten assoziieren – und die voreingestellten Codes der Karten entsprechend umprogrammieren. Vergessen Sie Ihr Geburtsdatum, das recherchieren Datendiebe im Zweifel auch. Wie wäre es aber mit dem Tag, an dem Ihr Lieblingsverein zum letzten Mal Meister wurde, Sie Ihr Diplom gemacht oder die Ausbildung abgeschlossen haben? Darauf kommt keiner – und Sie können es zur Not sogar nachschlagen.
