Kaum etwas nervt Benutzer von PCs und anderem IT-Zeug mehr, als sich Passworte zu merken. Gute Nachrichten: wie sich herausgestellt hat, besteht ein gutes Passwort einfach aus möglichst vielen Zeichen, etwa einigen leicht zu merkenden Worten, die aber im normalen Sprachgebrauch nix miteinander zu tun haben!
Was seit etwa 15 Jahren als Grundregel für die Auswahl von sicheren Passworten gehalten wurde, ist nun endlich überarbeitet worden: möglichst Sonderzeichen, gemischte Groß- und Kleinschreibung sowie Zahlen sollte man verwenden, das Passwort möglichst alle 90 Tage ändern – so stand es in einer Richtline des National Institute of Standards and Technology (NIST). Bill Burr, der Erfinder dieser Richtlinien hat sich letztens dafür entschuldigt. Die Regeln des NIST (PDF) wurden letztens grundlegend überarbeitet. Keine Rede mehr von Sonderzeichen: längere, leicht zu merkende Phrasen sind offenbar sicherer, am besten mehrere Worte, die im normalen Sprachgebrauch nicht gemeinsam verwendet werden.
Der Grund: nach heutigem Stand der Technik kann ein Passwort mit 7 Stellen wie cFgHzTs in maximal etwa 8 Minuten erraten werden (und keine Sau kann sich das sinnvoll merken!) – bei WordPressIstFlauschig dauert das 16.044.779.517.127.800.000 Jahre(!) und Du hast es dir bereits gemerkt ;-)
Drüben bei 1pw.de gibts eine vollständige Zusammenstellung über den Zusammenhang zwischen Passwortlänge und maximal benötigter Zeit, die ein aktueller PC braucht, um das Passwort zu erraten.
Weiterhin sollte man allerdings nicht dasselbe Passwort für verschiedene Dienste verwenden(!!!) – wenn das Passwort in falsche Hände gerät oder die Datenbank EINES Anbieters gehackt wird, hat man sonst ein massives Problem! Um sich die verschiedenen Passworte zu merken, ist ein Passwortmanager sehr empfehlenswert. Ich verwende seit Jahren Lastpass und bin sehr zufrieden damit!
Dieser xkcd-Comic hat diese „neue“ Erkenntnis schon vor einigen Jahren thematisiert – „wir haben uns 20 Jahre lang angewöhnt, Passworte zu verwenden, die für Menschen schwer zu merken, aber für Computer einfach zu knacken sind“:
Update mit Hintergrundinformation: in diesem Video wird sehr gut erklärt und eindrucksvoll demonstriert, wie Passworte aus einer gehackten Datenbank ausgelesen werden können, obwohl sie dort üblicherweise verschlüsselt gespeichert sind – und wie das für das Knacken weiterer Datenbanken helfen kann (danke an Franz Strohmeier für den Hinweis!):
- Rezension vs. Rezession - Mi. 27.12.2023
- Was Corona und Lotto gemeinsam haben - Di. 9.11.2021
- Heute vor 20 Jahren hat das große Abenteuer Segeln für mich begonnen :-) - Mi. 28.4.2021
Sehr interessanter Beitrag! Ich glaube ich muss mal meine Passwörter überdenken. Vielen Dank für die Informationen. Weiter so! Liebe Grüße Michael Keulemann von der ASK Steuerberatung Hannover.
Anstatt Passwörter zu speichern (Verlust, Diebstahl usw.) kann man diese auch berechnen!
Ich nutze seit kurzem https://addons.mozilla.org/de/firefox/addon/security-password-builder/
Hm, der Aufwand scheint mir aber derselbe, wie wenn man gleich einen Passwortmanager nutzt. Denn auch dieser ist nur so sicher wie das Masterpasswort, dafür hab ich meine Passwörter auf JEDEM Browser und auch am Handy mit dabei, wenn nötig. Dieses Addon scheint nur für Firefox verfügbar sein.