Der 1. Februar gilt als „Ändere-dein-Passwort-Tag“ und soll uns alle jährlich daran erinnern, wie wichtig es ist, sichere Passwörter zu verwenden. Warum man aber Passwörter nicht zwingend jedes Jahr ändern muss und welche Grundregeln man bei der Wahl bzw. der Aufbewahrung von Passwörtern unbedingt beachten sollte, verraten unsere Experten aus dem CERT (Computer Emergency Response Team):

Passwörter sind überall. Sie sind zu einem Universalwerkzeug für die Sicherung von vertraulichen Daten und digitalen Werkzeugen geworden. Und obwohl es immer wieder Versuche gibt, sie endlich abzuschaffen, benötigen wir mehr von ihnen als jemals zuvor. Dabei haben sie eine monumentale Schwäche, die eigentlich ihre Stärke sein sollte: Man muss sie im Kopf behalten, damit sie vor fremden Augen geschützt sind. Genau das gelingt uns Menschen allerdings ab einer gewissen Anzahl von Passwörtern nur schwer. Deshalb verwenden viele Menschen entweder kurze Passwörter, bekannte (und damit leicht zu erratende) Wörter oder immer dasselbe Passwort für verschiedene Dienste – oder alles gemeinsam: Ein kurzes, leicht zu erratendes Wort und das überall.

Um sich davor zu schützen, dass die eigenen Passwörter leicht erraten werden können, sollte man die folgenden Ratschläge befolgen:

Tipp #01: Je komplexer, desto besser
 Besser ein langes, schwer zu erratendes Passwort, das dafür nur selten geändert wird, als ein kurzes, einfaches Passwort, das zwar oft geändert wird, dafür aber leicht erraten werden kann. Die Mindestlänge sollte 8 Zeichen betragen – für sensible Daten werden jedoch aktuell Passwörter mit bis zu 64 Zeichen empfohlen. Wer nun meint, dass man sich diese dann nicht merken kann, findet die Lösung bei Tipp Nummer 2.

Tipp #02: Passwort Safes verwenden
Besonders sinnvoll ist ein sogenannter „Passwort Safe“ (wie z.B. KeePass oder 1Password), der die Passwörter an einer sicheren Stelle aufbewahrt. Diese Passwort Safes können aber auch sichere Passwörter vorschlagen und es ist damit ganz einfach, für jeden Dienst ein anderes Passwort zu verwenden. Aber Achtung: Das eine Passwort, das man sich weiterhin merken sollte – nämlich das zum Entsperren des Passwort Safes – muss dafür absolut sicher sein!

Tipp #03: Wortkombinationen sind leichter merkbar
Wer sich ein Passwort merken will oder muss, nimmt am besten mehrere, nicht zusammengehörende Wörter, etwa „Pferd Turnschuh Quanten Sieben Tomate“. Diese Wortkombinationen sind nämlich für uns Menschen leichter zu merken als „kwn3#389ao“ und durch ihre Länge trotzdem sicher. Am besten noch das eine oder andere Sonderzeichen oder eine Zahl dazugeben und die Hacker beißen sich endgültig die Zähne aus.

Tipp #04: Mehr Sicherheit mit Authentifizierungs-App
Wo immer möglich, sollte man nicht nur Passwörter sondern eine „Multi-Faktor-Authentifizierung“ (MFA) oder „Zwei-Faktor-Authentifizierung“ (2FA) nutzen. Neben dem bekannten Zusenden eines Tokens per SMS gibt es in vielen Fällen bereits die noch sicherere Variante einer „Authentifizierungs-App“ am Mobiltelefon. Selbst wenn ein Angreifer das Passwort eines Users erraten oder sogar kennen sollte, kann er sich mit der MFA oder 2FA ohne dessen Handy nicht anmelden.

Tipp #05: Ist mein Passwort noch sicher?
Wichtig ist, auch regelmäßig zu prüfen ob die eigenen Passwörter bereits Teil eines Datenlecks waren. Unter https://haveibeenpwned.com/ oder https://sec.hpi.de/ilc/ kann man nach Eingabe der E-Mail-Adresse abprüfen, ob das Passwort den Angreifern bereits bekannt ist. Falls ja, sollte man dieses sofort ändern und sicherstellen, dass das gleiche Passwort nicht auch noch an anderer Stelle verwendet wurde.