Passwort unter der Lupe

Das Passwort ist leider noch immer das Mittel der Wahl bei vielen Diensten und IT-Systemen. Hier heißt es immer wieder: Wer die Wahl hat, hat die Qual. Da die Auswahl eines „guten“ Passwortes nicht trivial ist werden oftmals immer dieselben Passwörter für unterschiedliche Dienste verwendet. Warum Sie dies aber gerade nicht tun sollten, können Sie in weiteren Artikeln auf dieser Webseite zum Thema Passwort nachlesen! Generell gilt: Die Wiederverwendung führt dazu, dass schlecht gewählte Passwörter auf der Hitliste besonders häufiger IT-Sicherheitsdefizite ganz weit oben stehen. Hacker freut das natürlich, da sie die entsprechenden Werkzeuge besitzen, um Passwörter vollautomatisch aus möglichen Zeichenkombinationen auszuprobieren oder um ganze Wörterbücher einschließlich gängiger Kombinationen aus Worten und angefügten Zahlen zu testen.

Der Sicherheitsforscher Mark Burnett hat z.B. eine Liste mit zehn Millionen entschlüsselten Passwörtern und den dazugehörigen Nutzernamen veröffentlicht (siehe auch Artikel auf Heise.de und Gizmodo.com). Die so veröffentlichte Liste soll Forschern weltweit dazu dienen, die Gewohnheiten der Nutzer zu verstehen und bessere Authentifizierungsverfahren zu entwickeln. Allerdings bekommen natürlich auch Hacker so tiefere Einblicke in die Gewohnheiten der Nutzer und können ihre Angriffe immer intelligenter machen. So konnte aus einer früher veröffentlichten Liste folgende Statistiken abgeleitet werden:

  • 4,7 % der User haben das Passwort “Passwort”
  • 8,7 % nahmen “123456”
  • 9,8 % wählten “123456” oder “12345678”
  • 14 % hatten ein Passwort aus den “Top 10 Passwörtern”
  • 79 % nutzten ein Passwort aus den “Top 500″
  • 91 % zählen auf ein Passwort aus den “Top 1000″

Diese Zahlen machen natürlich nachdenklich und zeigen uns, wie wichtig es ist, an dieser Stelle darauf hinzuweisen, dass ein gut gewähltes Passwort in Ihrem ganz eigenen Interesse liegt und keine „Gängelei“ der IT-Verantwortlichen ist! Denn denken Sie immer daran: Betrüger können Zugriff auf Ihre Accounts erlangen, durch den dann z.B. Waren in Ihrem Namen und auf Ihre Kosten bestellt oder aber auch E-Mails in Ihrem Namen verschickt werden. Deswegen möchten wir Ihnen in diesem Artikel aufzeigen, wie Sie ein sicheres Kennwort für unterschiedliche Dienste bilden können und Ihnen eventuell das eine oder andere Hilfsmittel hierfür zur Verfügung stellen.

Wie kann ein gutes Password aussehen?

  • Es sollte mindestens zwölf Zeichen lang sein. Bei Verschlüsselungsverfahren wie zum Beispiel WPA und WPA2 für WLAN sollte das Passwort mindestens 20 Zeichen lang sein. Hier sind so genannte Offline-Attacken möglich, die auch ohne stehende Netzverbindung funktionieren – das geht zum Beispiel beim Hacken von Online-Accounts nicht.
  • Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…) bestehen.
  • Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter sind tabu. Ganz generell sollte das Passwort nicht in Wörterbüchern vorkommen. Lesen sie hier warum.
  • Es soll nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen, also nicht qwertz oder 1234abcd und so weiter.
  • Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? #, am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen, ist auch nicht empfehlenswert. Lesen sie hier warum.

Wie kann ich mir denn so komplizierte Passwörter merken?

Hierfür gibt es zum Beispiel den Ansatz, sich einen Satz als Gedankenstütze zu merken. Von diesem Satz nimmt man nun immer nur den 1. Buchstaben eines jeden Wortes. Anschließend wandelt man dann bestimmte Buchstaben in Zahlen oder Sonderzeichen um. Durch diese Methode können unterschiedlich lange und komplexe Passwörter entstehen, wenn man z.B. nicht nur jeden ersten sondern jeden ersten und letzten Buchstaben eines Wortes nimmt. Ein Beispiel: „Ich stehe jeden Morgen 40 Minuten vor dem Spiegel.“ Daraus würde: „IsjM40MvdS.“ Nun könnte man die Buchstaben noch invertieren: „iSJm40mVDs.“ und das „i“ durch eine 1 ersetzen, da diese sehr ähnlich aussehen: „1SJm40mVDs.“.

Wichtig ist hierbei, dass Sie sich den Passwortsatz selbst ausgedacht haben. Sofern Sie hier zum Beispiel die Anfangsbuchstaben eines Literaturzitates verwenden, dann ist prinzipiell die Möglichkeit einer Wörterbuchattacke nicht viel unrealistischer, als wenn Sie direkt ein Wort verwenden würden. Dies trifft natürlich insbesondere für weithin bekannte Zitate zu.

Wenn Sie das oben gewählte Passwort als Basis verwenden, haben Sie auch gleich die Möglichkeit durch die Ergänzung des Passwortes unterschiedliche Passworte für unterschiedliche Dienste zu erstellen. Hierfür ergänzen Sie das Masterpasswort mit einer für jede Webseite einzigartige Zeichenkette. Dabei ist es wichtig, vorhersehbare Zeichen, wie den Namen der Webseite, zu meiden. Seien Sie an dieser Stelle kreativ und verwenden zum Beispiel den Farbnamen der Webseite mit der Anzahl der Buchstaben. So könnte z.B. ein Password für die Telekomrechnung wir folgt lauten: „1SJm40mVDs.Magenta*7“.

Aktuelle Hinweise zu einem sicheren Passwort können sie auch immer auf dem Portal BSI für Bürger vom Bundesamt für Sicherheit in der Informationstechnik nachlesen.

Warum muss ich mir meine Passwörter merken? Ich kann sie doch auch aufschreiben.

Hier gehen die Aussagen auseinander. Die einen empfehlen niemals ein Passwort aufzuschreiben. Andere sagen, bevor Sie ein Passwort doppelt verwenden, erzeugen Sie lieber ein Neues und schreiben Sie es sich auf (siehe dazu unseren Artikel: „Was-ist-falsch-mit-deinem-Passwort?“). Wir unterstützen diese Aussage zwar, wollen aber auch darauf hinweisen, dass diese Passwörter natürlich nicht unverschlüsselt abgelegt oder auf dem Notizzettel am Bildschirm aufbewahrt werden sollen. Wenn Sie sich ihre Passwörter notieren wollen, sollten Sie diese stattdessen auf Papier unter Verschluss halten bzw. auf dem Rechner in einer verschlüsselten Datei ablegen.

Wer viele Online-Accounts hat, für den empfiehlt sich ein Passwort-Verwaltungsprogramm wie zum Beispiel Keepass. Diese Programme können neben der Passwort-Verwaltung auch starke zufällige Passwörter generieren. Achten Sie hier bitte darauf, dass die Empfehlungen zur Passwortstärke auch berücksichtigt werden. Sie müssen sich dann nur noch ein gutes Masterpasswort überlegen und merken oder aber ein anderes Sicherheitstoken (z.B. USB Stick) verwenden.

Und was hat es mit diesen berühmten Sicherheitsfragen zur Passwortwiederherstellung auf sich?

Hacker sind in der Regel mindestens so kreativ wie sie. Deshalb sollten sie ebenso kreativ auch die Sicherheitsfragen zur Passwortwiederherstellung beantworten. Hier werden oftmals standardisierte Fragen gestellt, die einfache Antworten hervorbringen: Was ist ihre Lieblingsfarbe? Die Antwort auf diese Frage ist nicht schwer zu erraten! Also sollten sie sich auch hier eine Strategie zur verschleierten Antwort überlegen. Die Antwort auf die Frage nach Ihrer Lieblingsfarbe sollte also nicht „Blau“ heißen, sondern z.B. Ei_§Neavyblue! (Ei für Einkauf) sein.

Haben sie die Chance, eine alternative E-Mailadresse zur Wiederherstellung anzugeben, so nutzen sie das. Legen sie sich am besten einen E-Mailaccount nur für diesen Zweck an. Damit Ihnen im Worst-Case-Szenario, dem gehackten E-Mail-Konto, keine Kettenreaktion gekaperter Zugänge droht, sollten Sie dieses Konto besonders schützen. Diese Mailadresse ist nicht nur der Anker Ihrer digitalen Identitäten, sondern sie ist bei vielen Webdiensten auch der Nutzername und dient der Passwortwiederherstellung. Wer Ihren E-Mailaccount kontrolliert, kann sich somit auch bei vielen Diensten problemlos die Log-in-Daten zuschicken lassen.

Was soll ich jetzt genau tun?

  • Sie müssen unbedingt ein sicheres Passwort nutzen.
  • Sie dürfen ein Passwort niemals für mehrere Dienste nutzen.
  • Schreiben Sie sich Ihr Passwort lieber an einer sicheren Stelle auf.
  • Ändern Sie Ihre Passwörter regelmäßig.
  • Ändern Sie stets voreingestellte Passwörter.
  • Geben Sie Ihr Passwort niemals an Dritte.
  • Verschicken Sie Ihr Passwort niemals per E-Mail.

Bildquellen