Bitte wählen Sie ein schwaches Passwort!

Die Rolle sicherer Passwörter für die IT-Sicherheit im Internet kann nicht überschätzt werden. In einer aktuellen Plakatkampagne von Google wird eine Möglichkeit zur sicheren Wahl von Passwörtern vorgeschlagen (eine Werbekampagne für IT-Sicherheit!):

Eine Möglichkeit ist die Verwendung einer Zeile aus einem Lied, Film oder Märchen als Eselsbrücke, zum Beispiel „Hinter den sieben Bergen, bei den sieben Zwergen“. Diese Zeile können Sie dann mithilfe von Zahlen, Symbolen sowie Klein- und Großbuchstaben darstellen: „Hd7B,bd7Z“ ist ein Passwort mit Trillionen von Varianten. Je ungewöhnlicher die Wortgruppe ist, desto besser!

Je mehr verschiedene Zeichentypen in einem Passwort enthalten sind, desto höher ist (bei konstanter Länge) die Anzahl der von einem Angreifer auszuprobierenden Kombinationen. Bedrohungen für die IT-Sicherheit im Allgemeinen gehen deswegen unter anderem von solchen Websites aus, die nicht nur ihre User nicht zu einem starken Passwort zwingen, sondern im Gegenteil ein starkes Passwort verhindern, indem sie z.B. Sonderzeichen im Passwort verbieten. Beispiele:

• Fotolia.com. Der Username darf eine Länge von 3–16 Zeichen, das Passwort von 5–12 Zeichen haben, dabei dürfen keine Sonderzeichen verwendet werden. Auf meine Anfrage nach der Motivation für die Beschränkung erhielt ich folgende Antwort:

  Sehr geehrter Herr Pfeiffer,
  vielen Dank für Ihre Mail. Der Loginname ist durch eine alphanumerische Kombination von 3 bis 16 Zeichen und das Passwort von 5 bis 12 Zeichen ausreichend abgesichert.
  Mit freundlichen Grüßen
  Ihr Fotolia Team

• meineSCHUFA.de. Motto: „Wir schaffen Vertrauen“. Wie das funktioniert? Ganz einfach: „Mindestens 8 Zeichen, davon mindestens ein Buchstabe und mindestens eine Zahl, keine Leer- oder Sonderzeichen.“ Zum Glück bietet die SCHUFA selbst aber auch gleich ein Mittel gegen den Identitätsdiebstahl an: „Der SCHUFA-UpdateService – Das Frühwarnsystem bei Identitätsmissbrauch“. Ich habe auch hier angefragt, wieso die Wahl starker Passwörter unterbunden wird und warte auf Antwort.

Wenn meinen Lesern ähnliche Fälle der Verhinderung sicherer Passwörter bekannt sind, würde ich mich über einen Auszug des Mailwechsels mit dem Support des jeweiligen Webportals in den Kommentaren zu diesem Post freuen!

PS. Ein positives Beispiel für eine mögliche Reaktion auf einen solchen Hinweis ist übrigens istockphoto.com. Dort hatte ich gemeldet, dass beim Ändern (!) des Passwortes keine Sonderzeichen mehr erlaubt sind. Die Reaktion:

Herzlichen Dank für die Meldung. iStock ist ein dynamisches Unternehmen, bei dem ständig Funktionen hinzugefügt und geändert werden. Dabei kommt es leider manchmal zu Unstimmigkeiten.
Ich werde das an unsere Entwickler weitermelden, damit sie es allenfalls in einem kommenden Release anpassen können.
Als kleines Dankeschön für das Feedback habe ich Ihrem Konto 10 Credits gutgeschrieben.