Die wichtigste Grundregel im Umgang mit Passwörtern lautet:
Für jeden Account ein eigenes Passwort verwenden.
Da auf diese Weise eine erhebliche Menge an verschiedenen Passwörter entsteht, die man sich nur schwer merken kann, empfehlen wir die Nutzung eines Passwort-Managers. Zu diesem Thema haben wir bereits vor einiger Zeit einen Blogbeitrag veröffentlicht.
Weil man sich die meisten der im Passwort-Manager gespeicherten Passwörter nicht mehr merken muss, bietet es sich an, mit (pseudo-)zufallsgenerierten Passwörtern zu arbeiten.
Im Gegensatz zu Passwörtern, die man sich selbst ausdenkt, sind generierte Passwörter zufällig und haben eine höhere Entropie.
Dabei gibt es einige Punkte, die man beachten sollte:
Wenn es keine speziellen Anforderungen des Dienstanbieters gibt, empfehlen wir für generierte Passwörter Kleinbuchstaben, Großbuchstaben und Ziffern zu verwenden.
Allerdings gibt es ein paar potentiell problematische Zeichen, auf die man je nach Anwendungsfall besser verzichten möchte:
0 und O sowie I, l und 1: Diese Zeichen sind je nach verwendeter Schriftart häufig kaum oder gar nicht voneinander zu unterscheiden - hier spart man sich beim Eintippen im Zweifel den einen oder anderen Fehlversuch.y, Y, z, Z: Wer schon mal vor einer Tastatur mit US-Layout saß, kennt das Problem: y und z sind dort gegenüber einer deutschen Tastatur vertauscht. Spätestens, wenn man das Passwort an einem System mit US-Tastaturlayout eingeben muss, ist man froh, wenn diese potentielle Fehlerquelle von vornherein ausgeschlossen ist.y und z gelten auch für Personen, die ein anderes Tastaturlayout gewöhnt sind.Wir empfehlen 24 Zeichen. Dahinter steckt folgende Überlegung.
Einige Passwort-Generatoren erzeugen in der Standardeinstellung sogenannte „aussprechbare“ Passwörter, z.B. la1Danei.
Die Idee dabei ist, dass man sich solche Passwörter leichter merken kann.
Umgekehrt verringert diese Funktionalität jedoch die Entropie von Passwörtern deutlich. Daher sollten Passwörter, die man sich nicht merken muss, ohne diese Funktion erzeugt werden.
Sonderzeichen in Passwörtern können zu verschiedenen Problemen führen. Beispielsweise führen einzelne Zeichen in bestimmten Systemen zu technischen Fehlern und Sonderzeichen sind stark vom gewählten Tastaturlayout abhängig.
Da die Entropie genauso gut (eigentlich sogar besser) über die Länge erhöht werden kann, kann aus unserer Sicht auf die Verwendung von Sonderzeichen verzichtet werden.
Verlangt eine Passwort-Richtlinie die Verwendung von Sonderzeichen, geht in der Regel weniger schief, wenn man sich auf normale Sonderzeichen aus dem ASCII-Zeichensatz (zum Beispiel Satzzeichen) beschränkt, anstatt besonders ungewöhnliche Unicode-Zeichen zu nutzen.
Einige Passwörter - wie zum Beispiel das Master-Passwort des Passwort-Managers - muss man sich immer noch merken.
Eine gute Hilfestellung zum Ausdenken und Merken ist die Verwendung von Passwortsätzen. Dabei gibt es im Grunde zwei Möglichkeiten:
DraussenScheintSeit15UhrdieSonneDss15UdS,dsidlAadB.Generell gilt die Empfehlung, Passwörter nicht weiterzugeben. Für Passwörter, die geteilt werden müssen, finden Sie Informationen auf der Unterseite Empfehlungen zu geteilten Passwörtern.