Die drei schlimmsten Passwort-Nervereien

So gehts richtig

Es wäre so einfach, es besser zu machen.
Erlauben Sie Passwörter von bis zu 64 Zeichen. Damit können die User sogar einen kurzen Satz eingeben, anstelle eines Passworts.
Weisen Sie Ihre User darauf hin, dass sie für jeden Dienst ein separates Passwort benutzen sollen. Dieses darf keinen Aufschluss darüber geben, wie die Kennwörter desselben Users bei anderen Diensten heissen könnten.
Bieten Sie Ihren Usern eine einfache und kostenlose Zwei-Faktor-Authentisierung (2FA) an. Der Google Authenticator ist auf vielen Smartphones schon installiert. Nutzen Sie diesen Umstand. Wie das beispielsweise bei einem Microsoft-Account verwendet wird, beschreiben wir hier.
Für die Passwort-Wiederherstellung gibts weitaus bessere Methoden als die Abfrage von hochgradig unsicheren «Sicherheitsfragen». Bieten Sie den Usern Wiederherstellungscodes an, die diese aus ihrem Account herunterladen und lokal an einem sicheren Ort speichern können. Sogar ein Ausdrucken dieser Codes ist heutzutage sinnvoll, solange die Codes nicht offen am Bildschirm kleben, sondern in einem verschlossenen Schrank oder gar Tresor verwahrt sind.
Mit einer 2FA und Wiederherstellungscodes mildern Sie auch die Gefahren für jene Ihrer User, die sich ausgerechnet für eins der 10 häufigsten und damit schlechtesten Passwörter entschieden haben, siehe nachfolgende Bildstrecke.

Bildergalerie
Die 10 weltweit meistgenutzten Passwörter im Ranking, laut einer Untersuchung des Passwortmanager-Herstellers Nordpass im Jahr 2021.




Kommentare
Avatar
Electra
02.12.2022
"Wenn man sich wenigstens eigene Fragen ausdenken könnte. Aber meistens werden Antworten auf fixe, nicht änderbare Fragen verlangt. Sollte jemand also weder ein Haustier noch einen Cousin, noch einen Spitznamen haben, ist es schwierig, sich noch einen passenden Fragenkatalog zusammenzuklicken. Nicht zuletzt lassen sich die Antworten auf diese Fragen jemandem durchaus per Social Engineering aus der Nase ziehen." So einfach geht's ja nicht mit dem aus der Nase ziehen. Mein Hund heisst W<pAgd)5&tVj@0GlPQ$< und mein Cousin z6jz6c0v5wvkkgb4n9hkb8w3.

Avatar
11291PCtipp
03.12.2022
"Wenn man sich wenigstens eigene Fragen ausdenken könnte. Aber meistens werden Antworten auf fixe, nicht änderbare Fragen verlangt. Sollte jemand also weder ein Haustier noch einen Cousin, noch einen Spitznamen haben, ist es schwierig, sich noch einen passenden Fragenkatalog zusammenzuklicken. Nicht zuletzt lassen sich die Antworten auf diese Fragen jemandem durchaus per Social Engineering aus der Nase ziehen." So einfach geht's ja nicht mit dem aus der Nase ziehen. Mein Hund heisst W<pAgd)5&tVj@0GlPQ$< und mein Cousin z6jz6c0v5wvkkgb4n9hkb8w3. Die Nachfolge Regelung nicht vergessen, irgendwann sollten die Erben erfolgreich zugreifen können.

Avatar
re460
04.12.2022
Herzlichen Dank für den ausgezeichneten Artikel!

Avatar
HansLi
04.12.2022
Mein Passwort ist "Falsch", jedes Mal wenn ich etwas Anderes eingebe kommt das richtige Passwort ;-) Spass beseite, es gibt ein Dickes Buch: Flora Helvetica. Drei Tausend Einträge von Pflanzen die in der Schweiz vorkommen und schön durchnummeriert. Eine Liste mit Nummern und den Spezialzeichen für die Zeischenräume dazu die URL fertig. z.B.: 579*/ PCTIPP in der Liste = 579*Salix/elaeagnos. Nachfolge Regelung? Auch einfach lösbar.

Avatar
Electra
06.12.2022
Die Nachfolge Regelung nicht vergessen, irgendwann sollten die Erben erfolgreich zugreifen können. Dafür würde ich nicht die Sicherheitsfragen verwenden (die vielleicht dann nicht nur die Erben herausfinden oder diese noch zu Ihren Lebzeiten) sondern beispielsweise SecureSafe oder etwas Vergleichbares.