Bis vor kurzem galt der Grundsatz, dass sichere Passwörter lang und kryptisch zu sein haben. Und dass sie außerdem regelmäßig erneuert werden müssen.
Ein gutes Passwort war demnach etwa die Zeichenfolge "GfoKB65%[a94).dd". Klarer Fall, leicht zu merken und schnell eingegeben, überhaupt kein Problem. Und nach 3 Monaten wechselt man dann auf "](34 .fiGNNsWW?j". Ja, und das mache ich dann mit den geschätzt 50+x Passwörtern, die ein Mensch mit Internetaffinität heute so braucht.
Ok, das war natürlich Ironie mit dem Holzhammer. Denn inzwischen hat sich herausgestellt, dass so gut wie niemand seine Passwörter so radikal austauscht, ich meine, von der Minderheit, die so etwas überhaupt macht. Eher benutzen die Menschen eine Grundphrase, an der sie dann nach einem Muster kleinere Änderungen vornehmen. "GfoKB65%[a94).dd" wird dann z.B. zu "GfoKB76%[a94).ee". Sind dann ältere Versionen dieses Passwortes kompromitiert, muss ein Dieb gar nicht mehr so viel herumprobieren, um die aktuelle Fassung zu finden. Das ist dann auch nicht um Welten sicherer als "123456789" (sehr beliebt) oder "dadada" (Mark Zuckerberg).
Was also tun? Stand der Sicherheitsdebatte ist aktuell, dass ein Passwort nur ausreichend lang sein (>12 Zeichen) und aus einer schwer zu erratenden Zeichenfolge bestehen sollte. Eine schwer zu erratende Zeichenfolge ist aber jede selbst ausgedachte Wortfolge, die so in keinem Wörterbuch, in keinem Sprichwort, Werbeclaim oder ähnlichem zu finden ist. Ganz schlecht wäre "IchBinDochNichtBlöd", etwas besser dagegen wäre "MeinHundwird7Jahrejuenger", ein langer Nonsense-Satz, der aber recht leicht zu dokumentieren und einzugeben ist. Noch weit besser ist eine Wortfolge ohne jeden inhaltlichen Zusammenhang wie "Potential-Walter-Stahl-Urteil". Daran beißen sich dann auch entsprechend ausgelegte Großrechner für dreistellige Jahreszeiträume die Zähne aus.
Das reicht, sagt die Sicherheitsforschung derzeit. Und nach meiner Erfahrung kann man sich die 3-4 allerwichtigsten davon tatsächlich im Kopf merken.
Ihr wollt eine möglichst zufällige Wortfolge für ein Passwort generieren? Dann schaut doch mal hier vorbei: