Was ist ein sicheres Passwort?

Was macht ein sicheres Passwort aus?

VonNils Schulte am Hülse

Was macht eigentlich ein sicheres Passwort aus? Ich hoffe sehr, dass sich diese Frage schon jeder, der das hier liest, gestellt hat und hoffentlich einen guten, sicheren Weg gefunden hat, der auch regelmäßig in die Tat umgesetzt wird. Falls nicht oder zur Auffrischung des Hintergrundwissens haben wir hier die wichtigsten Faktoren gesammelt und aufgelistet.

Was gibt es bei der Erstellung eines Passwortes zu bedenken?

Falls man ein sicheres oder besser gesagt möglichst sicheres Passwort erstellen will, muss man heutzutage mehr Kriterien und vor allem in größerem Ausmaß berücksichtigen als vor 20 Jahren.

Passwort Bild mit SchloßKriterien für sichere Passwörter

Einzigartigkeit: Das Passwort sollte schwer zu erraten sein

Grundsätzlich sollte das jedem klar sein. Wozu ein Passwort vergeben, wenn es leicht zu erraten ist? Leider gehen viele Menschen hier von falschen Voraussetzungen aus, wenn es um die Beurteilung der Möglichkeiten anderer ein Passwort zu erraten oder zu ermitteln geht.

Keine persönliche Namen oder Daten

Sehr beliebt sind leider immer noch Passwörter, die aus persönlich relevanten Daten wie Geburts-, Jahres- Gedenktage oder Namen von Partnern oder Haustieren bestehen. Diese sind für nahestehende Personen leicht zu erraten oder wenn man über seinen Lieblingsdackel „Krümel“ oder den 10. Hochzeitstag in Sozialen Netzwerken postet, gibt man ungewollt das eigene Passwort selbst preis.

In der Kürze liegt NICHT die Würze!

Je kürzer ein Passwort ist, desto schneller lässt es sich durch einfaches Austesten von Zeichenkettenkombinationen ermitteln. Glücklicherweise lassen die meisten Dienste heutzutage keine zu kurzen Passwörter zu. Als sicher werden Passworte mit mindestens acht zufälligen Zeichen eingeschätzt. Wer mit Blick auch auf die nähere Zukunft ganz sicher gehen will, nutzt Zeichenketten mit mindestens 14 Zeichen.

Wörterbucher

Wer denkt er hätte mit dem 15 Zeichen Passwort „Motorradständer“ der oben genannten 14 Zeichen Empfehlung genüge getan ist auf dem Holzweg. Worte und sogar Sätze aus dem allgemeinen Sprachgebraucht sind ungeeignet.

Falls das verwendete Passwort ein Wort aus dem Duden, ein gängiger Name oder Kosename oder sogar ein ganzer Satz wie „Ich hasse Montags“ ist, kann dies über schlichtes Abgleichen mit Wörterbüchern ermittelt werden.

Hacker nutzen mehrere Strategien wie z.B. den Wörterbuchangriff (Dictionary Attack) bei denen als Passwort einfach alle Worte aus einem Wörterbuch durchprobiert werden. Vorher wird meist eine ‚Oft genutzte Worte‘ Strategie (Common Word Attack) verwendet, bei der Klassiker wie „Passwort“ als Passwort, „qwertz“, „123456“ oder die Verwendung des Nutzernamens als Passwort ausprobiert werden. Diese Passwörter sind leider bereits seit Jahren sehr beliebt: siehe Worst Password List 2015.

Die Verfremdung durch vor- oder nachgestellte Zahlen oder die Wandlung einiger Buchstaben in Sonderzeichen wie z.B. S zu $, H zu # oder 1 zu ! ist auch den Bösewichten geläufig und wird ebenfalls mit durchprobiert (weiterer Klassiker P@sswort).

(Es gibt eine Methode, die gängige Worte als Passwort verwendet und trotzdem als relativ sicher eingestuft wird: Diceware.)

Passwort Sammlungen

Leider gelingt es zwielichtigen Subjekten immer wieder Datenbanken großer Dienste wie eBay und Co. zu hacken und E-Mail-Passwortkombinationen zu entwenden. Zum Teil werden später diese Passwort Datensammlungen frei verfügbar im Internet veröffentlicht. Aus diesen lassen sich wieder typische Passwörter ermitteln oder wie im folgenden Punkt für andere Dienste nutzen.

Ein Passwort für alles

Selbst wenn man ein eigentlich gutes, sicheres Passwort erstellt, wird es problematisch, wenn man dieses vor lauter Freude und Bequemlichkeit nun überall nutzt. Wer viel im Netz unterwegs ist hat schnell 20 und mehr Accounts angelegt. Jetzt muss es Hackern nur bei einem gelingen die Passwörter auszulesen, dann ist auch der Zugang zu allen anderen Diensten, bei denen der Anwender die gleiche Kombination verwendet hat, möglich. Aus solchen Datenlecks entstandenen Passwortsammlungen werden wieder Passwortdatenbanken zum Durchprobieren erstellt.

E-Mailkonten im Fokus

Insofern sollte ein Passwort stets nur für einen Dienst verwendet werden. Auf das Passwort oder die Passwörter der E-Mail Konten sollte besonders geachtet werden. Da die meisten Onlinedienste ein Zurücksetzten des bestehenden Passwortes über die E-Mailadresse ermöglichen, kann ein Eindringling im E-Mailkonto sehr schnell erkennen bei welchen Onlineshops ein Konto vorhanden ist, dort über die „Passwort vergessen“ Option ein neues Passwort setzten und dann entspannt auf Kosten des eigentlichen Kontoinhabers shoppen gehen.

Passwort: Aber wie denn nun richtig?

Aus den oben genannten Kriterien ergeben sich folgende Regeln für ein sicheres Passwort:

  1. Zufall: Zufällige Zeichenfolge inkl. Groß- und Kleinbuchstaben und Sonderzeichen
  2. Länge: Länge der Zeichenkette: mindestens acht, besser 14 Zeichen
  3. Einmaligkeit: jedes Passwort nur für einen Dienst oder eine App nutzen
  4. Zwei Faktor Authentifizierung: Viele Dienste bieten bereits eine zwei Faktor Authentifizierung an, bei der über ein zusätzliches stetig wechselndes Passwort die Sicherheit weiter erhöht wird.

Bitte bei der Auswahl der Sonderzeichen bedenken, dass man diese später auf den Tastaturen der genutzten Geräte wiederfinden muss und beispielsweise Umlaute ÄÜÖ auf internationalen Tastaturen schwer zu erstellen sind. Es kann auch sehr anstrengend werden, wenn ein auf einem Smartphone häufig abgefragtes Passwort viel Zeichen enthält, die nur auf der dritten Tastaturebene zu finden sind.

Wer mehrere Passworte benötigt, ist in der Regel gut beraten einen Passwortgenerator zu verwenden. Diese sind in die gängigen Passwortmanager wie z.B. 1Password, LastPass oder Keypass integriert. So löst man gleich zwei Probleme gleichzeitig: die Erstellung einer zufälligen Zeichenkombination als Passwort und das Speichern dieses Passwortes, damit man später darauf zurückgreifen kann. Denn kein Mensch mit ’normalen‘ Gedächtnis wird in der Lage sein mehr als drei vierzehnstellige Zufallszeichenketten auswendig zu lernen.

Mit diesen Möglichkeiten werden wir uns in einem der nächsten Artikel beschäftigen.

Passwort Artikelserie:

  1. Was macht ein sicheres Passwort aus?
  2. Diceware: wir würfeln uns ein Passwort
  3. Alfred Passwort Workflow: schnell & sicher
  4. … more to come!

Ähnliche Beiträge

  • Contentklau vom Weblog Planeten

    VonHelmi

    Gerade als Trackback entdeckt: weblog-pla.net spammt sich fleissig einen zurecht mit (unter anderem) meinen Inhalten. Natürlich anonym, wie es sich gehört und natürlich mit viel Werbung (inkl. Adsense) drum rum. Ab damit in die Blacklist. Domain: weblog-pla.net IP: 208.113.140.29 sonst noch wer? Nachtrag: Ich hab‘ da was gefunden… aber seht selbst: thekie.de (lt. Denic und…

  • Anothr – Feeds lesen per Instant Messenger

    VonHelmi

    Das könnte genau das sein, was ich gesucht habe. In der Vergangenheit schrieb ich mehrfach, dass mir ein einfacher kleiner Feedreader fehlt um Kommentare in Blogs abonnieren zu können, die keine Email-Benachrichtigung anbieten. Einen Kommentar-RSS-Feed pro Beitrag bietet schließlich fast jede Blog-Software. Ohne eine solche Benachrichtigung kann man die ganzen Diskussionen nur schwer im Blick…

  • Das Drama mit dem Feedreader

    VonHelmi

    Irgendwie fällt es mir zunehmender schwer Entscheidungen in gewissen Bereichen zu fällen. Das Thema Feedreader ist da so ein Paradebeispiel. In der Vergangenheit habe ich eher sporadisch RSSBandit eingesetzt. In den letzten Tagen hab ich selbigen mit immer mehr Feed gefüttert. Ansich ein wirklich nettes Tool. Unter anderem bietet RSSBandit die Möglichkeit die abonnierten Feeds…

  • Wir haben die Wahl gewonnen!

    VonHelmi

    In knapp 4 Wochen ist Bundestagswahl. Auf das Ergebnis darf man gespannt sein – so klar wie es in Sachen schwarz/gelb vor einiger Zeit schon ausgesehen hat, ist es wohl noch lange nicht – glücklicherweise. Meine persönliche Devise für die diesjährige Wahl ist „abwählen“. Denn darüber bin ich mir schon länger klar: CDU/CSU oder SPD…

  • EasyCruise: Billigflug übers Wasser

    VonHelmi

    Eben bei VOX gesehen: Nach dem Billigflieger EasyJet gibt’s nun auch EasyCruise. Billige Schiffsreisen werden versprochen. Sollte ich irgendwann mal eine Kreuzfahrt machen wollen, werde ich darauf wohl verzichten. Schaumwein aus Plastikbechern, billigste Ausstattung, alles orange/rot, Aufpreis für Zimerreinigung, Handtücher etc. Unter einer Kreuzfahrt stellt man sich durchaus anderes vor oder? Kein Wunder, dass in…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert