Passwort-Check aus Bayern: Bis eben war Ihr Passwort noch sicher

Das Bayerische Staatsministerium für Digitales - ja, sowas gibt es - will unter dem Motto "Online - aber sicher!" für mehr Sicherheit unter den Bayern und allen anderen sorgen. Dafür bietet es einen Passwort-Check an. Nutzer sollen ihr Passwort auf einer Webseite des Ministeriums eingeben, um es überprüfen zu lassen. Das mag gut gemeint sein, ist aber eine extrem dumme Idee.

Denn sein Passwort an irgendeinem anderen Ort im Internet als dem dafür vorgesehenen Dienst einzugeben, ist direkt der erste Fehler, den man in Sachen Passwortsicherheit begehen kann. Auch wenn eine Webseite verspricht, von einem hochoffiziellen bayrischen Staatsministerium zu sein und die Passwörter nur lokal zu prüfen.

Denn die Erziehungsmaßnahme zu einem vermeintlich sicheren Passwort - dazu später mehr - schlägt direkt fehl, da den Nutzern parallel dazu vermittelt wird, dass es schon okay ist, sein Passwort auf einer Webseite einzugeben, um es prüfen zu lassen. Das fühlt sich wie ungewollte Satire an und hilft letztlich vor allem Phishern, die Nutzer trickreich zur Eingabe ihrer Zugangsdaten bewegen möchten.

Immerhin: Nach der Verwendung und dem Nutzernamen fragt die Webseite des Ministeriums nicht.

Nicht schon wieder Passwortrichtlinien

Nicht besser wird es, wenn man sich ansieht, was der Passwort-Check da so prüft. Statt das Passwort auf bereits bekannte Passwörter zu kontrollieren, wie es so mancher Dienst im Internet bei der Registrierung sinnvollerweise tut, setzt das Bayerische Ministerium für Digitales - wie kann es anders sein - auf Passwortrichtlinien. Also auf Anforderungen, was für Zeichen ein Passwort enthalten soll oder muss.

Solche Passwortregeln gelten schon seit Jahren nicht mehr als der Stand der Technik. Die US-Standardisierungsbehörde Nist (National Institute of Standards and Technology) rät bereits seit 2017 explizit von Passwortrichtlinien ab.

Denn: Rein mathematisch betrachtet ist es viel wichtiger, längere Passwörter zu wählen als Zeichen aus unterschiedlichen Zeichenklassen. Es gibt verschiedene zielführende Strategien für sichere Passwörter, und nicht alle benötigen Sonderzeichen oder Großbuchstaben.

Ohnehin schützt eine Richtlinie nicht davor, das eine supersichere Passwort, weil es viele Sonderzeichen enthält, bei etlichen Diensten zu verwenden. Darauf weist der Passwort-Check des Ministeriums allerdings erst im Kleingedruckten in den weiteren Infos zu einem sicheren Passwort unter der Rubrik "Passwortmanager" hin.

Statt eines prominenten Hinweises auf einmalige Passwörter bewertet der Passwort-Checker die Länge des Passwortes sowie vorhandene Klein- und Großbuchstaben, Zahlen und Sonderzeichen mit Punkten. Abzug gibt es für Zeichen, die in einem Wörterbuch gefunden wurden. Garniert wird das Ganze mit einer Aufwandschätzung inklusive der dafür benötigten Rechenzeit.

Wir haben die Probe aufs Exempel gemacht und vermeintlich sichere Passwörter gefunden.