bleib-Virenfrei

Ein sicheres Passwort erstellen

| Von René Hifinger

Die Verwendung sicherer Passwörter ist ein wichtiger Aspekt der IT-Sicherheit. Passwörter dienen als Schutzmechanismus für unsere digitalen Identitäten und ermöglichen den Zugang zu vertraulichen Informationen und Systemen. Leider verwenden viele Menschen immer noch leicht zu erratende Passwörter oder dasselbe Passwort für mehrere Konten. In diesem Artikel gehen wir auf die Merkmale sicherer Passwörter und auf bewährte Methoden für die Erstellung und Verwaltung von Passwörtern ein.

Kurz zusammengefasst: Ein gutes Passwort…

  • besteht aus mindestens zehn Zeichen.
  • enthält Klein- und Großbuchstaben, Zahlen und Sonderzeichen.
  • enthält keine Begriffe aus Wörterbüchern, Tastaturfolgen, Zahlen- oder Buchstabenreihen.
  • enthält keine persönlichen Informationen (Geburtsdaten, Namen von Familienmitgliedern oder Haustieren).
  • wird nicht mehrfach benutzt.

Optional:

Tipps für ein sicheres Passwort

Sicheres Passwort
Sichere Passwörter erstellen

Je länger, desto besser

Hacker verwenden verschiedene Techniken, um Passwörter zu knacken. Sehr beliebt ist zum Beispiel der „Brute-Force-Angriff“. Bei dieser Technik geht ein Computerprogramm so schnell wie möglich alle möglichen Kombinationen von Buchstaben, Zahlen und Symbolen durch, um Passwörter zu knacken. Je länger und komplexer ein Passwort ist, desto länger dauert dieser Vorgang. Passwörter, die aus drei Zeichen bestehen, können innerhalb einer Sekunde geknackt werden. Die Länge der Phrase sollte mindestens zehn Zeichen betragen.

Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen nutzen

Verwenden Sie eine Kombination aus Buchstaben, Zahlen und Sonderzeichen. Ein gutes Passwort wäre zum Beispiel:

Gutes Passwort

Nicht zu simpel

Lange Passwörter sind gut, lange Passwörter mit zufälligen Wörtern und Sätzen sind besser. Verwenden Sie keine Buchstabenkombinationen, die in Wörterbüchern oder in der Literatur zu finden sind. Verwenden Sie auch keine alphabetischen Buchstabenfolgen (abc…), einfache Zahlenfolgen (12345…) oder das weit verbreitete „qwertz“.

Wenn es Informationen über Sie gibt, die leicht zu finden sind, sollten Sie diese nicht in Ihr Passwort aufnehmen – zum Beispiel Ihren Geburtstag, Ihre Adresse oder Ihren Geburtsort. Diese Informationen erleichtern es anderen, Ihr Passwort zu erraten.

Häufige Fehler:

Zu simple Passwörter

Ein Passwort nie mehrfach nutzen

Wenn Ihr Passwort geknackt wurde, hängt der daraus resultierende Schaden davon ab, ob Sie ein einziges Passwort für alle Ihre Konten verwendet haben oder ob jedes Konto ein eigenes Passwort hat. Im ersten Fall können Sie davon ausgehen, dass praktisch alle Ihre Konten ebenfalls Opfer eines Hackerangriffs wurden.

Passwörter stets unter Verschluss halten

Geben Sie Ihre Passwörter nicht an andere Personen weiter. Und bewahren Sie Ihre Passwörter nicht auf Haftnotizen neben Ihrem Computer auf.

Einen Passwort-Manager verwenden

Überlegen Sie einmal, wie viele Passwörter, PINs und Zugangscodes Sie sich merken müssen. Da kommt einiges zusammen.

Passwort-Manager sind Programme, die sichere Passwörter generieren und speichern. Die Passwörter werden verschlüsselt gespeichert und können nur mit einem Master-Passwort entsperrt werden. Viele Programme sind kostenlos (z. B. KeePass) und verfügen über optionale Funktionen wie die Synchronisierung neuer Passwörter auf mehreren Geräten.

Der Passwortspeicher des Browsers ist nicht empfehlenswert: In der Voreinstellung kann jeder, der Zugriff auf Ihr Benutzerkonto hat, auf alle gespeicherten Passwörter zugreifen. Zur Vermeidung sollten Sie ein Master-Passwort setzen, das der Browser dann beim ersten Passwortabruf nach dem Start abfragt.

Merksätze für komplizierte Passwörter

Eine zweite Möglichkeit, um sich Passwörter zu merken, sind Merksätze.

Sie können sich z. B. einen einfachen Satz ausdenken, den nur Sie kennen und den Sie sich leicht merken können, z. B. „Mars – der rote Himmelskörper – ist der 4. Das Passwort ergibt sich dann aus den Anfangsbuchstaben der Wörter im Satz. Wenn man dabei auf Groß- und Kleinschreibung achtet und auch Satzzeichen und Zahlen berücksichtigt, erhält man ein hervorragendes Passwort. In unserem Beispiel wäre das „M-drH-id4PdS“. Sie können auch ein „und“ durch ein „&“ ersetzen. Sie können natürlich auch den zweiten, dritten oder letzten Buchstaben eines Wortes verwenden.

Zwei-Faktor-Authentifizierung für noch mehr Sicherheit

Eine gute Möglichkeit, Ihre Konten zu sichern, ist die Zwei-Faktor-Authentifizierung (kurz: 2FA). Dabei handelt es sich um eine Methode, bei der Webdienste einen zusätzlichen Faktor verlangen, um einen Anmeldeversuch zu verifizieren. In der Regel handelt es sich dabei um eine Telefonnummer und/oder eine E-Mail-Adresse.

Die Zwei-Faktor-Authentifizierung sorgt für deutlich mehr Datensicherheit. Für das E-Mail-Konto ist die Zwei-Faktor-Authentifizierung zwingend erforderlich. Ihr E-Mail-Konto ist praktisch der Master-Schlüssel zu Ihrer digitalen Identität. Wer darauf Zugriff hat, kann sich auch in alle anderen Dienste einloggen, die Sie mit Ihrer E-Mail-Adresse nutzen – über die Passwort-Vergessen-Funktion.

Sicherheitsfragen setzen

Wenn Sie bei der Einrichtung eines Online-Kontos Sicherheitsfragen und -antworten auswählen müssen, wählen Sie diese so aus, dass sie nicht online für Dritte sichtbar sind – z. B. über ein Social-Media-Profil.

Oder lügen Sie, bis sich die Balken biegen! Voraussetzung ist natürlich, dass Sie sich hinterher an Ihre Lügen erinnern können, um das Passwort gegebenenfalls zurücksetzen zu können. Also am besten alles aufschreiben.

Login Daten nur verschlüsselt übertragen

Findet ein unverschlüsselter Datenaustausch vom Client zum Server und umgekehrt statt, können die Daten abgefangen, mitgelesen oder sogar verändert werden. Diese Angriffsform (Mitlesen und Verändern von Daten) bezeichnet man als Man in the middle. Achten Sie daher darauf, dass Sie Ihre Zugangsdaten nur auf Seiten mit verschlüsselter SSL-Verbindung eingeben.

Eine SSL-gesicherte Verbindung ist bis zum Empfang der Pakete auf dem Zielserver verschlüsselt und kann nicht einfach gelesen/verändert werden. SSL wird verwendet, wenn z.B. Login-Informationen sicher übertragen werden müssen. Solche Daten sind streng vertraulich und sollen weder gelesen noch verändert werden können. Eine durch SSL gesicherte Verbindung ist im Browser leicht zu erkennen. Eine unverschlüsselte Adresse beginnt mit http://. Eine Adresse, die über ein gültiges SSL-Zertifikat verfügt und somit gesichert ist, beginnt mit „https://“.

Regelmäßig Datenlecks checken

Cyberkriminelle stehlen immer wieder in großem Stil Datenbanken mit Zugangsdaten (Datenlecks). Stellen Sie sich darauf ein, dass früher oder später auch die von Ihnen genutzten Internetdienste betroffen sein werden. Prüfen Sie regelmäßig in öffentlichen Datenbanken, ob und für welche Ihrer Konten bereits Passwörter im Darknet gelandet sind. Dies können Sie beispielsweise mit dem Online Dienst Have i been pwned? prüfen. Sollte es dort einen Treffer geben, ist das betreffende Passwort umgehend zu ändern.

Angriffsmethoden auf Passwörter

Im Internet gibt es zahlreiche Programme, die systematisch Passwörter ausprobieren. Solche Programme gibt es für die unterschiedlichsten Zwecke, insbesondere für FTP- und POP3-Zugänge. Dabei unterscheidet man zwischen zwei verschiedenen Angriffsmethoden, dem Wörterbuch-Angriff und dem Brute-Force-Angriff.

Eine weitere Methode, mit der Cyberkriminelle an Passwörter und andere Zugangsdaten gelangen, ist das Phishing.

Phishing

Betrüger versenden massenhaft E-Mails im Namen seriöser Anbieter. Darin verlinken sie auf gefälschte Webseiten, um Zugangsdaten auszuspähen (Phishing). Prüfen Sie alle E-Mails sorgfältig, auch solche von scheinbar bekannten Absendern. Eine seriöse Bank schickt Ihnen beispielsweise niemals Links, um Ihr Konto mit PIN und TAN zu verifizieren. Überprüfen Sie bei allen Links zunächst die Ziel-URL. Werden Sie misstrauisch, wenn die persönliche Anrede fehlt oder zur Eile gedrängt wird. Achten Sie auf eine korrekte Sprache und Rechtschreibung.

Geben Sie Ihre Zugangsdaten nur dann in den Browser ein, wenn Sie die Adresse des jeweiligen Anbieters selbst eingetippt oder per Lesezeichen aufgerufen haben.

Wörterbuch-Angriff

Für einen Wörterbuch-, Wortlisten- oder Dictionary-Angriff benötigt man, wie Sie sich sicher denken können, eine Wortliste. Diese gibt es im Internet in Hülle und Fülle, fein säuberlich nach verschiedenen Kategorien geordnet. Wer es mit Vor- oder Nachnamen versuchen will, wird ebenso schnell fündig wie bei Begriffen aus der Welt der Physik, Chemie, Politik oder was auch immer. Damit ist eigentlich klar, was das Programm macht: Es testet, ob das erste Wort in der Liste das gesuchte Passwort ist, wenn nicht, wird das nächste Wort ausprobiert.

Daher: Benutzen Sie niemals Wörter, die einen Sinn ergeben bzw. die in Wörterbüchern zu finden sind!

Brute-Force-Angriff

Der Brute-Force-Angriff geht einen etwas anderen, radikaleren Weg. Zuerst wird getestet, ob das Passwort „a“ ist. Dann wird „b“, „c“ usw. ausprobiert. Sind alle 26 Möglichkeiten des Alphabets durchprobiert, kommen die zweistelligen Passwörter an die Reihe. Hier ist die Vorgehensweise wieder identisch: „aa“, „ab“, „ac“, … zz“ gefolgt von „aaa“ usw.

Im Prinzip kann so JEDES Passwort herausgefunden werden, es ist nur eine Frage der Zeit. Und Zeit ist das einzige, was Sie vor diesem Angriff schützt! Für den Fall, dass ein Passwort aus 3 (bzw. n) Zeichen besteht, ergeben sich bei Verwendung von Kleinbuchstaben 263 = 17.576 (bzw. 26n) Möglichkeiten. Das sind auf den ersten Blick recht viele, aber man muss bedenken, dass solche Programme auch über Nacht laufen können.

Finden sich im Passwort Groß- und Kleinbuchstaben, so existieren immerhin schon 52 = 2*26 Zeichen. Besteht ein Passwort aus n Stellen, so ergeben sich 522 = (2*26)n = 2n * 262 Möglichkeiten. Bei drei Zeichen (n=3) ergibt sich somit der Faktor 23 = 8 an Aufwand.

Bei Verwendung von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen ergeben sich ca. 100 verschiedene Zeichen, was einen Faktor 4n bedeuten würde, der den Aufwand doch erheblich erhöht. Bleibt die Frage, aus wie vielen Zeichen ein Passwort bestehen soll. Zunächst einmal: Verwenden Sie immer Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen, insgesamt sollte das Passwort mindestens 10 Zeichen lang sein! Daraus ergeben sich ca. 839,299,365,868,340,224 Möglichkeiten. Das sollte reichen.

Sonstige Angriffsmethoden

Der Vollständigkeit halber sei an dieser Stelle darauf hingewiesen, dass es auch andere Möglichkeiten gibt, Passwortabfragen zu umgehen. Neben Trojanern können auch Programmierfehler direkt ausgenutzt oder unverschlüsselt übertragene Passwörter abgefangen werden. Schützen können Sie sich nur durch den Einsatz möglichst aktueller Software, eines Virenscanners und einer sicheren VPN-Verschlüsselung (VPN Test der Stiftung Warentest).

René Hifinger
René Hifinger verfügt über umfassende Erfahrungen in den Bereichen IT-Sicherheit und Softwareentwicklung. Seit 15 Jahren berät er Firmen weltweit als IT-Sicherheitsexperte.

Nebenbei schreibt René Hifinger gerne über IT-Sicherheitsthemen. In den letzten Jahren veröffentlichte er zahlreiche Fachartikel in Online- sowie Printmedien - u. a. für die Fachmagazine Informatik Aktuell, Computerwelt und DIGITALE WELT. Einen kleinen Auszug seiner Referenzen finden Sie hier.

René Hifinger ist Mitbegründer der Initiative bleib-Virenfrei.