Der “Weisenrat für Cybersicherheit in Deutschland“ fordert in seinem Jahresbericht 2020 einfachere Richtlinien für die Passwortvergabe. So sei es zum Beispiel falsch Passwörter mit einem Verfallsdatum zu versehen. „Ein weitverbreiteter und verständlicher Irrglaube ist es, dass strengere Richtlinien die Qualität der Passwörter steigern. Dies lässt sich jedoch nicht pauschal sagen und es gibt Situationen, in denen strengere Regeln die Qualität der gewählten Passwörter mitunter sogar verschlechtern, weil sich die Nutzer gezwungen sehen, Bewältigungsstrategien zu finden. Diese sind jedoch den Angreifern ebenfalls bekannt und somit anfällig. Von Menschen zu verlangen, sich immer mehr und immer kompliziertere Passwörter zu merken, ist kein gangbarer Weg. Es ist daher anzuraten, den Menschen bei dieser Aufgabe technisch zu unterstützen“, heißt es in dem Bericht.
Dabei denken die Experten an Passwortmanager und an die Zwei-Faktor-Authentisierung: „Etwa durch einen Bestätigungscode auf dem Smartphone, einen Fingerabdruck auf einem Sensor oder über eine Chipkarte. Entscheidend ist, dass die beiden Sicherheitskomponenten auf zwei getrennten Geräten angesiedelt sind“.
Ein gutes Passwort sollte man ganz im Gegenteil nur dann ändern, wenn es Hinweise dafür gibt, dass es geknackt beziehungsweise gestohlen wurde. Viele gefährlicher sei es dagegen ein- und dasselbe Passwort für unterschiedliche Dienste zu verwenden, so die Experten. Die Experten fordern vom Bundesamt für Sicherheit in der Informationstechnik (BSI), dass dieses den Behörden und Unternehmen einheitliche Vorgaben für diese verbesserten Passwortrichtlinien machen solle. Dabei sollte sich das BSI an den Empfehlungen des Open Web Application Security Projects (OWASP) und des National Institute of Standards and Technology (NIST) orientieren. Beide Einrichtungen haben sich bereits vor einiger Zeit von zahlreichen altbekannten Vorgaben für Passwörter – wie möglichst komplizierte Kombinationen aus Buchstaben und Sonderzeichen und Ziffern – verabschiedet und fordern stattdessen vor allem längere Passphrasen. Ein sicheres Passwort hat demnach mindestens acht, besser zwölf Zeichen und kann aus allen ASCII- und Unicode-Zeichen bestehen. Es gibt dafür aber keine Vorgaben in Bezug auf Groß- und Kleinschreibung oder für eine Einteilung in Ziffern, Buchstaben und Sonderzeichen. Und es gibt eben kein vorgeschriebenes Änderungsintervall. Das Passwort sollte aber keinesfalls leicht zu erraten sein, keine typischen, häufig benutzten Formulierungen enthalten und nicht mehrfach verwendet werden. Es sollte sich zudem nicht um bereits geleakte oder in Wörterbüchern enthaltene Wörter handeln.