Seit Jahren sind Passwortzugänge die meistgenutzte Methode für die Benutzerauthentifizierung auf verschiedenen Geräten und Systemen. Passwortzugangssysteme sind zu einem festen Bestandteil unserer täglichen Routine geworden. Sie sind fest in unser Leben integriert und dienen als vertrautes und weit verbreitetes Werkzeug, um sicheren Zugriff zu Portalen, Systemen oder Applikationen zu erhalten.
Durch die zunehmende Digitalisierung der Welt wird die Sicherheit von Passwörtern sowohl für Einzelpersonen als auch für Unternehmen zu einem immer wichtigeren Thema. Angesichts der leider ebenfalls rasant steigenden Zahl von Cyber-Bedrohungen und Datenschutzverletzungen ist es wichtig, die Bedeutung von Passwortsicherheit und die Logiken hinter Zugangssystemen besser zu verstehen und zu wissen, wie ein Passwort sensible Daten am besten schützen kann.
Wenn IT-Manager über die Sicherheit von Passwörtern diskutieren, dreht sich die Debatte oft darum, ob man sich auf die “Passwortlänge” oder die “Passwortkomplexität” konzentrieren sollte. In der Vergangenheit wurde Passwortsicherheit hauptsächlich mit langen Passwörtern in Verbindung gebracht. Dies ändert sich langsam, da immer mehr Experten die Komplexität von Passwörtern in den Vordergrund stellen, um den bestmöglichen Schutz für Benutzer und Unternehmen zu gewährleisten. Aber lassen Sie uns einen genaueren Blick auf beide Methoden werfen und herausfinden, was am wichtigsten ist: Länge, Komplexität oder vielleicht doch die Stärke des Passworts?
Was bedeutet Passwortlänge?
Die Länge eines Kennworts bezieht sich auf die Anzahl der Zeichen, die es enthält. Im Allgemeinen gelten längere Kennwörter als sicherer im Vergleich zu kürzeren Kennwörtern. Das liegt daran, dass längere Kennwörter eine größere Anzahl möglicher Kombinationen bieten, so dass es für Hacker schwieriger ist, sie durch Brute-Force-Angriffe zu knacken. Bei solchen Angriffen werden Tools eingesetzt, die unermüdlich alle möglichen Kombinationen von Schlüsseln ausprobieren, bis sie den “Jackpot” knacken. Wie Hacker dabei vorgehen und wie die Erfolgswahrscheinlichkeiten sind, haben wir im Artikel “Was ist ein Brute-Force-Angriff” zusammengefasst.
Als Faustregel gilt, dass kürzere Kennwörter anfälliger sind, da sie eine geringere Anzahl möglicher Kombinationen aufweisen und damit leichtere Ziele für solche Angriffe darstellen.
Bis vor kurzem forderten die meisten Unternehmen ihre Benutzer auf, Passwörter mit mindestens 6 Zeichen zu erstellen. Im Laufe der Jahre sind die Anbieter digitaler Anwendungen dazu übergegangen, mindestens 8 Zeichen vorzuschreiben, und haben außerdem einige oder alle der folgenden zusätzlichen Regeln verbindlich eingeführt: Kombinationen aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
Derzeit sind viele Organisationen dazu übergegangen, ein Minimum von 10 oder 12 Zeichen einzuführen, um die Sicherheit weiter zu erhöhen.
Mehrere Experten wie zum Beispiel das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfehlen die Verwendung von Passwörtern, die mindestens 12 Zeichen lang sind und aus vier verschiedenen Zeichenarten (Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen) bestehen. Oder alternativ mindestens 25 Zeichen lang sind und aus zwei Zeichenarten bestehen.
ABER. Ein Passwort wie zum Beispiel “Lassmichbittebitterein!2”, enthält 24 Zeichen und alle vier möglichen Zeichenarten. Trotzdem ist das Passwort offensichtlich nicht sicher.
Ist die Methode der Passwortlänge heute noch die richtige Methode?
Experten sind der Meinung, dass die Passwortlänge allein nicht gleichbedeutend mit Sicherheit ist. Warum ist das so?
Es stimmt, dass längere Passwörter die Sicherheit eines Kontos deutlich erhöhen. Sie bieten eine größere Anzahl möglicher Kombinationen und machen es für Hacker schwieriger, sie zu erraten oder zu knacken. Wenn Sie die Länge Ihres Kennworts erhöhen, erhöht sich der Zeit- und Arbeitsaufwand, der erforderlich ist, um es zu knacken, exponentiell. Hinter der Forderung nach längeren Passwörtern steckt die Vorstellung, dass Passwörter durch ihre Länge automatisch komplexer werden. Das ist nicht falsch, lässt aber den menschlichen Faktor außer Acht.
Da die Benutzer sich ihre Passwörter leicht merken wollen, haben sie vorhersehbare Passwörter wie z. B. “Password” verwendet, das das Kriterium der Länge von 8 Zeichen erfüllt. Als die Anbieter nach längeren Passwörtern mit 12 Zeichen und einer Kombination aus Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen fragten, hängten viele Benutzer einfach Standardmuster an, z. B. “123$”, um die 12 Zeichen zu erreichen, z. B. “Password123$”.
Selbst wenn die Anforderungen an die Länge eines Kennworts und die Kombination erfüllt sind, sind solche leicht vorhersehbaren Kennwörter bei weitem nicht sicher, was das Problem mit den Kriterien für die Kennwortlänge verdeutlicht. Heutzutage sind Tausende dieser häufig verwendeten und vorhersehbaren oder beliebten Passwörter bekannt, wurden kompromittiert und können leicht auf so genannten Listen mit gehackten oder kompromittierten Passwörtern im Internet gefunden werden. Hacker kaufen sich lesbare Listen dieser geleakten Passwörter für wenig Geld auf Marktplätzen im Darknet. Sie nutzen diese bekannten und beliebten Kennwörter, um im Trial and Error Verfahren einfach beliebige Kombinationen von Nutzernamen mit den beliebtesten Passwörtern auszuprobieren (sogenannte “Wörterbuchmethode”). Die Investition und das Ergebnis war umso lohnender für einen Hacker in je mehr Nutzerkonten er einbrechen konnte.
Zusammenfassend lässt sich sagen, dass lange Passwörter großartig sind, aber nur, wenn sie nicht vorhersehbar und daher aus Sicht der Hacker komplex sind. Ein langes Passwort allein bietet noch keine ausreichende Sicherheit. Werfen wir also einen Blick auf die Kriterien der Passwortkomplexität.
Was ist Passwortkomplexität?
Die zufällige Kombination von alphanumerischen Zeichen und Symbolen macht ein Passwort komplex. Dies kann eine äußerst wirksame Strategie zum Schutz vor Hackern sein. Durch die Erstellung von Passwörtern, die nicht konventionellen Mustern folgen, werden Wörterbuchangriffe, die mit gängigen Wortkombinationen durchgeführt werden, unwirksam und zeitaufwändig, wodurch die Sicherheit der Benutzerkonten gewährleistet wird.
Die Komplexität von Passwörtern bezieht sich auf die Einzigartigkeit und Unvorhersehbarkeit eines Passworts und nicht so sehr auf die Länge. Eine bestimmte Länge ist jedoch auch ein Mindestkriterium für ein gutes, komplexes Passwort. Auch wenn die Komplexität eines Passworts nicht unbedingt eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Symbolen erfordert, ist ein komplexes Passwort oft eine Mischung aus diesen Komponenten und kann die Sicherheit ebenfalls deutlich erhöhen. Die obige Argumentation mit “Password123$” zeigt jedoch beispielhaft, dass ein Mix nicht immer gleichbedeutend mit Komplexität ist. Und die Länge eines guten und komplexen Passworts kann auch sein Problem sein. Komplexe Passwörter sind auch schwieriger zu merken und können dazu führen, dass Benutzer sie aufschreiben oder für mehrere Konten wiederverwenden - beides gefährdet die Sicherheit.
Wenn Sie mehr darüber erfahren möchten, wie Sie sich lange und komplexe Passwörter merken können, lesen Sie unseren Artikel über Passwortmanager und Passphrasen.
Komplexe Passwörter bieten eine zusätzliche Sicherheitsebene, da sie es Hackern erschweren, sie durch Brute-Force-Angriffe oder automatisierte Tools zu knacken, aber nur, wenn sie lang genug sind. Daher haben sowohl die Passwortlänge als auch die Passwortkomplexität ihre Vorzüge. Doch lassen Sie uns einen Blick auf die jüngsten Entwicklungen in diesem Bereich werfen.
Die NIST-Empfehlungen
Das in den USA ansässige National Institute of Standards and Technology (NIST) hat wertvolle Hinweise zur Passwortsicherheit gegeben. Ihre Untersuchungen zeigen, dass bei der Erstellung sicherer Passwörter Länge, Einzigartigkeit und Unvorhersehbarkeit zusammen die Schlüsselfaktoren sind und als der “neue” Komplexitätsfaktor betrachtet werden sollten. Die Entwicklungen zeigen, dass die Priorisierung der Faktoren Länge, Einzigartigkeit und Unvorhersehbarkeit von Passwörtern das neue Komplexitätskriterium darstellt und die Sicherheit von Passwörtern erhöht, anstatt sich ausschließlich auf komplexe Kombinationen im Sinne von schwer zu merkenden Kombinationen zu konzentrieren.
Diese Logik ist durchaus schlüssig und wird auch bei den längeren Passphrasen angewandt, die schwerer zu knacken sind und für den Einzelnen leichter zu merken als eine zufällige Zusammenstellung von Zeichen. Das NIST hat sogar noch mehrere andere Empfehlungen für Unternehmen ausgesprochen, die sie umsetzen sollten. Zu diesen Vorschlägen gehören unter anderem:
- Die Kriterien Groß- und Kleinschreibung sowie Sonderzeichen sollten nicht erzwungen werden. Es ist nicht notwendig und hat keinen Einfluss auf die Sicherheit eines Passworts.
- Passwörter sollten aus mindestens 15 Zeichen bestehen.
- Gehen Sie von Passwörtern zu Passphrasen über, die es erleichtern, sich lange Passwörter zu merken.
- Aktivieren der “Passwort anzeigen” Funktion, um zu verhindern, dass Nutzer ihr Passwort aufgrund von Tippfehlern fälschlicherweise zurücksetzen, was zu einer potenziellen Offenlegung von Daten führt.
- Unternehmen sollten Ihren Mitarbeitern Passwort Manager bereitstellen, damit diese ermutigt werden, für jeden Dienst ein neues, sicheres Passwort zu verwenden. Wie Passwort Manager hierbei helfen, haben wir im folgenden Artikel “Sollte ich einen Passwort-Manager oder die Ein-Passwort-Lösung verwenden?” zusammengefasst.
- Passwörter sollten nie im Klartext in einer Datenbank abgelegt werden. Stattdessen sollten sie mit einer Hashfunktion eine feste Länge erhalten und immer mit einem Salt versehen werden.
- Wo bereits möglich, sollte die Multi-Faktor-Authentifizierung (MFA) bzw. Zwei-Faktor-Authentifizierung (2FA) verwendet werden.
- Eine Änderung des Passworts sollte nur verlangt werden, wenn Ihr Netzwerk möglicherweise kompromittiert wurde, oder wenn der Benutzer glaubt, dass ein Passwort einem Dritten bekannt ist.
- Um die Online-Sicherheit Ihres Portals zu erhöhen, ist es wichtig, alle neuen Passwörter mit einer umfassenden Liste von häufig kompromittierten Passwörtern abzugleichen.
- Erlauben und unterstützen Sie nicht die Verwendung von Passwort-“Hints”, da versierte Hacker so einen wichtigen Hinweis auf das Passwort dieses Kontos erhalten.
Was kommt als nächstes? Passwortstärke!
Die Digitalisierung erfordert einen besseren Zugangsschutz, doch die beliebteste Zugangsmethode ist immer noch die Verwendung von Passwörtern. Gleichzeitig haben Hacker - beschleunigt durch die ständige Weiterentwicklung der Technologie - ihre Methoden zur Kompromittierung von Benutzerkonten professionalisiert.
Folglich hat sich der Stand der Technik bei der Passwortsicherheit von der Passwortlänge hin zur Passwortkomplexität verschoben. Heutzutage sind beide Methoden in Kombination mit Einzigartigkeit und Unvorhersehbarkeit sowie der Nichtexistenz auf einer gehackten Passwortliste die neue Best Practice. Bei Engity nennen wir es einfach “Passwortstärke”, denn das ist es, was heute bei der Passwortsicherheit zählt. Auch wenn es auf den ersten Blick unbequem erscheinen mag, erhöhen diese Maßnahmen unsere Online-Sicherheit und schützen unsere sensiblen Daten.
Trotz alledem verwendet die überwiegende Mehrheit der Unternehmen nur eine Art Längenkriterium für Passwörter (oft nur 6 oder 8 Zeichen) in Kombination mit einer Mischung aus Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen. In Anbetracht des Risikos, kompromittiert zu werden, ist dies nicht akzeptabel, da veraltete Passwortrichtlinien die IT-Infrastruktur gefährden und sie für Hacker angreifbar macht.
Wir bei Engity sind der Meinung, dass die Sicherheit von Passwörtern essentiell ist und nicht dem Benutzer allein überlassen werden sollte. Aus diesem Grund haben wir standardmäßig einen Passwortstärke-Checker integriert und empfehlen eine Passwortstärke, die befolgt werden sollte. Gleichzeitig haben wir einen Check implementiert, der prüft, ob ein gewähltes Passwort bereits geknackt wurde und Teil einer gehackten Passwortliste ist.
Wenn Sie unsicher sind, ob ein gewähltes Passwort stark ist und das verwendete Portal Sie bei der Überprüfung nicht unterstützt, können Sie gerne unsere Demo nutzen, um die Stärke des gewählten Passworts zu überprüfen. Registrieren Sie sich einfach und Sie werden im Rahmen des Registrierungsprozesses zu einem starken Passwort geführt.
Hinweis: Dieser Artikel wurde erstmals im August 2023 veröffentlicht und zuletzt im März 2025 aktualisiert und korrigiert.