Sichere Passwörter

Als Kanzlei für Datenschutzrecht haben unsere Anwälte in den letzten Monaten sehr viele TOMs gesichtet. Unter anderem im Rahmen der Zugangskontrolle diskutieren wir mit den Mandanten, auch das Thema sichere Passwörter. Wir richten unsere Beratung dabei üblicherweise an den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik für Passwörter aus. 

1. Generierung eines längeren Passworts

Die erste Vorgabe ist natürlich, dass das Passwort nicht die Klassiker enthält wie Passwort123 oder Schatzi etc. Eine bessere Methode ist es sich Eselsbrücken zu bauen etwa, durch einen langen Satz: "Meine Tochter ist klein, geht aber gern in die Schule!" wird zu: "MTik,gagidS!". Bei Groß- und Kleinschreibung hält man sich an die Grammatik. Die Faustregel ist, je länger das Passwort ist, desto besser. Ein zwölf Stellen Passwort gilt als sicher. Diese Satz kann man notfalls auch unverfänglich in eine E-Mail einbauen, die man an sich selber schickt, wenn man fürchtet das Passwort zu vergessen. Wenn Sie die Wahl haben, ob Sie ein längeres Passwort verwenden oder ein kürzeres mit mehr Sonderzeichen: Size matters.

2. Passwortwechsel

Bis jetzt war es gängige Lehre, dass Passwörter regelmäßig geändert werden sollen. Das Bundesamt für Sicherheit in der Informationstechnik führt aus: 

Diese wichtigen Passwörter sollten in regelmäßigen Zeitabständen geändert werden, mindestens einmal jährlich. Eine solche eigenständige Änderung ohne externen Anlass macht Ihre Zugangsdaten für Dritte wertlos, sollten sie ohne Ihr Wissen entwendet worden sein. Einige Programme und Dienstleister erinnern Sie automatisch daran, wenn Sie das Passwort schon längere Zeit benutzen.

Dies scheint aktuell nicht mehr zwingend so aufrechterhalten zu werden. Bereits 2010 analysierte die University of North Carolina at Chapel Hill die Daten von mehr als 10.000 Studenten und Mitarbeitern, die ihre Kennwörter regelmäßig ändern mussten. Das Ergebnis war überraschend. Ein messbarer Gewinn an Sicherheit war nicht zu ermitteln, weil die Menschen schummelten, die Probanden stellten die Passwörter nur um, indem sie Nummern anhängten und nach jedem Wechsel hochzählten oder eine Quartals-ID anhängten. Der Zeitaufwand und der Ärger rechtfertigt damit wohl kaum den Mehraufwand zumal, es sogar passieren kann, dass Angreifer das zukünftige Passwort nach der Methodik vorhersehen können.

3. Fazit zum sicheren Passwort

Der Wechsel von Passwörtern macht nur dann Sinn bzw. lohnt den Aufwand, wenn sichergestellt wird, dass die Mitarbeiter nicht einfach zwischen 2-3 Passwörtern hin- und herwechseln oder keine einfache Erkennbarkeit der Kennwortgenerierung wie aufsteigende Zahlen, Jahreszahlen etc. verwenden. Mehr Tipps und Kniffe zum Datenschutz finden Sie hier.