Ein sicheres Passwort erstellen

Sie sind nicht nur in der Computerwelt allgegenwärtig, aber hier trifft man besonders häufig auf sie. Keine Online-Überweisung, kaum eine Internet-Bestellung funktioniert noch ohne sie. Die Rede ist von Passwörtern – den Zeichenfolgen, die den Zugang zu sensiblen Informationen und privaten Daten sichern..

Bei der Erstellung eines Passworts kann man zahlreiche Fehler machen. Aber wie sieht nun ein sicheres Passwort aus?

Kurz zusammengefasst: Ein gutes Passwort…

  • besteht aus mindestens zehn Zeichen.
  • beinhaltet Klein- und Großbuchstaben, Zahlen und Sonderzeichen.
  • beinhaltet keine Begriffe aus Wörterbüchern.
  • wird nicht mehrfach benutzt.

Optional:

  • Nutzen Sie einen Passwortmanager.
  • Aktivieren Sie die Zwei-Faktor-Authentisierung (wenn möglich).

Tipps für ein sicheres Passwort

Sicheres Passwort
Sichere Passwörter erstellen

Je länger, desto besser

Hacker setzen verschiedene Techniken ein, um Passwörter zu knacken. Sehr beliebt ist zum Beispiel der „Brute-Force-Angriff“. Bei dieser Technik geht ein Computerprogramm alle denkbaren Kombinationen von Buchstaben, Zahlen und Symbolen so schnell wie möglich durch, um Passwörter zu knacken. Je länger und komplexer ein Passwort ist, desto länger dauert dieser Prozess. Passwörter, die drei Zeichen lang sind, lassen sich innerhalb einer Sekunde knacken. Die Länge der Phrase sollte mindestens zehn Zeichen betragen.

Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen nutzen

Nutzen Sie eine Kombination aus Buchstaben, Zahlen und Sonderzeichen. Ein gutes Passwort wäre beispielsweise:

Gutes Passwort

Nicht zu simpel

Lange Passwörter sind gut; lange Passwörter, die zufällige Wörter und Phrasen enthalten, sind besser. Nutzen Sie keine Buchstabenkombinationen, die im Wörterbuch stehen oder in der Literatur zu finden sind. Verwenden Sie auch keine alphabetischen Buchstabenfolgen (abc…), bloße Zahlenfolgen (12345…) oder das weitverbreitete „qwertz“.

Wenn es Informationen über Sie gibt, die leicht auffindbar sind, sollten Sie diese nicht in Ihr Passwort aufnehmen – z. B. Ihr Geburtstag, Ihre Adresse oder Ihr Geburtsort. Diese erleichtern das Erraten Ihres Passworts. Wenn Sie bei der Erstellung eines Online-Kontos Sicherheitsfragen und -antworten wählen müssen, wählen Sie diese so, dass sie für Dritte nicht online einsehbar sind- z. B. per Social-Media-Profil.

Häufige Fehler:

Zu simple Passwörter

Ein Passwort nie mehrfach nutzen

Wenn Hacker große Hacks durchführen, werden die Listen der kompromittierten E-Mail-Adressen und Passwörter oft im Internet veröffentlicht. Wurde auch Ihre Kombination aus E-Mail-Adresse und Kennwort kompromittiert, haben die Angreifer automatisch Zugriff auf alle Konten, auf denen dasselbe Passwort verwendet wird.

Passwörter stets unter Verschluss halten

Geben Sie Ihre Passwörter nicht an andere Personen weiter. Und bewahren Sie Ihre Passwörter nicht auf Haftnotizen neben Ihrem Computer auf.

Einen Passwort-Manager verwenden

Überlegen Sie mal, wie viele Passwörter, PIN-Nummern und Zugangscodes Sie sich merken müssen. Es kommt sicherlich einiges zusammen.

Passwort-Manager sind Programme, die sichere Passwörter generieren und speichern. Die Passwörter werden verschlüsselt gespeichert und können nur mit einem Master-Passwort entsperrt werden. Zahlreiche Programme sind kostenlos (z. B. KeePass) und verfügen über optionale Funktionen wie das Synchronisieren neuer Passwörter auf mehreren Geräten.

Merksätze für komplizierte Passwörter

Eine zweite Möglichkeit, um sich Passwörter zu merken, sind Merksätze.

Sie können sich z. B. einen einfachen, nur Ihnen bekannten Satz überlegen, den Sie leicht behalten können, wie zum Beispiel: „Mars – der rote Himmelskörper – ist der 4. Planet des Sonnensystems.“ Das Passwort ergibt sich dann aus den Anfangsbuchstaben der Wörter im Satz. Wer hier Groß- und Kleinschreibung beachtet sowie Satzzeichen und Zahlen übernimmt, erhält ein ausgezeichnetes Passwort. Das würde im Falle unseres Beispiels folgendermaßen lauten: „M-drH-id4PdS.“ Sie können außerdem ein „und“ auch durch ein „&“ ersetzen. Oder natürlich auch je Wort den zweiten Buchstaben, den dritten oder den letzten nehmen.

Zwei-Faktor-Authentisierung für noch mehr Sicherheit

Eine gute Möglichkeit, Ihre Konten zu sichern, ist die Zwei-Faktor-Authentisierung (kurz: 2FA). Dabei handelt es sich um eine Methode, bei der Webdienste einen zusätzlichen Faktor verlangen, um einen Anmeldeversuch zu verifizieren. In der Regel handelt es sich dabei um eine Telefonnummer und / oder eine E-Mail-Adresse.

Eine Zwei-Faktor-Authentisierung sorgt für deutlich mehr Datensicherheit.

Angriffsmethoden

Im Internet gibt es zahlreiche Programme , die systematisch Passwörter ausprobieren. Programme dieser Art gibt es für die verschiedensten Zwecke, dies beinhaltet insbesondere FTP- und POP3-Zugänge.

Man unterscheidet zwischen zwei verschiedenen Angriffsmethoden, dem Wörterbuch-Angriff und dem Brute-Force-Angriff.

Wörterbuch-Angriff

Für einen Wörterbuch-, Wort-Listen- oder Dictionary-Angriff wird, wie Sie sicherlich schon vermuten, eine Wortliste benötigt. Diese finden sich in reichhaltiger Anzahl im Internet, fein säuberlich nach diversen Kategorien geordnet. Wer es mit Vornamen oder Nachnamen probieren möchte, wird ebenso schnell fündig wie für Begriffe aus der Welt der Physik, Chemie, Politik oder was auch immer. Damit liegt es eigentlich auf der Hand, was dieses Programm macht: Es testet, ob das erste Wort der Liste das gesuchte Passwort ist, ist es das nicht, wird das nächste Wort ausprobiert.

Daher: Benutzen Sie nie Wörter, die einen Sinn ergeben bzw. die in Wörterbüchern zu finden sind!

Brute-Force-Angriff

Der Brute-Force-Angriff geht einen etwas anderen, radikaleren Weg. Dabei wird zuerst getestet, ob das Passwort „a“ lautet. Danach wird „b“, „c“ usw. ausprobiert. Sind alle 26 Möglichkeiten des Alphabetes ausprobiert, kommen die zweistelligen Passwörter an die Reihe. Hier ist die Vorgehensweise wieder identisch: „aa“, „ab“, „ac“, … , „zz“ gefolgt von „aaa“, usw.

Prinzipiell ist es so möglich, JEDES Passwort zu finden, es ist nur eine Frage der Zeit. Und Zeit ist das Einzige, was Sie gegen diesen Angriff schützt! Für den Fall, dass ein Passwort aus 3 (oder allgemein n) Zeichen besteht, so ergeben sich bei Verwendung von Kleinbuchstaben 263 = 17.576 (bzw. 26n) Möglichkeiten. Auf dem ersten Blick sind das recht viele, bedenken Sie aber, dass solche Programme auch über Nacht laufen können. Je nach verwendetem Programm ist dieses beispielhafte Problem im Bereich von wenigen Sekunden gelöst!

Finden sich im Passwort Groß- und Kleinbuchstaben, so existieren immerhin schon 52 = 2*26 Zeichen. Besteht ein Passwort aus n Stellen, so ergeben sich 522 = (2*26)n = 2n * 262 Möglichkeiten. Bei drei Zeichen (n=3) ergibt sich somit der Faktor 23 = 8 an Aufwand.

Werden Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen genutzt, ergeben sich etwa 100 verschiedene Zeichen, dies würde etwa einen Faktor 4n zur Folge haben, der den Aufwand doch beträchtlich erweitert. Damit bleibt nur noch zu überlegen, aus wie vielen Stellen ein Passwort bestehen sollte.

Zunächst einmal: Benutzen Sie stets Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen, insgesamt sollte das Passwort aus mindestens 8 Zeichen bestehen! Damit ergeben sich etwa 1008 = 1016 Möglichkeiten. Ein Computer, der 1.000.000 Möglichkeiten pro Sekunde probieren kann, braucht so über 100 Jahre. Das sollte reichen.

Sonstige Angriffsmethoden

Der Vollständigkeit wegen sei hier noch angemerkt, dass es auch andere Möglichkeiten gibt, Passwortabfragen zu überwinden. Neben Trojanern können durchaus auch Programmierfehler direkt ausgenutzt oder unverschlüsselt übertragene Passwörter abgefangen werden. Schützen können Sie sich nur, wenn Sie möglichst aktuelle Software, einen Virenscanner und eine sichere VPN-Verschlüsselung benutzen.

Rene Hifinger
Rene Hifinger
Rene Hifinger verfügt über umfassende Erfahrungen in den Bereichen IT-Sicherheit und Softwareentwicklung. Seit 15 Jahren berät er Firmen weltweit als IT-Sicherheitsexperte.

Nebenbei schreibt Rene Hifinger gerne über IT-Sicherheitsthemen. In den letzten Jahren veröffentlichte er zahlreiche Fachartikel in Online- sowie Printmedien - u. a. für die Fachmagazine Informatik Aktuell, Computerwelt und DIGITALE WELT. Einen kleinen Auszug seiner Referenzen finden Sie hier.

Rene Hifinger ist Mitbegründer der Initiative bleib-Virenfrei.