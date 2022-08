Natürlich sind nicht alle klassischen Passwortregeln sinnlos. Aber oft sind sie ungelenk formuliert und wirken zudem arrogant. So empfiehlt das BSI auf den eigenen Webseiten eine verbreitete Methode der Passworterstellung: Man nimmt einen kompletten Satz mit einer Zahl und generiert aus den Anfangsbuchstaben ein Passwort, das den eingespielten Regeln entspricht. Aus »Am liebsten esse ich Pizza mit vier Zutaten und extra Käse« wird das Passwort »AleiPm4Z+eK!« Ganz einfach, oder? Bis man dann vor der Tastatur sitzt und sich nicht erinnern kann, ob man aus dem »und« ein »u« oder ein »+« gemacht hat, oder der Log-in scheitert, weil man das Ausrufezeichen zum dritten Mal vergessen hat.

Dabei wissen die Fans des Comic-Zeichners Randall Munroe schon seit Jahren, dass eine einfache Wortkombination wie »correct horse battery staple« für Computer mindestens so schwer zu knacken ist wie der für Menschen unlesbare Brei aus Buchstaben und Sonderzeichen. Zwar erkennt auch das BSI diesen Fakt mittlerweile in Fußnoten an, doch es hakt an etwas anderem: Viele Anbieter verbieten ihren Nutzern schlichtweg solch lange Passwörter und bestehen auf unterschiedlichen Arten von Sonderzeichen.

Von Drogenhändlern lernen

Wer risikofrei mit Passwörtern umgehen will, kann etwas von Drogenhändlern lernen : Man muss sich vergegenwärtigen, was denn das sogenannte Angriffsmodell ist, wogegen man sich eigentlich schützen will. Wer den eigenen Netflix-Account etwa mit der erweiterten Familie teilt, sollte nicht die gleiche E-Mail-Adresse und das gleiche Passwort zum Einloggen bei Facebook verwenden – es sei denn, man will die eigenen Privat-Chats bei der nächsten Familienfeier hören. Oder in den Worten des BSI-Beirats: »Das ›erste Gebot‹ für Passwortsicherheit sollte die Einzigartigkeit von Passwörtern sein.«