BSI-Beirat warnt vor überkomplexen Passwörtern und ständiger Erneuerung

Zwang zum regelmäßigen Ändern von Passwörtern ist eine schlechte Idee. Standardpasswörter in Geräten auch.

In Pocket speichern vorlesen Druckansicht 477 Kommentare lesen
Türschloss mit Codeinegabe - darauf die Aufschrift "Code 1, 2, 3, 4"

Das Symbolbild zeigt ein Sicherheitsschloss mit ohne Sicherheit.

(Bild: Daniel AJ Sokolov)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Passwort-Manager und Zwei-Faktor-Authentisierung (2FA) empfiehlt der Beirat Digitaler Verbraucherschutz beim BSI. Gleichzeitig kritisiert er zu einfache, aber auch zu komplexe Passwörter. Zudem warnen die Experten vor der immer noch anzutreffenden Praxis, Nutzer regelmäßig zur Änderung ihrer Passwörter zu zwingen. Das ist ein Schuss ins Knie, weil Anwender dann meist leicht zu erratende Iterationen eintragen, wie die Forschung seit Jahren weiß. Unsichere oder kompromittierte Passwörter sind selbstredend sofort zu ändern.

Der Beirat moniert in seinen Handlungsempfehlungen zu Sicherheit bei Passwörtern zudem, dass Gerätehersteller oft Standardpasswörter hinterlegen; Verbraucher tragen dann das Angriffsrisiko, wenn sie die Passwörter nicht ändern. Die Endanwender seien auch die Gelackmeierten, wenn Zugangskennungen und andere Daten "aufgrund fehlender Sicherheitsvorkehrungen auf Seiten der Anbieter offengelegt oder gestohlen" würden. Dies könne vor allem dann enormes Schadenspotenzial entfalten, wenn die Nutzer "sich an strenge Passwortvorgaben gehalten haben und ihr so für sicher gehaltenes Passwort bei mehreren Diensten verwendet" haben.

Gleichzeitig verwenden Anwender "häufig noch zu schwache Passwörter", weiß auch der Beirat. Hier hilft Zwei-Faktor-Authentifizierung (2FA). Der zweite Faktor muss nicht unbedingt ein über die selbst anfälligen Übertragungswege SMS oder E-Mail übermittelter Code sein; neutrale Apps wie Authy, FreeOTP oder Google Authenticator verhelfen zu schmerzfreier Zwei-Faktor-Authentifizierung.

2FA müsse "von organisatorischen Maßnahmen begleitet werden", beispielsweise eine Begrenzung der maximalen Sitzungsdauer oder ein Verbot paralleler Sitzungen. Ferner empfehle es sich, für den zweiten Faktor ein zweites Gerät zu nutzen: bei einer Desktop-Anwendung zum Beispiel ein Mobiltelefon.

Zu bedenken geben die Experten, dass der Begriff "Zwei-Faktor-Authentisierung" ohne weitere Erläuterung nur 43 Prozent aller Internetnutzer ab 16 Jahren bekannt sei. SMS-TANs und Codes per E-Mail seien die meistgenutzten Verfahren. Die Hälfte der 2FA-Kenner würde es nicht stören, sich bei einem Dienst nur noch mit Zusatzabfrage anmelden zu können, sofern sie sich das genutzte Modell jeweils aussuchen könnten. Diensteanbieter sollten daher unterschiedliche Methoden zur Wahl anbieten.

Zu den bewährten Praktiken zählt der Beirat das "erste Gebot", dass Kennungen "einzigartig" sein sollten. Für jedes Konto soll also ein anderes Passwort verwendet werden. "Überkomplexe Passwörter" mit einer Folge zufälliger Zeichen, "deren Länge das derzeit nach den anerkannten Regeln notwendige Maß (überschreitet)", seien nicht optimal. Es sei besser, längere Passwörter oder Phrasen aus mehreren Worten zu verwenden, die "besser merkbar sind", heißt es in dem Ratgeber.

"Der Schutz von Zugangsdaten ist keine triviale Aufgabe", hält der Beirat fest. In vielen Handlungssituationen hätten Verbraucher "mit Aufmerksamkeits- und Zeitknappheit zu kämpfen". Es sei wichtig, diese Herausforderungen anzuerkennen. Die Kommunikation zu Passwörtern dürfe Nutzer daher nicht überfordern. Dabei soll das Aufschreiben von Kennungen "nicht als per se negativ dargestellt werden". Besser seien Hinweise für Verbraucher, "wie sie Passwörter sicher auf Papier verwahren können".

Auf "technische Unterstützung wie einen Passwortmanager zurückzugreifen", scheine für viele Menschen "nur bedingt eine Lösung zu sein", ist der Handreichung zu entnehmen. Sie könnten bei so einem Hilfsmittel oft nicht nachvollziehen, wie die dort gespeicherten Kennungen tatsächlich geschützt würden. Diesen Bedenken halten die Autoren entgegen, dass es bei solchen Instrumenten zwar "Restrisiken" gebe. Trotzdem sollten diese mit größeren Gefahren wie einer Passwort-Wiederverwendung abgewogen werden. Zudem wüssten viele Verbraucher nicht, dass Passwortmanager vor der Eingabe von Passwörtern auf gefälschten Webseiten bei Phishing-Angriffen schützen können.

Dem Beirat Digitaler Verbraucherschutz gehören neben Sicherheitsforschern und Verbraucherschützern unter anderem Vertreter von Denkfabriken, Branchenverbänden und zivilgesellschaftlichen Organisationen wie dem Chaos Computer Club (CCC) an. Das BSI selbst hat einen eigenen Ratgeber zum Erstellen sicherer Passwörter veröffentlicht. Im Zeitraum 2022/23 beschäftigt sich der Beirat hauptsächlich mit den umstrittenen digitalen Identitäten aus Verbrauchersicht.

Siehe auch:

(ds)