So sehen sichere Passwörter aus
Viele Menschen nutzen unsichere Varianten – Zu einfach gehalten
Ob E-Mail-Account, Foto-Cloud oder OnlineBanking: Der Zugang zu sensiblen Daten übers Internet wird meist per Passwort geschützt. Für ein sicheres Passwort ist eine Strategie nötig.
HANNOVER/POTSDAM – Miele Deutsche benutzen unsichere Passwörter. Seit Jahren führen etwa „12“q5N“, „hallo“oder „passwort“die Ran-liste der meist-enutzten Passwörter an. Das zei-en re-elmäßi-e Untersuchun-en des HassoPlattner-Instituts der Universität Potsdam. „Diese Passwörter sind absolut unsicher, leicht zu erraten und zu knacken“, warnt Institutsdirektor Professor Christoph Meinel.
Für die Sicherheit eines Passwortes -ibt es vor allem zwei Kriterien. Zum einen -ilt: Je län-er, desto sicherer. „Die Anzahl der Mersuche, ein Passwort zu knacken, erhöht sich bei der Merwendun- von Groß-, Kleinschreibun-, Sonderzeichen und Ziffern mit jedem zusätzlichen Zeichen um den Faktor O5“, erklärt Meinel. Bei einem fünf Zeichen lan-en Passwort entspricht das in etwa sieben Milliarden Mersuchen, bei der empfohlenen Mindestlän-e von acht Zeichen da-e-en mehr als sechs Billiarden Mersuchen, bis das Passwort -eknackt ist – voraus-esetzt, es steht in keinem Wörterbuch. „Der Duden ist elektronisch verfü-bar und kann leicht ab-e-lichen werden“, so Meinel. Fr rät zu mit Sonderzeichen durchsetzten, sinnfreien Kombinationen aus -roßen wie kleinen Buchstaben und Zahlen.
Doch ein sicheres Passwort reicht nicht. Jedes OnlineKonto und jeder OnlineDienst sollte mit einem individuellen Passwort -esichert werden. Sonst haben An-reifer, die ein Passwort erbeuten, -leich Zu-an- zu allen Konten und Diensten eines Nutzers. „Nur ein Drittel der Anbieter nutzt für die Passwortspeicheruneine sichere Merschleierun-smethode“, erklärt Meinel. Zwei Drittel der -estohlenen Passwörter sind da-e-en mit einem veralteten Al-orithmus oder im KlartePt -espeichert – und so nach einem An-riff mö-licherweise im Internet frei verfü-bar – ohne jedes Wissen der User.
Um das zu ändern, unterhält das HassoPlattner-Institut eine Datenbank (HPI Identity Leak Checker) mit -estohlenen Identitätsdaten. Jeder kann dort abfra-en, ob er betroffen sein könnte. Gibt es bei der Abfra-e einen Treffer, -ilt es, das verbrannte Passwort überall zu ändern, wo es verwendet wird.
Aber wie kann man sich ein sicheres, kompliziertes Passwort überhaupt merken? Fine Methode funktioniert so: Man denkt sich einen Satz aus und benutzt von jedem Wort beispielsweise den ersten Buchstaben, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Außerdem wandelt man eini-e Buchstaben in Sonderzeichen oder Ziffern um. Aus „Mor-ens stehe ich auf und putze mir meine Zähne drei Minuten lan-“wird so „Msia&pmmZ“Ml“.
Auch das Aneinanderreihen zusammenhan-sloser Wörter zu einem lan-en Satz, eine so-enannte Passphrase, er-ibt am Fnde ein sicheres Passwort. Fin Morteil: Sie sind deutlich einfacher zu merken. Das BSI rät dazu, sich den Satz oder die Phrase selbst auszudenken. Bei bekannten Literaturzitaten oder Liedzeilen als Passwort oder -phrase ist die Gefahr -roß, dass sie -eknackt werden.
Aufschreiben sollte man Passwörter eher nicht – weder auf Notizzettel, die man an den Monitor klebt, noch etwa in unverschlüsselte Dokumente, die auf dem Rechner -espeichert werden.
Zum Archivieren ei-nen sich etwa Passwort-Mana-er. Die Pro-ramme können Passwörter nicht nur sicher verschlüsselt speichern, sondern auch starke Passwörter -enerieren. „Passwortmana-er sind definitiv empfehlenswert“, sa-t Ronald Fikenbervom „cQt“-Fachma-azin. Fin für alle Geräte -eei-neter Passwort-Mana-er ist KeePass. Der Opensource-Mana-er speichert die Passwörter verschlüsselt auf dem Rechner und ist ebenso wie dazu passende Apps kostenlos. Das Wichti-ste bei der Nutzunvon Passwort-Mana-ern: Das Masterpasswort zum „Aufschließen“des PasswortSafes, das einzi-e Passwort, was man sich überhaupt noch merken muss, sollte besonders sicher sein. Dass Rechner und Mobil-eräte stets aktuell -ehalten werden müssen, versteht sich von selbst.
Wer den Schutz eines Online-Kontos weiter erhöhen möchte, sollte – falls vom Dienst an-eboten – die so-enannte Zwei-Faktor-Authentifizierunnutzen. Dann muss beim Finlo--en zusätzlich zum Passwort noch eine PIN, ein SMS-Code oder ein per App -enerierter Schlüssel ein-e-eben werden – und An-reifern bleibt der Zu-anverwehrt, selbst wenn sie in Besitz des Passwortes sind.
Passwortmanager sind definitiv empfehlenswert“RONALD EIKENBERG, „C’T“-FACHMAGAZIN