Gaithersburg/Berlin (dpa). "Bisde hoyer merkeln, hayvan? Ai, guggemol!" - so in etwa sieht ein sicheres Passwort aus. Passphrasen wie diese empfiehlt das US-Institut für Standards und Technologie (NIST). Die Behörde legt unter anderem technische Standards für öffentliche Einrichtungen in den USA fest. Wer irgendwo einen Satz abschreibt, könnte jedoch seine Sicherheit riskieren. Darum gibt das NIST eine Anleitung zum Selbstbasteln.

Das optimale Passwort besteht demnach aus mehreren Wörtern, die nicht im Wörterbuch stehen. Sonderzeichen können nicht schaden. Passwörter müssen aber nicht mehr einen Großbuchstaben und zwei verschiedene Sonderzeichen enthalten, wie lange empfohlen wurde. Leerzeichen zwischen den Worten bereiteten Hackern eher Kopfzerbrechen. Je länger das Passwort ist, desto besser.

Ähnliche Ratschläge gibt das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI). Im Gegensatz zum NIST wird dort allerdings weiterhin betont: "(Das Passwort) sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern bestehen." Auch regelmäßige Aufforderungen zum Passwortwechsel sind überflüssig.

Das Passwort sollte nur geändert werden, wenn ein konkreter Verdacht auf einen Angriff besteht. Zusätzlich zum Passwort können weitere Sicherheiten zum Beispiel für einen Netzwerkzugang eingebaut werden. Statt leicht zu knackender Sicherheitsfragen sollten Anbieter dabei aber eher auf die sogenannte Zwei-Faktor-Authentifizierung umsteigen, erläutert das BSI.

Bei diesem Verfahren müssen sich Nutzer zusätzlich zur Passworteingabe auf einem zweiten Weg identifizieren. Das kann durch einen Code, der per SMS verschickt wird, erfolgen. Auf verschiedenen Seiten können Nutzer überprüfen, ob ihre Passwörter frei im Netz verfügbar sind. Solche Passwörter sollten dann nicht weiter verwendet, sondern geändert werden. Infos: