Nutzer von Microsoft-Diensten, die nicht besonders smarte Passwörter wählen, werden aufgefordert, die Passwörter zu ändern. Dazu liefert das Unternehmen viele Hinweise und auch eine Anleitung. Aber - um es gleich vorwegzunehmen - unser größtes Problem löst Microsoft nicht: den Überblick bei all den Accounts zu bewahren.

Microsoft will nach Medienberichten Pseudo-Passwörter nicht mehr zulassen. Bei einigen Diensten ist das bereits eingerichtet. Aber das Unternehmen stellt gerade alle seine Dienste um. In den kommenden Monaten angeblich auch Outlook oder den Zugang zur Xbox.

123456 oder password oder 12345678 oder auch qwerty und natürlich 12345

Zu viele Nutzer wählen immer noch nicht besonders schlaue Passwörter. Das Unternehmen Splash Data veröffentlicht dazu inzwischen jährlich eine Liste der dümmsten Varianten: Die fehlende Varianz bei der Auswahl der Passwörter zeigt sich alleine daran, dass es in der Top 5 dieser Liste seit fünf Jahren kaum Bewegung gibt: Passwörter, die aus irgendwas mit "12345", dem Wort "Passwort" oder auch "12345678" bestehen.

Eine Veröffentlichung von Passwörtern hat auch die Passwort-Cracking-Community kürzlich unternommen. Allerdings ging es dabei um LinkedIn-Accounts und den Handel mit diesen gestohlenen Daten im Internet.

Zehn Millionen Angriffe auf Microsoft-Kundenkonten täglich

Microsoft nimmt das LinkedIn-Datenleck nun zum Anlass, seinen Kunden Passwörter zu verordnen. Denn nach Angaben des Unternehmens finden täglich etwa zehn Millionen Angriffe auf die Microsoft-Kundenkonten statt. Diese Angriffe übernehmen Bots, die automatisiert immer weiter Kombinationen testen, bis das Passwort geknackt ist. Auf einfache Passwörter kommt so ein Programm schnell, kompliziertere dauern länger oder werden gar nicht geknackt.

Ist ein aktuell gewähltes Passwort zu simpel, erhält der Anwender den Hinweis, ein neues Passwort zu wählen. Und das kann auch der Fall sein, wenn es relativ sicher scheint: Also nicht zu kurz ist oder auch Zahlen und Sonderzeichen enthält. In so einem Fall greift die Black List. Diese Liste sammelt alle Passwörter, die aus anderen Gründen aus Sicht von Microsoft nicht zulässig sind. Dabei bleibt die Wortauswahl nicht starr, sondern die Liste entwickelt sich dynamisch.

Was ein Passwort können muss

Wer zur Wahl eines neuen Passwortes aufgefordert wird, kann in den Password Guidelines des Unternehmens nachlesen, was ein Passwort können muss. Die wichtigste Regel lautet: Für jedes Login ein eigenes Passwort. Nichts recyceln und auch keine leicht abgewandelten Wörter benutzen. Mindestens acht Zeichen sind mittlerweile Standard, viel länger ist dabei aber nicht immer viel besser. Weil das nämlich häufig zu Wiederholungen führt wie PasswortPasswort123. Aber es gibt auch den Tipp: Keine einzelnen Wörter zu verwenden oder ausgeleierte Phrasen wie "Iloveyou". Außerdem nichts, was zu offensichtlich ist oder was direkte Rückschlüsse auf den Nutzer zulässt, wie Geburtsdaten oder Namen von Freunden. Denn diese Infos können sich Angreifer zum Beispiel über Facebook beschaffen.

Keine Antwort gibt es allerdings auf die aus Anwendersicht vermutlich wichtigste Frage: Wie sollen wir uns die ganzen unterschiedlichen Passwörter merken?

Shownotes
Passwörter
"Wähle ein Passwort, das schwerer für Menschen zu erraten ist"
vom 31. Mai 2016
Moderation: 
Sebastian Sonntag
Gesprächspartner: 
Klaus Jansen, DRadio Wissen