Neben dem akuten Klein-Klein des Tagesgeschäfts werfen wir auch gerne mal einen Blick voraus. Diese Woche berichtete das Core Developer Team des nächsten WordPress Release (4.3) über Ideen, wie Passwörter künftig behandelt werden könnten. Konkret diskutiert wurden für das Benutzerinterface:
- automatische Erzeugung von sicheren Passwörtern als Standardeinstellung. Alternativ kann der Benutzer ein eigenes Kennwort kreieren.
- Anstelle eines Bestätigungsfelds im dem das Kennwort ein zweites Mal eingegeben wird, soll das Kennwort Klartext angezeigt werden um Tippfehler zu vermeiden
- Wenn der Benutzer ein eigenes Kennwort erstellen möchte, soll er Hilfestellungen bekommen, wie das Kennwort verbessert werden kann. Aktuell bekommt er nur eine Rückmeldung ob sein Kennwort stark, mittel oder schwach ist, nicht jedoch was er tun sollte um das nächste Level zu erreichen
- Zu guter Letzt soll eine »Bist Du Dir wirklich sicher«-Fragerunde eingebaut werden, wenn der Benutzer willentlich ein schwaches Passwort wählt.
Darüberhinaus sollte bei der Erzeugung eines Benutzers durch den Admin ein Passwort automatisch generiert werden. Bisher vergibt der Admin das Passwort, das dann wahlweise schwach oder für den Benutzer nicht merkbar ist. Auch ein Passwort-Reset soll nur noch ein automatisiertes Passwort erzeugen. Immer mit dem Blick auf selbstgewählte, schwache Passwörter durch den Benutzer.
Zwei Automatismen – so Sie denn kommen – finden wir besonders gut. Zum einen sollen Reset-Links mit einem Verfallsdatum ausgestattet werden. Zum zweiten sollen Passwortänderungen per eMail an den Benutzer rückgemeldet werden (um zu verhindern, das unbefugte Dritte eine Veränderung herbei führen).
Kurze Rechnung dazu: 10 Ziffern + je 26 Groß- und Kleinbuchstaben sind tutti 62 mögliche Zeichen. Mal 20 Stellen – korrekter 6220 = 7,0442343+E35, also rund 700 Quintilliarden Möglichkeiten.
Ansonsten heisst unsere Empfehlung für starke Passwörter: Zufällige Kombinationen aus Ziffern und Buchstaben, gerne Groß- und Kleinschreibung gemischt und so lang wie möglich. Meine Standardeinstellung sind da 20 Zeichen. Nur wenn einzelne Plattformen diese Passwort-Länge nicht unterstützen bin ich ausnahmsweise mal bereit davon abzuweichen. Und natürlich für jeden Login immer ein eigenes Passwort. Ansonsten wird eine Plattform kompromittiert, sind die übrigen auch offen.
Und nein – dutzende oder gar hunderte von Passwörtern aus wilden Kombinationen und 20-stelliger Länge kann sich natürlich kein Mensch mehr merken. Aber zum Glück gibt’s dafür – für jede Plattform – taugliche Passwortmanager, die solche Logins erzeugen, abspeichern, ggf. sogar zwischen verschiedenen Devices synchron halten und die Kennwörter an passender Stelle (und eben auch nur dort) wieder ausspucken.