Was ist ein sicheres Passwort?

Was macht ein sicheres Passwort aus?

VonNils Schulte am Hülse

Was macht eigentlich ein sicheres Passwort aus? Ich hoffe sehr, dass sich diese Frage schon jeder, der das hier liest, gestellt hat und hoffentlich einen guten, sicheren Weg gefunden hat, der auch regelmäßig in die Tat umgesetzt wird. Falls nicht oder zur Auffrischung des Hintergrundwissens haben wir hier die wichtigsten Faktoren gesammelt und aufgelistet.

Was gibt es bei der Erstellung eines Passwortes zu bedenken?

Falls man ein sicheres oder besser gesagt möglichst sicheres Passwort erstellen will, muss man heutzutage mehr Kriterien und vor allem in größerem Ausmaß berücksichtigen als vor 20 Jahren.

Passwort Bild mit SchloßKriterien für sichere Passwörter

Einzigartigkeit: Das Passwort sollte schwer zu erraten sein

Grundsätzlich sollte das jedem klar sein. Wozu ein Passwort vergeben, wenn es leicht zu erraten ist? Leider gehen viele Menschen hier von falschen Voraussetzungen aus, wenn es um die Beurteilung der Möglichkeiten anderer ein Passwort zu erraten oder zu ermitteln geht.

Keine persönliche Namen oder Daten

Sehr beliebt sind leider immer noch Passwörter, die aus persönlich relevanten Daten wie Geburts-, Jahres- Gedenktage oder Namen von Partnern oder Haustieren bestehen. Diese sind für nahestehende Personen leicht zu erraten oder wenn man über seinen Lieblingsdackel „Krümel“ oder den 10. Hochzeitstag in Sozialen Netzwerken postet, gibt man ungewollt das eigene Passwort selbst preis.

In der Kürze liegt NICHT die Würze!

Je kürzer ein Passwort ist, desto schneller lässt es sich durch einfaches Austesten von Zeichenkettenkombinationen ermitteln. Glücklicherweise lassen die meisten Dienste heutzutage keine zu kurzen Passwörter zu. Als sicher werden Passworte mit mindestens acht zufälligen Zeichen eingeschätzt. Wer mit Blick auch auf die nähere Zukunft ganz sicher gehen will, nutzt Zeichenketten mit mindestens 14 Zeichen.

Wörterbucher

Wer denkt er hätte mit dem 15 Zeichen Passwort „Motorradständer“ der oben genannten 14 Zeichen Empfehlung genüge getan ist auf dem Holzweg. Worte und sogar Sätze aus dem allgemeinen Sprachgebraucht sind ungeeignet.

Falls das verwendete Passwort ein Wort aus dem Duden, ein gängiger Name oder Kosename oder sogar ein ganzer Satz wie „Ich hasse Montags“ ist, kann dies über schlichtes Abgleichen mit Wörterbüchern ermittelt werden.

Hacker nutzen mehrere Strategien wie z.B. den Wörterbuchangriff (Dictionary Attack) bei denen als Passwort einfach alle Worte aus einem Wörterbuch durchprobiert werden. Vorher wird meist eine ‚Oft genutzte Worte‘ Strategie (Common Word Attack) verwendet, bei der Klassiker wie „Passwort“ als Passwort, „qwertz“, „123456“ oder die Verwendung des Nutzernamens als Passwort ausprobiert werden. Diese Passwörter sind leider bereits seit Jahren sehr beliebt: siehe Worst Password List 2015.

Die Verfremdung durch vor- oder nachgestellte Zahlen oder die Wandlung einiger Buchstaben in Sonderzeichen wie z.B. S zu $, H zu # oder 1 zu ! ist auch den Bösewichten geläufig und wird ebenfalls mit durchprobiert (weiterer Klassiker P@sswort).

(Es gibt eine Methode, die gängige Worte als Passwort verwendet und trotzdem als relativ sicher eingestuft wird: Diceware.)

Passwort Sammlungen

Leider gelingt es zwielichtigen Subjekten immer wieder Datenbanken großer Dienste wie eBay und Co. zu hacken und E-Mail-Passwortkombinationen zu entwenden. Zum Teil werden später diese Passwort Datensammlungen frei verfügbar im Internet veröffentlicht. Aus diesen lassen sich wieder typische Passwörter ermitteln oder wie im folgenden Punkt für andere Dienste nutzen.

Ein Passwort für alles

Selbst wenn man ein eigentlich gutes, sicheres Passwort erstellt, wird es problematisch, wenn man dieses vor lauter Freude und Bequemlichkeit nun überall nutzt. Wer viel im Netz unterwegs ist hat schnell 20 und mehr Accounts angelegt. Jetzt muss es Hackern nur bei einem gelingen die Passwörter auszulesen, dann ist auch der Zugang zu allen anderen Diensten, bei denen der Anwender die gleiche Kombination verwendet hat, möglich. Aus solchen Datenlecks entstandenen Passwortsammlungen werden wieder Passwortdatenbanken zum Durchprobieren erstellt.

E-Mailkonten im Fokus

Insofern sollte ein Passwort stets nur für einen Dienst verwendet werden. Auf das Passwort oder die Passwörter der E-Mail Konten sollte besonders geachtet werden. Da die meisten Onlinedienste ein Zurücksetzten des bestehenden Passwortes über die E-Mailadresse ermöglichen, kann ein Eindringling im E-Mailkonto sehr schnell erkennen bei welchen Onlineshops ein Konto vorhanden ist, dort über die „Passwort vergessen“ Option ein neues Passwort setzten und dann entspannt auf Kosten des eigentlichen Kontoinhabers shoppen gehen.

Passwort: Aber wie denn nun richtig?

Aus den oben genannten Kriterien ergeben sich folgende Regeln für ein sicheres Passwort:

  1. Zufall: Zufällige Zeichenfolge inkl. Groß- und Kleinbuchstaben und Sonderzeichen
  2. Länge: Länge der Zeichenkette: mindestens acht, besser 14 Zeichen
  3. Einmaligkeit: jedes Passwort nur für einen Dienst oder eine App nutzen
  4. Zwei Faktor Authentifizierung: Viele Dienste bieten bereits eine zwei Faktor Authentifizierung an, bei der über ein zusätzliches stetig wechselndes Passwort die Sicherheit weiter erhöht wird.

Bitte bei der Auswahl der Sonderzeichen bedenken, dass man diese später auf den Tastaturen der genutzten Geräte wiederfinden muss und beispielsweise Umlaute ÄÜÖ auf internationalen Tastaturen schwer zu erstellen sind. Es kann auch sehr anstrengend werden, wenn ein auf einem Smartphone häufig abgefragtes Passwort viel Zeichen enthält, die nur auf der dritten Tastaturebene zu finden sind.

Wer mehrere Passworte benötigt, ist in der Regel gut beraten einen Passwortgenerator zu verwenden. Diese sind in die gängigen Passwortmanager wie z.B. 1Password, LastPass oder Keypass integriert. So löst man gleich zwei Probleme gleichzeitig: die Erstellung einer zufälligen Zeichenkombination als Passwort und das Speichern dieses Passwortes, damit man später darauf zurückgreifen kann. Denn kein Mensch mit ’normalen‘ Gedächtnis wird in der Lage sein mehr als drei vierzehnstellige Zufallszeichenketten auswendig zu lernen.

Mit diesen Möglichkeiten werden wir uns in einem der nächsten Artikel beschäftigen.

Passwort Artikelserie:

  1. Was macht ein sicheres Passwort aus?
  2. Diceware: wir würfeln uns ein Passwort
  3. Alfred Passwort Workflow: schnell & sicher
  4. … more to come!

Ähnliche Beiträge

  • Launchy aufm Desktop

    VonHelmi

    Heute Nacht war ich verliebt , jetzt bin ich begeistert. Wovon? Von Launchy, meinem neuen Programmstarter- WebDesktop 2.0-Tool. Das ganze hat definitiv Coolness-Faktor. Sowohl die Optik als auch die Funktionsweise spricht mich als jemanden der am liebsten komplett ohne Maus arbeiten würde sehr an. Launchy läuft nach der Installation und dem ersten Start völlig unsichtbar…

  • Flugzeug (Airbus): Notlandung im Hudson River

    VonHelmi

    …und Twitter ist dabei. Vor offenbar gut einer halben Stunde musste ein Airbus der auf dem Weg von NY La Guardia Airport nach Charlotte, North Carolina im Hudson River notlanden. Jetzt ziehen Fähren die aus dem Flugzeug fliehenden Menschen aus dem Hudson River. Und Twitter ist dabei: crazy! Nachtrag (edit): So präsentierte N24 diese Notlandung…

  • Ping putt

    VonHelmi

    Ich weiss nicht warum, aber aus irgend einem Grund klappts nicht mehr mit dem Ping. Zumindest nicht bei Wordblog.de und auch in der Google-Blogsuche erscheinen meine Artikel nicht direkt, was bis vor kurzem aber so war. Ich hab kurz mal alle Pingdienste rausgeworfen und nur wordblog.de dringelassen – klappt dennoch nicht. Am Server selbst liegts…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert