Passwörter sollten:
- für jeden Dienst anders lauten,
- 16 Zeichen oder mehr lang sein,
- wenn es geht ein oder zwei Sonderzeichen, Ziffern und Großbuchstaben beinhalten.
Zum Beispiel tomaten,Quark.2016-eBay!liebe.
Hin und wieder stolpert man heutzutage noch über Dienste, die solche Passwörter nicht akzeptieren. Sei es, weil sie zu lang sind oder Sonderzeichen beinhalten. So oder so: Einem solchen Dienst sollte man keine wichtigen Daten anvertrauen. Wahrscheinlich wird das Passwort im Klartext gespeichert.
Bei der Wahl eines neuen Passworts sind vor allem zwei Dinge wichtig. Erstens: Länge schlägt jede — vermeintliche — Komplexität. Je länger das Passwort, desto besser. Konkret: Je länger das Passwort desto weniger wahrscheinlich ist es, dass es schon längst geknackt wurde bzw. in den nächsten Jahren geknackt wird. Alles unter 16 Zeichen ist heute schon hart an der Grenze.
Und Zweitens: Am wichtigsten ist es, für jeden Dienst ein anderes Passwort zu verwenden. Die Gefahr, die von Passwort-Lecks wie LinkedIn, MySpace, Twitter und Co. ausgeht, besteht vor allem in der Wiederverwendung von Passwörtern. Benutzt du nur ein Passwort für jeden Dienst, genügt es, einen Dienst zu knacken bzw. das Passwort aus einem der Dienste wiederherzustellen. Es ist also unerheblich, dass ein anderer Dienst die ihm anvertrauten Passwörter besser salted oder einen langsameren Hash-Alorithmus verwendet. Das schwächste Glied in der Kette zählt. (Nur um ganz sicher zu gehen: Das bist du, denn du wählst deine Passwörter :-))
Im Ernst. Schritt eins: Lange Passwörter.
Schritt zwei: Ein Passwort-Manager. Niemand muss sich all seine Passwörter noch selbst merken*. Zum Beispiel dein Browser. Egal ob Chrome oder Firefox, selbst Internet Explorer/Edge bietet sowas an. Oder du benutzt ein Unix, z. B. OSX. Dann hat dein System sowieso eine Keychain.
Schritt drei: Passwörter öfter mal wechseln. Gerne ein oder zwei mal pro Jahr.
Auf Websites wie Have I been pwned? kann man übrigens prüfen, ob sein Account bereits einmal gestohlen wurde. Man sollte davon ausgehen, dass jedes Passwort aus diesen Lecks nicht mehr sicher ist.
Das Ausmaß der Lecks, das Vorgehen der guten und bösen Hacker und Hintergründe zu guten Passworten lassen sich gut in Jeremi Gosneys Artikel How LinkedIn’s password sloppiness hurts us all nachlesen.
Als Ausblick: Spannende Dinge passieren gerade bei WebAuthN und FIDO. Two-Factor-Authentication legt die Hürde enorm hoch, ist aber (auch) nicht unfehlbar.
* Ja, das verschiebt den Angriffsvektor “nur”.