Was macht ein sicheres Passwort aus?

Was macht eigentlich ein sicheres Passwort aus? Ich hoffe sehr, dass sich diese Frage schon jeder, der das hier liest, gestellt hat und hoffentlich einen guten, sicheren Weg gefunden hat, der auch regelmäßig in die Tat umgesetzt wird. Falls nicht oder zur Auffrischung des Hintergrundwissens haben wir hier die wichtigsten Faktoren gesammelt und aufgelistet.

Was gibt es bei der Erstellung eines Passwortes zu bedenken?

Falls man ein sicheres oder besser gesagt möglichst sicheres Passwort erstellen will, muss man heutzutage mehr Kriterien und vor allem in größerem Ausmaß berücksichtigen als vor 20 Jahren.

Passwort Bild mit SchloßKriterien für sichere Passwörter

Einzigartigkeit: Das Passwort sollte schwer zu erraten sein

Grundsätzlich sollte das jedem klar sein. Wozu ein Passwort vergeben, wenn es leicht zu erraten ist? Leider gehen viele Menschen hier von falschen Voraussetzungen aus, wenn es um die Beurteilung der Möglichkeiten anderer ein Passwort zu erraten oder zu ermitteln geht.

Keine persönliche Namen oder Daten

Sehr beliebt sind leider immer noch Passwörter, die aus persönlich relevanten Daten wie Geburts-, Jahres- Gedenktage oder Namen von Partnern oder Haustieren bestehen. Diese sind für nahestehende Personen leicht zu erraten oder wenn man über seinen Lieblingsdackel „Krümel“ oder den 10. Hochzeitstag in Sozialen Netzwerken postet, gibt man ungewollt das eigene Passwort selbst preis.

In der Kürze liegt NICHT die Würze!

Je kürzer ein Passwort ist, desto schneller lässt es sich durch einfaches Austesten von Zeichenkettenkombinationen ermitteln. Glücklicherweise lassen die meisten Dienste heutzutage keine zu kurzen Passwörter zu. Als sicher werden Passworte mit mindestens acht zufälligen Zeichen eingeschätzt. Wer mit Blick auch auf die nähere Zukunft ganz sicher gehen will, nutzt Zeichenketten mit mindestens 14 Zeichen.

Wörterbucher

Wer denkt er hätte mit dem 15 Zeichen Passwort „Motorradständer“ der oben genannten 14 Zeichen Empfehlung genüge getan ist auf dem Holzweg. Worte und sogar Sätze aus dem allgemeinen Sprachgebraucht sind ungeeignet.

Falls das verwendete Passwort ein Wort aus dem Duden, ein gängiger Name oder Kosename oder sogar ein ganzer Satz wie „Ich hasse Montags“ ist, kann dies über schlichtes Abgleichen mit Wörterbüchern ermittelt werden.

Hacker nutzen mehrere Strategien wie z.B. den Wörterbuchangriff (Dictionary Attack) bei denen als Passwort einfach alle Worte aus einem Wörterbuch durchprobiert werden. Vorher wird meist eine ‚Oft genutzte Worte‘ Strategie (Common Word Attack) verwendet, bei der Klassiker wie „Passwort“ als Passwort, „qwertz“, „123456“ oder die Verwendung des Nutzernamens als Passwort ausprobiert werden. Diese Passwörter sind leider bereits seit Jahren sehr beliebt: siehe Worst Password List 2015.

Die Verfremdung durch vor- oder nachgestellte Zahlen oder die Wandlung einiger Buchstaben in Sonderzeichen wie z.B. S zu $, H zu # oder 1 zu ! ist auch den Bösewichten geläufig und wird ebenfalls mit durchprobiert (weiterer Klassiker P@sswort).

(Es gibt eine Methode, die gängige Worte als Passwort verwendet und trotzdem als relativ sicher eingestuft wird: Diceware.)

Passwort Sammlungen

Leider gelingt es zwielichtigen Subjekten immer wieder Datenbanken großer Dienste wie eBay und Co. zu hacken und E-Mail-Passwortkombinationen zu entwenden. Zum Teil werden später diese Passwort Datensammlungen frei verfügbar im Internet veröffentlicht. Aus diesen lassen sich wieder typische Passwörter ermitteln oder wie im folgenden Punkt für andere Dienste nutzen.

Ein Passwort für alles

Selbst wenn man ein eigentlich gutes, sicheres Passwort erstellt, wird es problematisch, wenn man dieses vor lauter Freude und Bequemlichkeit nun überall nutzt. Wer viel im Netz unterwegs ist hat schnell 20 und mehr Accounts angelegt. Jetzt muss es Hackern nur bei einem gelingen die Passwörter auszulesen, dann ist auch der Zugang zu allen anderen Diensten, bei denen der Anwender die gleiche Kombination verwendet hat, möglich. Aus solchen Datenlecks entstandenen Passwortsammlungen werden wieder Passwortdatenbanken zum Durchprobieren erstellt.

E-Mailkonten im Fokus

Insofern sollte ein Passwort stets nur für einen Dienst verwendet werden. Auf das Passwort oder die Passwörter der E-Mail Konten sollte besonders geachtet werden. Da die meisten Onlinedienste ein Zurücksetzten des bestehenden Passwortes über die E-Mailadresse ermöglichen, kann ein Eindringling im E-Mailkonto sehr schnell erkennen bei welchen Onlineshops ein Konto vorhanden ist, dort über die „Passwort vergessen“ Option ein neues Passwort setzten und dann entspannt auf Kosten des eigentlichen Kontoinhabers shoppen gehen.

Passwort: Aber wie denn nun richtig?

Aus den oben genannten Kriterien ergeben sich folgende Regeln für ein sicheres Passwort:

  1. Zufall: Zufällige Zeichenfolge inkl. Groß- und Kleinbuchstaben und Sonderzeichen
  2. Länge: Länge der Zeichenkette: mindestens acht, besser 14 Zeichen
  3. Einmaligkeit: jedes Passwort nur für einen Dienst oder eine App nutzen
  4. Zwei Faktor Authentifizierung: Viele Dienste bieten bereits eine zwei Faktor Authentifizierung an, bei der über ein zusätzliches stetig wechselndes Passwort die Sicherheit weiter erhöht wird.

Bitte bei der Auswahl der Sonderzeichen bedenken, dass man diese später auf den Tastaturen der genutzten Geräte wiederfinden muss und beispielsweise Umlaute ÄÜÖ auf internationalen Tastaturen schwer zu erstellen sind. Es kann auch sehr anstrengend werden, wenn ein auf einem Smartphone häufig abgefragtes Passwort viel Zeichen enthält, die nur auf der dritten Tastaturebene zu finden sind.

Wer mehrere Passworte benötigt, ist in der Regel gut beraten einen Passwortgenerator zu verwenden. Diese sind in die gängigen Passwortmanager wie z.B. 1Password, LastPass oder Keypass integriert. So löst man gleich zwei Probleme gleichzeitig: die Erstellung einer zufälligen Zeichenkombination als Passwort und das Speichern dieses Passwortes, damit man später darauf zurückgreifen kann. Denn kein Mensch mit ’normalen‘ Gedächtnis wird in der Lage sein mehr als drei vierzehnstellige Zufallszeichenketten auswendig zu lernen.

Mit diesen Möglichkeiten werden wir uns in einem der nächsten Artikel beschäftigen.

Passwort Artikelserie:

  1. Was macht ein sicheres Passwort aus?
  2. Diceware: wir würfeln uns ein Passwort
  3. Alfred Passwort Workflow: schnell & sicher
  4. … more to come!

Die Geschichte mit der Verantwortung

Jaja, letzte Woche in Berlin – ihr wisst schon, re:publica – das große Bloggertreffen ohne Kontroversen. Da hat man sich nicht nur getroffen, gehändeschüttelt und gevortragt; es gab auch jemanden der dort für Extrastimmung gesorgt hat. „Die Geschichte mit der Verantwortung“ weiterlesen