P wie Passwortregeln

Theorie: Sagen wir es mal so: Passwortregeln sind dazu da, unwissende, faule oder sonst wie schwierige Menschen davon abzuhalten, unsichere Passwörter in die Welt zu setzen.

Realität: Albernheiten wie "123456" oder "passwort" besetzen seit Jahren Stammplätze in den Hitparaden der beliebtesten Passwörter. Deshalb versuchen die Leute aus der Informatik ja, ihre Nutzerschaft mit immer ausgefuchsteren Passwortregeln vor sich selbst zu schützen. Das äussert sich dann etwa so: "Das Passwort muss zwischen 6 bis 12 Zeichen lang sein und aus einer zufälligen Zeichenfolge bestehen. Es muss mindestens ein Sonderzeichen, einen Grossbuchstaben und eine Ziffer enthalten. Nicht erlaubt sind &, %, #, @." Und wer Pech hat oder bei einem internationalen Konzern arbeitet, muss es auch noch alle drei Monate wechseln.

Das ist ja gut gemeint – im Alltag aber viel zu kompliziert. Ausserdem nervt es die Nutzer, weil sie sich bevormundet fühlen. Kein Wunder also basteln sie sich ein «gutes» Passwort zusammen – und verwenden dann überall das gleiche. Andere erfinden raffinierte Passwortsysteme, die zu den Regeln passen, aber einfach zu merken sind und sich beliebig variieren lassen. Mit "Katzenfreund1!" bis "...99!" ist man wahrscheinlich weitum compliant – aber sicher nicht sicher.

So geht der Schuss letztlich nach hinten los. Hinzu kommt, dass rigide Passwortregeln der Konversionsrate nicht eben helfen. Manch eine (Männer mitgemeint) bricht die Registrierung ab, weil sie zu lange pröbeln muss, bis der Website ihr Passwort endlich passt. Dabei sagt uns die Forschung schon länger, dass Passwörter nicht besser werden, wenn sie möglichst kompliziert sind und viele Sonderzeichen enthalten. Wichtig ist vielmehr, dass sie lang sind und unlogisch.

Fazit: Weniger wäre auch hier besser. Wer Sicherheit im Schilde

führt, macht es den Nutzern so einfach wie möglich. Lange, leicht zu merkende Passphrasen sind deutlich besser als maximal kryptische Passwörter – nicht nur für die Sicherheit, sondern auch fürs Geschäft.