Passwort, Smartphone, Notebook
Foto Pexels, thx!

Was ist das perfekte Passwort? – Hintergrundbericht

Das ideale Passwort soll leicht zu merken und gleichzeitig sicher sein. Doch gibt es das überhaupt? Wir helfen Dir ein wenig bei der Suche.

Das ideale Passwort soll leicht zu merken und gleichzeitig sicher sein. Doch gibt es das überhaupt? Überall sollen wir ein anderes Passwort eingeben, um uns anzumelden. Wie bekommt man den Spagat zwischen Sicherheit und einem simplen Passwort trotzdem hin?

Wörterbuch-Attacke

Um zu verstehen, wie das optimale Passwort aussieht, muss man zunächst wissen, wie diese von Cyberkriminellen gehackt werden. Es gibt grundsätzlich drei Grundarten, wie man Passwörter knacken kann. Bei den sogenannten Wörterbuchattacken probieren die Hacker eine lange Liste der gängigsten Wörter und Wortkombinationen durch. Kaum zu glauben aber wahr: Letztes Jahr waren die beliebtesten Passwörter „123456“, „Passwort“ und „12345678“. Gerne wird auch das Passwort „Passwort“ benutzt. Wörterbuchangriffe können von Programmen durchgeführt werden, die automatisch immer erst die beliebtesten Begriffe durchprobieren.

Profiler

password monitor, PasswortWer es auf den Account eines Fremden abgesehen hat, schaut sich zudem auf deren Facebook-Seite um. Hacker versuchen zu erfahren, wie das Lieblingshaustier oder die Ehefrau oder Mutter mit Namen heißt. Oft wird aus reiner Faulheit als Passwort das eigene Geburtsdatum oder das von Familienmitgliedern angegeben. Es ist kein Hexenwerk, an diese Informationen zu gelangen. Ein Blick ins Telefonbuch, ins Profil bei Xing oder Facebook reichen dafür schon aus. Es nützt auch nichts, an den Namen des Hundes das eigene Geburtstag zu hängen. Das ist schlichtweg zu unsicher, weil zu weit verbreitet.

Brute-Force-Methode

passwords are like pants, PasswortBei der Brute-Force-Methode geht es um pure Rechenpower. Heutzutage werden solche Angriffe zumeist von leistungsfähigen Prozessoren moderner Grafikkarten übernommen. Dabei probiert man einfach alle möglichen Kombinationen bestehend aus Klein- und Großbuchstaben, Ziffern und Sonderzeichen durch. Das Programm fängt also mit „aaa“ an, geht dann über zu „aab“, „aac“ etc. Eine aktuelle Grafikkarte ist dazu in der Lage, achtstellige Passwörter in rund 7,5 Stunden zu knacken.

Bild rechts: „Passwörter sind wie Unterhosen. Man sollte sie nicht liegen lassen, wo andere Menschen sie sehen können. Man sollte sie regelmäßig wechseln. Und man sollte sie an keine Fremden verleihen!

Umso länger das Passwort ist, umso länger dauert dieser Vorgang. Bei jeder zusätzlichen Stelle potenziert sich die durchschnittliche Zeit, bis man per Brute-Force an ein Passwort gelangt. Deswegen ist es auch so wichtig, die Passwörter nicht zu kurz zu gestalten. Im Web müssen die Hacker bei ihrer Tätigkeit lange Pausen einlegen. Wer zu schnell zu viele falsche Passwörter eingibt, dessen Account wird gesperrt. Doch die Einhaltung der Pausen kann ebenfalls durch Programme automatisch vorgenommen werden.

Leetspeak

Manche Nutzer glauben, sie wären besonders schlau und ersetzen ein O durch eine 0, ein i durch eine 1 etc. Doch auch die Passwortcracker verstehen die sogenannte Leetspeak. Ehrenamtliche Helfer der Wikipedia sollten folglich keinesfalls „w!k!p3d!4“ als Passwort verwenden, das wäre grob fahrlässig.

Keine Passwörter doppelt verwenden!

Wichtig: Verwenden Sie niemals Ihre Kennwörter doppelt. Bei einigen Hacks wurden die Zugangsdaten von unzähligen Personen veröffentlicht. So wurden im Juni 2012 rund 6,5 Millionen Zugangsdaten von LinkedIn-Nutzern veröffentlicht. Auch das Netzwerk von Sony war schon häufiger im Fokus der Hacker. Wer seine Passwörter nie ändert und mehrfach nutzt, muss sich nicht wundern, wenn diese irgendwann auch von Hackern missbraucht werden. Der Cyberkriminelle müsste lediglich alle bei Hacks erbeuteten Passwörter durchprobieren.

Schneier-Schema

Bruce Schneier IT SecurityBruce Schneier ist ein anerkannter Experte für Verschlüsselungstechnologie und IT-Sicherheit. Er rät allen Nutzern auf seinem Blog dazu, sich einen möglichst langen Satz auszudenken. So zum Beispiel: „Ich geh ums Haus der Mickey Mouse und mir macht das gar nichts aus.“ Dann nehmen wir nur die klein- bzw. groß geschriebenen Anfangsbuchstaben eines jeden Wortes: „IguHdMMummdgna“. Im Idealfall binden Sie noch ein paar Sonderzeichen und Ziffern mit ein. Aber bitte so, dass Sie sich das Passwort trotzdem gut merken können. Das sicherste Kennwort ist nutzlos, wenn Sie es ständig vergessen oder Sie dafür einen Zetteln am Monitor befestigen müssen. Denken Sie sich den Satz selbst aus. Populäre Zitate werden ebenfalls als Abkürzung mit der Wörterbuchattacke ausprobiert.

XKCD-Methode

xkcd T-shirtXKCD ist eigentlich ein englischsprachiger Webcomic von Randall Munroe. Bei dieser Methode wählt man durch Zufall aus seinem Wörterbuch mindestens vier Wörter aus, die man hintereinander schreibt. Umso mehr Wörter, umso besser. Dabei ist extrem wichtig, dass die Begriffe vollkommen zufällig ausgewählt werden. Sie können sich natürlich auch auf einem der zahlreichen kostenlosen Webseiten ein Passwort generieren lassen. Das Problem ist nur, dass man sich die wirre Mischung aus unterschiedlichen Zeichen unmöglich merken kann.

Passwort: Endung abhängig vom Anbieter

Im Idealfall sollte man das Passwort je nach Anbieter anders enden lassen. Wenn Sie also „IguHdMMummdgna“ nach dem Scheier-Schema gewählt haben, dann lautet Ihr Passwort bei Google Mail folglich „IguHdMMummdgnaGoogleMail“. Kommen Sie bitte nicht auf die Idee, dieses Passwort mehrfach zu verwenden, indem Sie lediglich die Endung verändern. Dann würde das PW bei Twitter „IguHdMMummdgnaTwitter“ lauten. Machen Sie es den Hackern bitte nicht zu einfach!

Achten Sie bei Ihren Anbietern darauf, dass die Länge des Passworts nicht begrenzt ist. Ansonsten sollte man sich lieber einen anderen Anbieter suchen. Ideal sind Dienste, wo eine zusätzliche Absicherung möglich ist. Viele Unternehmen bieten an, dass man bei besonderen Aktionen eine SMS mit einem zusätzlichen Kennwort erhält. Kann jemand Ihr Kennwort knacken so kann er kaum etwas damit anfangen, weil er nicht im Besitz Ihres Handys ist.

Passwort Generatoren

frame username password, PasswortDas ist Ihnen alles viel zu kompliziert? Okay, kein Problem! Installieren Sie sich einen Passwort Generator. Diese Software braucht von Ihnen nur ein Masterkennwort, welches Sie beim Start der Software eingeben müssen. Das Programm verwaltet die Passwörter aller Dienste automatisch und verwendet lange und zudem sichere Kennwörter. Für Windows gibt es mehrere kostenlose Varianten. Daneben werden für jedes Betriebssystem auch kostenpflichtige Versionen für 30 bis etwa 50 Euro angeboten. In OS X Mavericks und iOS 7 hat Apple vor etwa einem Jahr einen eigenen Passwort-Manager integriert, der nichts extra kostet.

Bilder: Mohamed Nanabhay (CC BY 2.0), Richard Parmiter & Bruno Santos – (CC BY-NC-ND 2.0).

Tarnkappe.info

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem brachte Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.