Ein Jahr lang haben die Mitarbeiter an dem Bericht gearbeitet und mit Nutzern diskutiert. Die Vorgaben des NIST gelten für öffentliche Einrichtungen in den USA. Viele private Unternehmen orientieren sich freiwillig an den Standards. Aber auch Nutzer können aus den Empfehlungen der Experten einiges lernen.

Keine Sonderzeichen nutzen

Für Menschen wirken wahllose Kombinationen aus vielen Sonderzeichen kryptisch und damit vermeintlich sicher. Tatsächlich können Hacker mit sogenannten Brute-Force-Attacken solche Passwörter relativ leicht knacken. Die Software testet meist zuerst eine lange Liste gängiger Phrasen, etwa "Passwort" oder "123456". Dann folgen normale Begriffe aus Wörterbüchern, anschließend probieren die Algorithmen Sonderzeichen durch.

Das NIST empfiehlt Seitenbetreibern deshalb, auf allzu komplizierte Vorgaben zu verzichten. So sollen Passwörter nicht mehr einen Großbuchstaben und zwei verschiedene Sonderzeichen enthalten müssen. Die Nutzer, argumentiert das NIST, variierten sonst nur ihre Standard-Chiffre: Aus "Passwort" werde "Pa$$w0rt1!!" - eine Variation, die Algorithmen leicht erraten können. Besser sei es, weniger Sonderzeichen und dafür unterschiedliche Sätze als Grundlage zu nutzen.

Lange Sätze verwenden

Entscheidender als die Komplexität ist die Länge. Selbst moderne Computer brauchen teilweise Jahre, um ein Kennwort mit 20 oder mehr Zeichen zu knacken. Zumindest, sofern Nutzer nicht gerade beliebte Sätze wie "DuKommstNichtVorbei" verwenden. Wenn es nach den Experten des NIST geht, sollten Passwörter daher aus mindestens acht Zeichen bestehen. Diese Zahl ist das absolute Minimum, zwölf Zeichen erhöhen die Sicherheit signifikant.

Außerdem sollen Anbieter Leerzeichen erlauben, damit sich Nutzer nicht nur einzelne Wörter, sondern ganze Passsätze ausdenken können. Die Behörde rät, die Längenbeschränkung von Passwörtern aufzuheben oder zumindest massiv zu erhöhen. Bis zu 64 Zeichen seien sinnvoll, damit man auch längere Passsätze verwenden kann, um wichtige Accounts zu schützen.

Keine regelmäßigen Änderungen

Angestellte kennen solche E-Mails von der IT-Abteilung: "Ihr Passwort ist abgelaufen, bitte wählen sie ein neues." Das NIST rät in seinem Bericht davon ab, die Login-Daten alle paar Wochen zu ändern. Damit orientieren sich die Experten an aktuellen Studien. Demzufolge sind Konten nicht besser geschützt, wenn Nutzer regelmäßig neue Passwörter vergeben. Im Gegenteil: Viele Menschen neigen dann dazu, unsichere Chiffren zu verwenden, die sie sich leicht merken können.

Eine Ausnahme gibt es allerdings: Sobald eine Attacke erfolgreich war und der Betreiber vermutet, dass die Angreifer Daten erbeutet haben könnten, sollten alle Nutzer unverzüglich alarmiert werden und ihr Passwort ändern.

Datenbanken abfragen

Niemand käme auf die Idee, nur einen Schlüssel für Haustür, Wohnungstür, Tresor und Fahrradschloss zu verwenden. Die analoge Vorsicht scheint im digitalen Leben außer Kraft gesetzt zu sein: Viele Menschen nutzen dieselben Passwörter für mehrere Konten. Das ist fatal: Wenn Hacker die Zugangsdaten erbeuten, versuchen sie fast immer, sich damit auch bei anderen Seiten einzuloggen.

Die NIST-Experten empfehlen Seitenbetreibern, leichtsinnige Nutzer vor sich selbst zu schützen: Sie sollen Passwörter automatisch mit anderen Daten abgleichen, etwa mit Log-in-Informationen, die aus früheren Hacks oder Sicherheitslücken bekannt sind. Diese werden in Datenbanken wie Haveibeenpwned.com gesammelt. Dort können Nutzer auch selbst prüfen, ob ihre E-Mail-Adresse bei Diensten registriert ist, die bereits erfolgreich von Kriminellen angegriffen wurden.

Zu den weiteren Listen, die die Behörde Seitenbetreibern zum automatischen Abgleich empfiehlt, gehören auch Einträge aus Wörterbüchern oder Sequenzen wie "aaaaaa", "1234abcd" oder "qwertz", also Zeichen, die auf der Computertastatur nebeneinanderliegen. Falls der Algorithmus Übereinstimmungen entdeckt, müssten Nutzer ein neues Passwort wählen.

Das gilt auch, wenn sie Abwandlungen von Nutzernamen oder andere Daten verwenden, die sie bei der Anmeldung angegeben haben, etwa Geburtsdaten oder Telefonnummern. Ein Beispiel: Will sich jemand mit dem Benutzernamen "SZ-Leser" anmelden, sollte das Passwort nicht "SZ-Leser1" lauten.

Bei Sicherheitsfragen aufpassen

"Wie hieß Ihr erstes Haustier?", "Wie lautet der Geburtsname Ihrer Mutter?", "Was ist Ihre Lieblingsfarbe?" Einige Webseiten setzen auf solche Sicherheitsfragen. Grundsätzlich ist das keine schlechte Idee, da Kriminelle mehr Informationen über das Opfer benötigen als nur das Passwort. Allerdings lassen sich viele dieser Daten oft leicht im Netz finden.

Deshalb rät das NIST dringend davon ab, diese Methode als einzige Authentifizierung zu verlangen, um das Passwort zurückzusetzen. Angreifer könnten die Antwort der Sicherheitsfrage erraten oder sie aus öffentlichen Informationen zusammensuchen, etwa aus Profilen bei sozialen Netzwerken. Gelingt ihnen das, können sie ein neues Passwort vergeben und erhalten Zugriff auf den gesamten Account.

Für Nutzer bedeutet das im Umkehrschluss: Wenn sie die Wahl zwischen mehreren Sicherheitsfragen haben, sollte man nicht das Lieblingstier oder die Marke des eigenen Autos nehmen - zumindest nicht, wenn man Katzenbilder und Fotos vom Sommerurlaub mit seinem VW-Bus auf Facebook postet.

Eine andere Möglichkeit gibt es auch noch: Niemand zwingt einen Nutzer, die Sicherheitsfragen ehrlich zu beantworten. Wenn man statt des Geburtsnamens der Mutter einfach die eigene Lieblingsfarbe angibt, macht es das Angreifern deutlich schwerer. Einem selber aber womöglich auch.