Herrmann - Computer und Internet Service
Computer und Internet Service

Sichere Passwörter leicht gemacht

Passwörter sollen sicher sein, häufig gewechselt und keinesfalls für mehr als ein einziges Benutzerkonto verwendet werden – so hört man es immer wieder. Wie soll man sich so viele Passwörter merken, und warum überhaupt? Worin besteht die Gefahr bei "123456" und was zeichnet ein gutes Passwort aus?

Rohe Gewalt und Wörterbücher

Ob für Amazon oder eBay, Facebook oder Twitter, die Hausbank, Krankenkasse oder für den eigenen Blog – Passwörter werden im Internet überall gebraucht. Sie schützen die persönlichen Nutzerkonten vor fremdem Zugriff. Damit sie diese Aufgaben erfüllen können, müssen drei einfache Grundregeln beachtet werden:

  • Je länger und komplexer ein Passwort ist, desto sicherer ist es. Ein Passwort bestehend aus zwölf Zeichen mit Klein- und Großbuchstaben, Zahlen und Sonderzeichen ist gut.
  • Kein Passwort darf in einem Wörterbuch stehen.
  • Pro Konto ein eigenes Passwort!

Für jeden dieser Punkte gibt es gute Gründe, die sich aus dem typischen Verhalten der Kriminellen ergeben. Bei den meisten Angriffen versuchen diese nämlich nicht gezielt, das Konto eines einzelnen Anwenders zu hacken. Stattdessen wollen sie möglichst viele Konten mit jeweils wenig Aufwand übernehmen. Dazu probieren Programme beliebige Kombinationen aus Nutzernamen und allen möglichen Passwörtern in riesigen Mengen aus. Bei Wörterbuchangriffen werden dabei stupide alle in Wörterbüchern verzeichneten Begriffe durchprobiert. Bei Brute-Force-Attacken (= Angriffe mit roher Gewalt) geht es noch primitiver zu: Es werden nacheinander alle möglichen Zeichenketten ausprobiert, die sich aus einem gegebenen Zeichenvorrat erstellen lassen. Das ist in etwa so, als würde ein Einbrecher alle Schlüssel an einem riesigen Bund durchprobieren, um irgendeine Tür zu öffnen. Was im echten Leben viel zu lange dauern würde, geht online blitzschnell und ist erstaunlich oft erfolgreich – bei kurzen Zeichenketten aus einem kleinen Zeichenvorrat.

Landen Angreifer einen Treffer, werden dasselbe Passwort und Variationen davon bei vielen weiteren Plattformen ausprobiert. Wenn sich Max.Mustermann bei WordPress mit seinem Geburtsdatum einloggt, dann vielleicht auch in seinem Mailaccount, so die Annahme. Daher sollten sich verschiedene Passwörter auch nicht zu ähnlich sein: Einmal "Katze" und einmal "kAtze" zu wählen, ist keine gute Idee. Außerdem werden auch seriöse Webseiten und Dienstanbieter immer wieder Opfer von Großangriffen. Dabei erbeuten Cybergangster mitunter riesige Listen an Nutzernamen und Passwörtern, wogegen Nutzer gar nichts machen können. Schon deswegen reicht ein einziges, auch noch so sicheres Passwort nicht für mehrere Accounts aus.

Über das häufige Wechseln von Passwörtern konnte man zuletzt lesen, dass es die Sicherheit nicht erhöhe und dass deswegen davon abzuraten sei. Das ist aber eine Überinterpretation: Passwörter zu ändern schadet sicherlich auch nichts - wenn man die Grundregeln beachtet.[1]

Sichere Passwörter erstellen und verwalten

Vor Brute-Force- oder Wörterbuchangriffen schützt man sich also am besten mit langen, komplexen und einmaligen Passwörtern. Die Rechnung ist einfach: Je länger das Passwort, desto mehr mögliche Zeichenkombinationen müssen bei einem Angriff ausprobiert werden. Das Problem: Wie kreiert man solche langen Passwörter und wie soll man sich das alles bei mehreren Konten merken?

Eine Möglichkeit besteht darin, sich einen langen Satz auszudenken, von jedem Wort nur einen speziellen Buchstaben zu wählen (z. B. den ersten), zusätzlich die Groß- und Kleinschreibung zu beachten (z. B. umzukehren) und einzelne Buchstaben durch ähnlich aussehende Zahlen oder Sonderzeichen zu ersetzen. Aus dem Satz "Das ist mein sicheres und sehr langes Passwort für Lotto-Online" kann so "d!MSUSLpFl-0" werden. Ein derartiges Passwort sieht schon ganz schön kompliziert aus, lässt sich aber leicht erschließen, wenn man den Satz und die eigenen Umformungsregeln kennt.

Was man niemals machen sollte: Passwörter in ungeschützten Textdateien auf dem PC oder Notebook speichern und bei Bedarf mit Copy-and-paste übertragen. Im Falle einer Malwareinfektion oder eines Defekts sind sonst alle Konten auf einmal betroffen. Besser verwendet man Passwortmanager. Das sind Verwaltungsprogramme, mit denen Passwörter verschlüsselt in einer Art Datenbank abgelegt werden. Wie fast immer gibt es hervorragende Lösungen gratis, z.B. KeePass Password Safe, das mit Plug-ins erweitert und persönlichen Bedürfnissen angepasst werden kann. Andere Programm, die z. B. auch die Synchronisierung über mehrere Geräte hinweg ermöglichen, kann man kaufen.

In den meisten Fällen bieten die Passwortmanager einen weiteren Vorteil: Ein integrierter Generator erstellt beliebig lange, komplett zufällige Passwörter, die auch mittels Brute Force nur in Jahrtausenden geknackt werden könnten. Hunderte Konten mit hervorragenden Passwörtern lassen sich so einfach und sicher verwalten. Speichert man die verschlüsselte Datenbank extern in einer Datensicherung ab, kann einem auch dann nichts passieren, wenn man seinen Rechner wegen eines Defekts reparieren lassen muss.

Fazit

Wer aus Bequemlichkeit auf starke Passwörter verzichtet, spielt mit dem Feuer. Mit relativ einfachen Mitteln kann jeder seine Konten gut gegen ungezielte Attacken absichern. Wer noch mehr Sicherheit will, sollte einen Blick auf die Verfahren der Zwei-Faktor-Authentifizierung (2FA) werfen: Es ist z. B. auch möglich, Passwortdatenbanken mit einem sogenannten Token wie einem USB-Stick zusätzlich abzusichern.

Weitere Informationen
[1] http://www.sueddeutsche.de/digital/it-sicherheit-warum-es-falsch-ist-passwoerter-regelmaessig-zu-aendern-1.3106648
https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html
http://www.zeit.de/digital/internet/2015-02/yubikey-token-passwoerter-keepass-test
https://www.heise.de/download/product/keepass-15712