Am ersten Februar machen Datenschützer mit dem “Ändere-dein-Passwort-Tag” auf Passwortsicherheit aufmerksam. Sie fordern auf, alle online verwendeten Passwörter zu ändern. Aber worauf müssen User genau achten, wenn sie heute und auch sonst ihre Passwörter ändern? Datenschutzexperten geben Antwort darauf.
Vor rund einem Monat hackte ein Teenager massenhaft Daten und veröffentlichte sie auf Twitter. Telefonnummern, Chatverläufe und sonstige private Details von bekannten Persönlichkeiten wie unter anderem Grünen-Chef Robert Habeck und Rapper Materia waren plötzlich für jeden online sichtbar. Heute, einen Monat später, erinnert der Aktionstag “Ändere-dein-Passwort-Tag” daran, sich vor genau solchen Hackerangriffen zu schützen, indem man alle verwendeten Passwörter ändert. Datenschutzexpertem beschäftigen sich das ganze Jahr über unter anderem mit Passwortsicherheit, nicht nur am heutigen Aktionstag. Das raten sie zum Thema Passwortsicherheit:
Macht es Sinn, beim “Ändere-dein-Passwort-Tag” mitzumachen?
Grundsätzlich ist es immer ratsam, sein Passwort regelmäßig zu ändern. “Ob das einfach so oder an diesem einen bestimmten Tag ist, ist eigentlich egal”, sagt der Datenschutzbeauftragte der Technischen Universität Dortmund. Wichtig sei, immer darauf zu achten, seine Passwörter überhaupt zwischendurch zu ändern. Wenn man einen bestimmten Tag als Anlass wählt – das Passwort also nur ändert, um es zu ändern – kann es laut dem Experten sonst auch passieren, dass man zu einfache, undurchdachte Passwörter aufstellt.
Wie regelmäßig sollte man sein Passwort ändern?
Einen festgelegten Zeitraum, den Datenschutzexperten immer raten, gibt es nicht. Auch die Verbraucherzentrale Nordrhein-Westfalen gibt keinen festen Rhythmus vor. Sie empfiehlt auf ihrer Homepage aber, darauf zu achten, ob es beim jeweiligen Online-Dienstleister größere Datenlecks gibt oder der Dienstleister selbst zur Passwortänderung aufruft. Auch wenn der PC oder das Handy mit einer Schadsoftware infiziert worden ist, macht es laut Verbraucherzentrale NRW Sinn, das jeweilige Passwort zu ändern. Der “Ändere-dein-Passwort-Tag” rät natürlich zu einer jährlichen Passwortänderung am ersten Februar. Der Datenschutzbeauftragte der TU Dortmund sagt: “Ob man einen 20-Tage-Rhythmus oder einen Drei-Monats-Rhythmus wählt, ist jedem selbst überlassen.” Wichtig zu wissen sei aber, dass je wirrer und systemloser die Passwortänderung ist, desto schwerer sei es zu hacken. Es macht also Sinn, keinen klassischen Rhythmus wie zum Beispiel einen Jahres- oder Monatsrhythmus zu wählen.
Was sollte man bei der Passwortvergabe vermeiden?
Datenschutzexperten empfehlen, verschiedene Passwörter für unterschiedliche Dienste zu nutzen. Die Verbaucherzentrale NRW gibt zumindest für sensible Konten wie zum Beispiel Online-Banking den Tipp, ein eigenes Passwort zu benutzen. Der Datenschutzbeauftragte der TU Dortmund geht noch weiter und empfiehlt für jedes Konto ein eigenes Passwort anzulegen. Das entspricht auch der Empfehlung verschiedenster Online-Datenschutzportale. Der Grund: Wenn Hacker das Passwort geknackt haben, haben sie nicht zur Zugang zu einem Portal, sondern auch zu allen anderen der jeweiligen Person. Der Datenschutzbeauftragte der TU ergänzt, dass auch ähnliche Passwörter nicht empfehlenswert sind. “Wenn jemand immer die letzte Ziffer des Passworts abändert und der Hacker eine Variante davon herausbekommt, braucht er anschließend viel weniger Rechenkapazität, um die anderen Varianten herauszufinden”, sagt er. Auch von einfachen Passwortkombinationen wie 123456, Namen oder Geburtsdaten raten Datenschutzexperten ab. Das erleichtert Hackern nur ihr Vorgehen. Grundsätzlich sollte das vollständige Passwort nicht in Wörterbüchern vorkommen, rät das Bundesamt für Sicherheit der Informationstechnik.
So sind eure Daten sicherer
Wie sieht ein gutes Passwort aus?
Für sichere Passwörter gibt es zahlreiche Tipps. Das Bundesamt für Sicherheit der Informationstechnik rät unter anderem zu langen Passwörtern und nennt acht Zeichen als sicher. Der Datenschutzbeauftragte der TU Dortmund empfiehlt mindestens zehn Zeichen für sichere Passwörter. “Bei einem Passwortmanager kann man auch 20 Zeichen wählen – das würde ich noch eher empfehlen als nur zehn”, sagt er. Die Länge der Passwörter ist aber nicht allein ausschlaggebend für ein sicheres Passwort. So empfehlen das Bundesamt für Sicherheit der Informationstechnik und die Verbraucherzentrale NRW zusätzlich alle verfügbaren Zeichen zu benutzen. In einem möglichst sicheren Passwort sollten Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen wie Punkte oder Ausrufezeichen vorkommen. Auch hier gilt das Argument des Datenschutzbeauftragten der TU Dortmund: Je wirrer das Passwort, desto schwerer ist es für Hacker zu knacken. Es macht also Sinn, verschiedene Zeichen durcheinander zu verwenden. Bei der Erstellung eines sicheren Passworts helfen kann ein Passwortmanager.
Was schützt zusätzlich zu einem guten Passwort?
Zusätzlich zu komplizierten Passwortkombinationen gibt es andere Methoden, die zur Passwortsicherheit beitragen sollen. Der Datenschutzbeauftragte der TU Dortmund kennt eine Methode, bei der User zum Beispiel gar kein Passwort mehr selbst verwenden, sondern bei jedem Login ihr vorheriges Passwort zurücksetzen. Bei der Zurücksetzung schickt das Portal einem in der Regel ein neues Passwort zu. Mit diesem Passwort melden die User sich dann an. So gehen sie bei jedem Login vor, vergeben so keine Passwörter mehr selbst und haben mit jedem Login ein neues Passwort. “Das lohnt sich aber vor allem bei Konten, die man nicht so oft nutzt”, sagt der Datenschutzbeauftragte. Einige Dienstleister wie zum Beispiel Online-Banking-Apps oder Instagram bieten außerdem das sogenannte Zwei-Faktor-Verfahren an. Dabei müssen die User sich neben dem Passwort auf einem weiteren Weg authentifizieren. Das Verfahren läuft so ab, dass nachdem ein User sein Passwort erfolgreich eingegeben hat, der Dienstleister zusätzlich ein weiteres Passwort unter anderem per SMS an den User sendet. Dieses Passwort muss der User dann eingeben und erst dann hat er Zugang zum Konto. Allerdings rät die Verbraucherzentrale NRW auch trotz der doppelten Passwortsicherung an ein sicheres Passwort zu denken.