Im Jahr 2003 empfiehl Mr. Bill Burr, Mitarbeiter des National Institute of Standards an Technology (NIST), dass Passwörter komplex (Groß- und Kleinschreibung, Zahlen und Sonderzeichen) und alle 90 Tage gewechselt werden sollten. Diese Empfehlung erhielt so eine große Resonanz, dass sie seither als Sicherheitsstandard gilt.
Dies wurde jedoch im Jahr 2017 sowohl vom NIST als auch von Mr. Bill Burr korrigiert, da dieses Wissen über Passwörter und User-Verhalten zu dieser Zeit nicht ausreichend erforscht war.
Doch worauf sollte man bei der Passwortvergabe achten?
Seit 2017 wird vom NIST folgendes empfohlen:
- Lange Passwörter (mind. 8 Zeichen) zu verwenden, besonders sicher wäre auch ein kompletter Satz.
- Durch Sonderzeichen wird das Passwort nicht wesentlich sicherer.
Die Algorithmen von Hackern testen diese Varianten zügig mit Brute-Force-Attacken. - Passwortdopplungen sollten vermieden werden.
- Regelmäßige Änderungen des Passwortes sollten vermieden werden, solange keine Vermutung eines Hackerangriffs vorliegt.
Beim häufigen Wechsel des Passwortes neigen viele Nutzer dazu unsichere Chiffren einzusetzen.
Weitere wichtige Punkte sollten dazu beachtet werden:
- Passwörter müssen geheim gehalten werden.
(Absolutes Tabu: Zettel mit dem Passwort am Bildschirm oder Tastaturen) - Es sollte für jeden Zweck ein eigenes Passwort gewählt werden.
- Je länger das Passwort, desto besser (siehe Empfehlung seit 2017).
- Zu komplizierte Passwörter können in Vergessenheit geraten und können so die Sicherheit gefährden.
- Auch zu viele Sonderzeichen oder Zahlen sollten vermieden werden, wenn dadurch das Passwort zu kompliziert wird (z.B. Pa$$w0rd)
- Grundlose Passwortwechsel sind zu vermeiden, solange kein Hackerangriff vermutet wird.
Beim Wechsel ist darauf zu achten, dass es nicht noch einmal verwendet wird. - Beliebte Passwörter (z.B. qwertz, 12345 oder Passwort/d) sollten in jedem Fall vermieden werden.
Es ist ratsam, neue Mitarbeiter auf wichtige Punkte bei der Passwortvergabe hinzuweisen und auch den richtigen Umgang zu erläutern. Wiederholte Schulungen, IT-Richtlinien oder ein Handbuch unterstützen diesen Prozess.