Willkommen bei der Reihe "Experten-Interview". Unser Sicherheitsexperte Arne zeigt Ihnen, was beim Passwort wichtig ist und welche Fehler man auf keinen Fall machen darf. Außerdem räumt er mit Passwort-Mythen auf.
GMX Blog: Arne, Du bist ja schon eine Weile bei GMX tätig. Sicher hast Du da schon einige Änderungen in puncto Passwortstandards mitgemacht. Was waren denn so die bekanntesten Änderungen?
Arne: Eigentlich waren das gar nicht so viele Änderungen. Unter uns Sicherheitsexperten hat sich an den Standards für wirklich sichere Passwörter gar nichts Grundlegendes geändert. Schon immer lautete die goldene Regel: Je länger das Passwort, desto sicherer!
GMX Blog: Und für den Nutzer? Welche Standards sind da nicht mehr up-to-date?
Arne: Für den normalen Anwender gab es schon Änderungen: In der Vergangenheit lautete die Empfehlung oft, das Passwort müsse acht oder mehr Zeichen haben und eine möglichst zufällige Kombination aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen sein. Das würde ich so heute niemanden mehr empfehlen:
Acht Zeichen sind einfach zu kurz und damit nach heutigen Standards nicht mehr sicher genug. Zwölf Zeichen und mehr sind besser!
GMX Blog: Kannst Du mal ein Beispiel geben für so ein unsicheres Passwort?
Arne: Klar. Eine gängige Praxis war es z. B., normale Wörter zu verwenden und einzelne Buchstaben zu ersetzen. Aus dem Wort Passwort wurde dann z. B. "P@ssw0rt". Das Resultat war ein extrem unsicheres Passwort, denn solche Abwandlungen sind durch Passwort-Rate-Algorithmen nur allzu leicht zu umgehen.
GMX Blog: Und muss man regelmäßig sein Passwort ändern?
Arne: Allgemein gab es in der Vergangenheit auch die Empfehlung, sein Passwort regelmäßig zu ändern. Das gilt allerdings als überholt, denn regelmäßiges Ändern trägt nur bedingt zur Sicherheit des Passwortes bei – erhöht aber beispielsweise die Gefahr des Vergessens.
GMX Blog: Und welche Standards gelten aktuell?
Arne: Das Wichtigste ist wie gesagt ein möglichst langes Passwort. Jedes Zeichen mehr erhöht die Sicherheit eines Passwortes signifikant. Das ist die allerwichtigste Grundregel.
Wer sein Passwort schon sehr lange hat und auch bei vielen unterschiedlichen Diensten dasselbe Passwort verwendet, dem empfehle ich dennoch, sich einmalig ein neues zu überlegen und es zu ändern.
Je länger das Passwort, desto besser! GMX Blog: Welche Methode empfiehlst Du selbst, um ein sicheres Passwort zu erstellen?
Arne: Ich empfehle gerne die Satz- oder Wort-Kombinations-Methode. Das ist eine, wie ich finde, sehr gute Möglichkeit, ein sehr langes aber auch einfach zu merkendes Passwort zu erstellen.
Ein Beispiel wäre da etwa "Am-liebsten-esse-ich-Pizza". Oder man reiht einfach drei bis vier Wörter aneinander: "Schreibtisch-Fahrrad-Rucksack-Gemüsesuppe". Solche Passwörter lassen sich recht gut merken und sind durch ihre Länge sehr schwer zu knacken. GMX Blog: Danke! Das ist ein sehr bildhaftes Beispiel. Und es erfüllt ja sogar die Anforderung mit den Sonderzeichen: Durch die Bindestriche zwischen den Wörtern.
Arne: Ja, da ist quasi alles drin, was ein sicheres Passwort braucht. Trotzdem darf man jetzt nicht den Fehler machen, dasselbe Passwort für mehrere Accounts zu verwenden. Insbesondere E-Mail-Accounts sollten immer mit einem eigenen, möglichst sicheren Passwort geschützt sein.
GMX Blog: Du meinst, weil man seine E-Mail-Adresse an vielen Stellen angibt?
Arne: Genau: Die E-Mail-Adresse ist im Internet das wichtigste Identifikationsmerkmal. Damit melde ich mich bei einer Vielzahl von Shops, Sozialen Medien und anderen Webseiten an. Oder ich nutze Login-Funktionalitäten wie "netID".
Wer dann unberechtigt Zugriff auf mein E-Mail-Konto erlangt, kann sich damit auch Zugang zu vielen anderen Diensten verschaffen. Daher muss ich mein E-Mail-Postfach durch ein eigenes, besonders sicheres Passwort so gut es geht schützen!
GMX Blog: Ok, dass man verschiedene Passwörter nutzen soll, leuchtet ein. Aber hast Du einen Tipp, wie man sich die auch gut merken kann?
Arne: Klar, das ist schon eine Herausforderung mit den vielen Passwörtern. Ich persönlich mache das, in dem ich einen Teil des Satzes oder der Wortreihe immer gleich lasse und nur einen Teil ändere. Z. B.:
"Schreibtisch-Fahrrad-Briefkasten-Neuigkeiten" für meine E-Mail-Postfach
"Schreibtisch-Fahrrad-Freundschaften-Unterhaltungen" für mein soziales Netzwerk
Die letzten Wörter in meinen Beispielen haben für mich einen Bezug zu dem Dienst, bei dem ich mich anmelden möchte. Damit kann ich es mir gut merken.
GMX Blog: Gelten Sicherheitsstandards für Passwörter allgemein für alle Anwendungsfälle? Dürfte ich also – anders als am Arbeitsplatz – daheim einen Zettel mit meinen E-Mail-Passwörtern unter der Tastatur liegen haben?
Arne: Prinzipiell gelten die Standards immer für alle Systeme. Ein möglichst sicheres Passwort sollte immer das Ziel sein. Allerdings gibt es schon gewisse Unterschiede:
Am Arbeitsplatz gelten oft ganz bestimmte Passwort-Regeln, die das Unternehmen in Regularien vorgibt. An die sollte sich jeder natürlich unbedingt halten.
Im Privaten gilt: Wer sich seine Passwörter nur schwer merken kann, der kann es sich natürlich an einem sicheren Ort notieren. Ein Hacker kann auf das Passwort auf dem Zettel unter der Tastatur natürlich nicht zugreifen.
Ich würde dennoch empfehlen, eher ein Hinweis zu notieren, als das tatsächliche Passwort. In der Kombination mit der Satzmethode reicht ein Hinweis sicher oft schon aus, um sich zu erinnern. Finde ich auf meinem Zettel den Hinweis "Meine Leibspeise", dann fällt mir der Satz "Am-liebsten-esse-ich-Pizza" schnell wieder ein.
GMX Blog: Wie steht es mit der Speicherung auf dem Smartphone?
Arne: Komplett abraten würde ich von Einträgen im Telefonbuch des Smartphones. Sehr viele Apps haben Zugriff auf die Daten des Telefonbuchs und übertragen diese möglicherweise an die Server der Apps. Somit habe ich keine Kontrolle mehr, wo mein Passwort möglicherweise im Klartext gespeichert ist.
GMX Blog: Welche Alternativen gibt es?
Arne: Wer sich seine Passwörter lieber digital merken möchte anstatt auf einem Zettel, dem würde ich einen Passwort-Manager empfehlen. Viele Browser oder Smartphone-Betriebssysteme habe solche bereits integriert.
Wichtig hierbei: Der Zugang zu dem Passwort-Manager selbst sollte mit einem sehr sicheren, also beispielsweise mit einem langen Satz, gesichert sein. Oder, man sollte sicherstellen, dass das Smartphone mit einer PIN vor unbefugten Zugriffen geschützt ist.
GMX Blog: Last but not least: Gibt es wirklich Nutzer, die die absoluten No-Go-Passwörter "Passwort123" oder "111111" benutzen? Ist das bei GMX überhaupt noch möglich?
Arne: Leider ja. Es gibt tatsächlich Nutzer*Innen die leider sehr unbedarft mit ihren Passwörtern umgehen. Solche einfachen Passwörter bieten im Grunde fast keinen Schutz vor unbefugtem Zugriff.
Und nein: Wer sich bei GMX registriert oder das Passwort ändert, dem erlauben wir solche einfachen Passwörter nicht. Wer noch von früher ein solches schwaches Passwort verwendet, sollte es gleich ändern und meine Tipps beherzigen. Dann ist das E-Mail-Konto auch gut geschützt.
GMX Blog: Welche Möglichkeit haben unsere Nutzer außerdem, ihren Login zu schützen?
Arne: Wer noch mehr auf Nummer sicher gehen will, der kann bei GMX die Zwei-Faktor-Authentifizierung aktivieren. Neben dem Passwort wird beim Login dann noch ein zusätzlicher Code abgefragt, der über eine Smartphone-App generiert wird. Dadurch kann ein Dritter, selbst wenn er das Passwort kennt, keinen Zugang zum E-Mail-Konto erhalten.
GMX Blog: Vielen Dank für das aufschlussreiche Interview, Arne!
Zur Person:
Arne Allisat arbeitet bei GMX bereits seit sechs Jahren im Bereich E-Mail-Sicherheit. Als Head of E-Mail-Security beschäftigt er sich mit der Sicherheit von E-Mail-Accounts und kämpft mit seinem Team erfolgreich gegen Spam-Mails und andere potenzielle Sicherheitsrisiken. Laufende Weiterbildungen und der regelmäßige Austausch mit anderen IT-Sicherheitsexperten gehören für ihn zum Arbeitsalltag dazu.
Hat Ihnen das Interview mit unserem Experten gefallen? Dann schenken Sie uns doch ein "Gefällt mir"!
Und wenn Sie den Artikel hilfreich fanden, teilen Sie ihn gerne auch per E-Mail.
