Deutscher Weisenrat für Cyber-Sicherheit für Umdenken bei Passwort

Komplizierte Passwortregeln nerven viele Benutzer. Ginge es nach den Experten, sollten Passwortregeln weniger komplex sein. Sie wären dabei auch noch sicherer.

Website, auf der man herausfinden kann, ob die eigenen Zugangsdaten missbraucht wurden. Beim Passwortschutz fordern Experten neuerdings ein Umdenken: lang statt kompliziert. (Archivbild) - Keystone

Das Wichtigste in Kürze

  • Der deutsche Weisenrat für Cyber-Sicherheit will eine Abkehr der Passwort-Vorgaben.
  • Es sei ein Irrglaube, dass die komplizierten Richtlinien die Passwort-Sicherheit steigern.
  • Besonders das Verfallsdatum der Passwörter sei nicht notwendig.

Der sogenannte Weisenrat für Cyber-Sicherheit in Deutschland setzt sich für eine Abkehr von komplizierten Vorgaben beim Anlegen von Passwörtern ein. «Es ist ein weit verbreiteter und verständlicher Irrglaube, dass strengere Richtlinien die Qualität der Passwörter steigern.» Dies heisst es in dem Jahresbericht der sechs renommierten Professorinnen und Professoren aus dem Bereich Cyber-Sicherheit.

Der Bericht wurde am Mittwoch in Bonn veröffentlicht. Es gebe Situationen, in denen strengere Regeln die Qualität der gewählten Passwörter mitunter sogar verschlechterten, heisst es darin.

Verfallsdatum der Passwörter ist nicht notwendig

Besonders wichtig sei, Passwörter nicht mehr mit einem Verfallsdatum zu versehen. «Es ist viel gefährlicher, dasselbe Passwort für mehrere Dienste einzusetzen, als bei einem Dienst das Passwort nicht regelmässig zu wechseln.» IDies sagte Matthew Smith, Professor an der Universität Bonn und am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE. Ein Wechsel sei nur zu empfehlen, wenn es Anzeichen gebe, dass das Passwort ausgespäht worden sei.

Wer bei mehreren Internetdiensten identische Passwörter verwendet, sollte mindestens das Kennwort seines E-Mail-Kontos ändern. Das E-Mail-Konto ist sozusagen die digitale Achillesferse des Internetnutzers (Symbolbild). - Keystone

Smith sagte, das deutsche Bundesamt für Sicherheit in der Informationstechnik habe in seinen jüngsten Richtlinien bereits keine Vorgaben mehr gemacht. Das sei eine gute Entwicklung. Er forderte aber das BSI auf, den Behörden und Unternehmen einheitliche Vorgaben für die Passwort-Richtlinien zu machen. Diese sollten sich an den Empfehlungen des Open Web Application Security Projects und US-amerikanischen National Institute of Standards and Technology orientieren.

OWAPS und NIST verabschiedeten sich schon vor geraumer Zeit von den meisten der Einschränkungen bei der Passwortvergabe. Sie räumen den Anwendern mehr Freiheiten bei der Wahl des Kennworts ein. Damit werden nicht mehr maximal komplizierte Konstruktionen aus Ziffern und Sonderzeichen verlangt, sondern längere Passphrasen.