Müllers kleines ABC (Netzwoche Nr. 15, 2019): P wie Passwortregeln - Albernheiten wie "123456" oder "passwort" besetzen seit Jahren Stammplätze in den Hitparaden der beliebtesten Passwörter. Komplexe Passwortregeln sind aber nicht die beste Lösung um das Problem zu beheben.
«Sagen wir es mal so: Passwortregeln sind dazu da, unwissende, faule oder sonst wie schwierige Menschen davon abzuhalten, unsichere Passwörter in die Welt zu setzen.»
Albernheiten wie "123456" oder "passwort" besetzen seit Jahren Stammplätze in den Hitparaden der beliebtesten Passwörter. Deshalb versuchen die Leute aus der Informatik ja, ihre Nutzerschaft mit immer ausgefuchsteren Passwortregeln vor sich selbst zu schützen. Das äussert sich dann etwa so: "Das Passwort muss zwischen 6 bis 12 Zeichen lang sein und aus einer zufälligen Zeichenfolge bestehen. Es muss mindestens ein Sonderzeichen, einen Grossbuchstaben und eine Ziffer enthalten. Nicht erlaubt sind &, %, #, @." Und wer Pech hat oder bei einem internationalen Konzern arbeitet, muss es auch noch alle drei Monate wechseln.
Das ist ja gut gemeint – im Alltag aber viel zu kompliziert. Ausserdem nervt es die Nutzer, weil sie sich bevormundet fühlen. Kein Wunder also basteln sie sich ein «gutes» Passwort zusammen – und verwenden dann überall das gleiche. Andere erfinden raffinierte Passwortsysteme, die zu den Regeln passen, aber einfach zu merken sind und sich beliebig variieren lassen. Mit "Katzenfreund1!" bis "...99!" ist man wahrscheinlich weitum compliant – aber sicher nicht sicher.
So geht der Schuss letztlich nach hinten los. Hinzu kommt, dass rigide Passwortregeln der Konversionsrate nicht eben helfen. Manch eine (Männer mitgemeint) bricht die Registrierung ab, weil sie zu lange pröbeln muss, bis der Website ihr Passwort endlich passt. Dabei sagt uns die Forschung schon länger, dass Passwörter nicht besser werden, wenn sie möglichst kompliziert sind und viele Sonderzeichen enthalten. Wichtig ist vielmehr, dass sie lang sind und unlogisch.
Weniger wäre auch hier besser. Wer Sicherheit im Schilde führt, macht es den Nutzern so einfach wie möglich. Lange, leicht zu merkende Passphrasen sind deutlich besser als maximal kryptische Passwörter – nicht nur für die Sicherheit, sondern auch fürs Geschäft.
Owner, Expert Consultant
Dr. Christopher H. Müller, founder and owner of Ergonomen Usability AG, earned his PhD from the Institute for Hygiene and Applied Physiology at ETH Zurich. With over 22 years of experience, he is an expert in usability and user experience. His strong sense of empathy allows him to quickly understand the needs and perspectives of his clients. With creativity and courage, he supports his clients in their digitalization projects and the optimization of products, services, and processes. He takes a practical approach, developing tailored solutions that can be effectively implemented. Dr. Christopher H. Müller is a columnist for Netzwoche. He also serves as a board member for the Zugang für alle Foundation, and is a member of two Swico advisory boards and co-president of the Regional Conference Nördlich Lägern.