Einige der größten Missverständnisse im Umgang mit Passwörtern im privaten Kontext haben die Bochumer IT-Experten Prof. Dr. Markus Dürmuth, Maximilian Golla und Philipp Markert aus der Arbeitsgruppe Mobile Security zusammengestellt.
Mythos 1: Ein sicheres Passwort muss acht Zeichen lang sein, eine Ziffer, ein Sonderzeichen und Großbuchstaben enthalten.
Was aus dieser Anforderung an ein Passwort herauskommt, sind nicht selten Dinge wie „P@ssw0rt“. Solch eine Zeichenfolge sieht zwar auf den ersten Blick kompliziert aus. Sicher ist sie deshalb aber nicht. Denn Passwort-Rater kennen gängige Transformationen, wie den Buchstaben O zu einer Null zu machen oder ein A durch ein @-Zeichen zu ersetzen. Mit einem Satz wie „Mittwochs gehe ich in den Biomarkt“ ist man oft sicherer unterwegs. Außerdem kann man ihn sich besser merken und meist auch leichter auf der Smartphone-Tastatur eintippen.
Mythos 2: Passwörter sollte man regelmäßig ändern.
Studien haben gezeigt, dass Nutzer Probleme haben, sich all ihre Passwörter zu merken, und daher häufig ihre Passwörter bei jedem Wechsel nur leicht verändern. So werden die Passwörter im Lauf der Zeit immer schwächer. Die RUB-Forscher empfehlen daher, Passwörter nicht regelmäßig zu ändern, sondern nur, wenn die Daten in die falschen Hände geraten sein könnten.
Passwortdiebstahl herausfinden Auf der Webseite „Have I been pwned“ können Nutzerinnen und Nutzer durch Eingabe ihrer E-Mail-Adresse überprüfen, ob ihre Zugangsdaten irgendwo gestohlen wurden.
Mythos 3: Man darf nie zweimal das gleiche Passwort nutzen.
In einer idealen Welt hätten User für jeden Account ein eigenes Passwort, das sich deutlich von dem Passwort aller anderen Accounts unterscheidet. Realistisch sei das aber nicht, sagen die RUB-Forscher. Sie empfehlen daher, die Accounts in Gruppen einzuteilen – etwa E-Mail-Konten, Shopping, Banking oder Soziale Medien – und sich für jede Gruppe ein eigenes Passwort auszudenken. Wenn Angreifer die Zugangsdaten für einen eher unwichtigen Shopping-Account erbeuten, sollten sie sich damit nicht in wichtige Seiten wie das Onlinebanking einloggen können. Für extrem wichtige Konten wie E-Mail oder Onlinebanking sollte man immer ein einzigartiges Passwort verwenden.
Mythos 4: Passwörter sollte man nie auf einen Zettel schreiben.
Natürlich sollte man als Mitarbeiter eines Unternehmens keinen Notizzettel mit seinen Passwörtern am Monitor kleben haben. Im Privathaushalt sind mit dem Aufschreiben der Login-Daten aber eher geringe Risiken verbunden. Im Todesfall kann es sogar sinnvoll sein, eine solche Liste angelegt zu haben, damit Angehörige die Accounts managen oder löschen können.
Mythos 5: Nur sehr komplizierte Passwörter schützen ausreichend.
Die Sicherheit eines Accounts hängt oft nicht alleine von der Komplexität des Passworts ab. Viele Dienste schützen ihre Nutzerinnen und Nutzer, indem sie bei vermutetem Missbrauch den Login blockieren, zum Beispiel, wenn jemand zehnmal hintereinander das falsche Passwort eingibt. Für die meisten Plattformen sind daher Passwörter wie „Bananenbrot489“ ausreichend sicher, da sie nicht in wenigen Versuchen geknackt werden können.
Manche Dienste nutzen zusätzlich GPS-Daten und Uhrzeit, um zu überprüfen, ob der Nutzer sich vom gewohnten Ort und zur gewohnten Zeit anmeldet. Ist dies nicht der Fall, kann der Login blockiert oder erschwert werden.
Auf Zahlenkombinationen wie 1–2–3–4 oder 0–0–0–0 sollte man aber auf alle Fälle verzichten. Und wer im Android-System ein Muster zum Entsperren des Handys nutzt, sollte sich eine andere als eine L- oder Z-Form einfallen lassen. Laut einer Bochumer Studie beginnen mehr als 50 Prozent aller User in Mitteleuropa das Entsperrmuster oben links. Sicherer wäre es, einen anderen Startpunkt zu wählen.
Mythos 7: Der Fingerabdruckscanner ist datenschutzrechtlich bedenklich.
Biometrische Daten wie Fingerabdrücke sind besonders schützenswerte persönliche Daten, da man diese im Falle des Falles nicht wechseln kann. Viele Handys werden heute jedoch per Fingerabdruck oder Gesichtserkennung entsperrt – ein Graus für manch einen Nutzer, dem der Datenschutz am Herzen liegt. Doch die Finger- oder Gesichtsdaten können meist nur sehr schwer in fremde Hände gelangen. Zum Beispiel speichert Apples I-Phone die Daten nur auf dem Gerät und dort in einem besonders abgesicherten Bereich. Viel leichter ist es da, den Fingerabdruck in der realen Welt von einer Türklinke, einem Becher, oder einem Foto der Hand abzugreifen. Mit diesem Trick wurden tatsächlich schon die Fingerabdrücke hochrangiger Politiker entwendet.
Mehr dazu finden Sie unter https://news.rub.de/wissenschaft/2019-02-01-it-sicherheit-sieben-mythen-ueber-passwoerter. (Foto: RUB/Marquard)