Bill Burr entwarf in den 1980er für das amerikanische National Institue of Standards and Technology (NIST) einen Leitfaden für sichere Passworte. Da dies quasi die Referenz für Passwortvorgaben war, beruhren vermutlich alle Ratschläge, die ihr bisher gehört habt, darauf. Jedoch ist Bill Burr selbst nicht mehr von seinem eigenen Werk überzeugt, wie er dem Wall-Street-Journal anvertraute:
„Vieles von dem, was ich tat, bedauere ich jetzt. Am Ende war die Liste der Richtlinien wahrscheinlich zu kompliziert für viele Leute, die sehr gut verstehen, und die Wahrheit ist, es bellte den falschen Baum.“
Passworte gewinnen ihre Sicherheit dadurch, dass sie sich nicht aus Metadaten erraten lassen und sie nicht mehrmals verwendet werden. Es gibt einen regelrechten Streit der Passwort-Philosophien, wie man das erreicht und auch ich musste mich letztendlich für eine Seite entscheiden, wenn ich hier selber Rat erteile.
Festzuhalten ist aber das folgende: Hacker können gängige Verkomplizierungen von gängigen Passwörtern einfach durch Verwendung von Regulären Ausdrücken zu ihren Listen hinzufügen. Wenn sie dann noch Zugriff auf geleakte Datenbanken mit Passwörtern haben, steigen ihre Erfolgschancen weiter. Man kann unter https://haveibeenpwned.com/Passwords sogar nachtesten, ob das eigene Passwort schon einmal dabei war.
Passwörter müssen deswegen einerseits durch echten Zufall generiert, aber andererseits auch leicht zu merken und einzutippen sein. Dann lassen sich im täglichen Netzverkehr auch viele Accounts mit vielen Passworten verwalten. Und dass auch ohne oft Passwortlisten heranziehen zu müssen, die selbst wieder ein Sicherheitsrisiko darstellen und so selten wie möglich Tages- bzw. das Bildschirmlicht erblicken sollten.
Wenn ihr ein neues Passwort erstellt, nutzt deswegen eine Reihe von 5 bis 7 zufälligen deutschen Worten mit Leerzeichen getrennt. Die Groß- und Kleinschreibung ist an sich egal, denn der Pool deutscher Worte ist schon umfangreich genug. Einen Generator (für 4er-Gruppen) findet ihr unter dem Link am Ende. Generiert also 8 Worte, und schneidet 2 bis 3 ab. Schon habt ihr ein leicht zu merkendes, sicheres und relativ einfach einzutippendes Passwort.
http://www.svenbuechler.de/?p=21662
UPDATE:
Im Folgenden ein alternativer Weg, leicht zu merkende deutsche Wortlisten zu erstellen: Verwendet einen englischen Wortlistengenerator! Die eigenhändige Übersetzung der Wörter ins Deutsche bringt einen Schuss mehr Chaos ins System. Selbst wenn Hacker die fehlerhafte Zufälligkeit des Javascript-Zufallsgenerators ausnutzen, so befindet sich noch eine weitere unberechenbare Schicht zwischen ihrem Wissen und eurem Passwort. Jedoch bedroht die menschliche Disposition, Muster zu erkennen und zu erzeugen, die echte Zufälligkeit des Passwortes. Eigenhändiges Umsortieren von Worten ist daher nicht anzuraten! Dieser englische Zufallswortgenerator gefällt mir am besten https://wordcounter.net/random-word-generator. Leider findet sich keine Angabe zum Umfang der verwendeten Wortliste.
Fiete Anders
FʀᴇɪPᴀʀᴛᴇɪ 