Sichere Passwörter sind kein Hexenwerk
Online-Konten angemessen zu schützen ist nicht schwer, solange Nutzer dabei die richtige Strategie verfolgen.
(dpa) Viele Deutsche benutzen unsichere Passwörter. Seit Jahren führen etwa „123456“, „hallo“oder „passwort“die Rangliste der meistgenutzten Kennwörter an. Das zeigen regelmäßige Untersuchungen des Hasso-Plattner-Instituts der Universität Potsdam. „Diese Passwörter sind absolut unsicher, leicht zu erraten und zu knacken“, warnt Institutsdirektor Professor Christoph Meinel.
Für die Sicherheit eines Passwortes gebe es vor allem zwei Kriterien. Zum einen gelte: Je länger, desto sicherer. „Die Anzahl der Versuche, ein Passwort zu knacken, erhöht sich bei der Verwendung von Groß-, Kleinschreibung, Sonderzeichen und Ziffern mit jedem zusätzlichen Zeichen um den Faktor 95“, erklärt Meinel. Bei einem fünf Zeichen langen Passwort müssten Angreifer etwa sieben Milliarden Zahlenund Buchstabenkombinationen ausprobieren, bei der empfohlenen Mindestlänge von acht Zeichen seien dagegen mehr als sechs Billiarden Versuchen nötig, um die richtige Zeichenfolge zu finden. Das gelte allerdings nur, solange das Passwort in keinem Wörterbuch stehe. „Der Duden ist elektronisch verfügbar und kann leicht abgeglichen werden“, so Meinel. Er rät zu mit Sonderzeichen durchsetzten, sinnfreien Kombinationen aus großen wie kleinen Buchstaben und Zahlen.
Doch ein einziges sicheres Passwort reicht nicht. Jedes Online-Konto und jeder Online-Dienst sollte mit einem individuellen Kennwort gesichert werden. Sonst haben Angreifer, die nur ein Passwort erbeuten, Zugang zu allen Internet-Konten eines Nutzers. „Nur ein Drittel der Anbieter von Online-Diensten nutzt für die Passwortspeicherung eine sichere Verschleierungsmethode“, erklärt Meinel. Zwei Drittel der gestohlenen Passwörter seien dagegen mit veralteten Methoden verschlüsselt oder sogar im Klartext, also völlig unverschlüsselt, gespeichert. Daher könnten die bei einem Angriff erbeuteten Kennwörter im Internet frei verfügbar sein – ohne jedes Wissen der Betroffenen.
Um Nutzern zu helfen, unterhält das Hasso-Plattner-Institut eine Datenbank (HPI Identity Leak Checker) mit gestohlenen Identitätsdaten. Jeder kann dort abfragen, ob er betroffen sein könnte. Gibt es bei der Abfrage einen Treffer, gilt es, das entwendete Passwort überall zu ändern, wo es im Einsatz ist.
Aber wie lässt sich ein sicheres, kompliziertes Passwort überhaupt merken? Eine Möglichkeit sei, sich einen Satz auszudenken und von jedem Wort beispielsweise den ersten Buchstaben zu nutzen, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Zusätzlich könnten einzelne Buchstaben in Sonderzeichen oder Ziffern umgewandelt werden. Aus „Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang“werde so „Msia&pmmZ3Ml“.
Auch das Aneinanderreihen zusammenhangsloser Wörter zu einem langen Satz, eine sogenannte Passphrase, sei eine gute Methode. Das BSI rät allerdings dazu, sich den Satz oder die Phrase selbst auszudenken. Bei bekannten Literaturzitaten oder Liedzeilen als Passwort oder -phrase sei die Gefahr groß, dass sie geknackt werden.
Aufschreiben sollten Nutzer ihre Passwörter nicht – weder auf Notizzetteln, die am Monitor kleben, noch in unverschlüsselte Dokumente, die auf dem Rechner gespeichert sind. Aber wer kann sich die vielen verschiedenen Passwörter einfach so merken? Vermutlich sind das die Allerwenigsten.
Für alle anderen empfehlen sich Passwort-Manager. Diese Programme können Kennwörter nicht nur sicher verschlüsselt speichern, sondern auch starke Passwörter erzeugen. „Passwort-Manager sind definitiv empfehlenswert“, sagt Ronald Eikenberg vom Computer-Fachmagazin „c‘t“. Ein für alle Geräte geeigneter Passwortmanager sei Keepass. Die PC-Anwendung sei ebenso wie dazu passende Apps kostenlos. Das Wichtigste bei der Verwendung solcher Manager-Programme ist laut Eikenberg das sogennante Masterpasswort zum „Aufschließen“des Passwort-Tresors. Es ist das einzige Passwort, das sich Nutzer eines Manager-Programms merken müssen und sollte besonders sicher sein, da es den Zugriff auf alle weiteren gespeicherten Kennwörter regelt, betont Eikenberg.
Wer den Schutz eines Online-Kontos noch weiter erhöhen möchte, sollte die sogenannte Zwei-Faktor-Authentifizierung nutzen, wenn ein Dienste diese Methode anbietet. Dabei müssen Anwender zur Anmeldung neben dem Passwort eine PIN-Nummer oder ein Codewort, dass per SMS empfangen oder per App erzeugt wird, eingeben. So bleibt Angreifern selbst dann der Zugang verwehrt, wenn sie in Besitz des Passwortes sind.
„Passwort-Manager
sind definitiv empfehlenswert.“
Ronald Eikenberg
Redakteur des Computer-Fachmagazins „c‘t“