Was ist das perfekte Passwort?

Article by · 21. Dezember 2014 ·

iphone macbook air passwort
Das ideale Passwort soll leicht zu merken und gleichzeitig sicher sein. Doch gibt es das überhaupt? Überall sollen wir ein anderes Passwort eingeben, um uns anzumelden. Wie bekommt man den Spagat zwischen Sicherheit und einem simplen Passwort trotzdem hin?

Wörterbuch-Attacke

Um zu verstehen, wie das optimale Passwort aussieht, muss man zunächst wissen, wie diese von Cyberkriminellen gehackt werden. Es gibt grundsätzlich drei Grundarten, wie man Passwörter knacken kann. Bei den sogenannten Wörterbuchattacken probieren die Hacker eine lange Liste der gängigsten Wörter und Wortkombinationen durch. Kaum zu glauben aber wahr: Letztes Jahr waren die beliebtesten Passwörter „123456“, „Passwort“ und „12345678“. Gerne wird auch das Passwort “Passwort” benutzt. Wörterbuchangriffe können von Programmen durchgeführt werden, die automatisch immer erst die beliebtesten Begriffe durchprobieren.

Profiler

password monitorWer es auf den Account eines Fremden abgesehen hat, schaut sich zudem auf deren Facebook-Seite um. Hacker versuchen zu erfahren, wie das Lieblingshaustier oder die Ehefrau oder Mutter mit Namen heißt. Oft wird aus reiner Faulheit als Passwort das eigene Geburtsdatum oder das von Familienmitgliedern angegeben. Es ist kein Hexenwerk, an diese Informationen zu gelangen. Ein Blick ins Telefonbuch, ins Profil bei Xing oder Facebook reichen dafür schon aus. Es nützt auch nichts, an den Namen des Hundes das eigene Geburtstag zu hängen. Das ist schlichtweg zu unsicher, weil zu weit verbreitet.

Brute-Force-Methode

passwords are like pantsBei der Brute-Force-Methode geht es um pure Rechenpower. Heutzutage werden solche Angriffe zumeist von leistungsfähigen Prozessoren moderner Grafikkarten übernommen. Dabei probiert man einfach alle möglichen Kombinationen bestehend aus Klein- und Großbuchstaben, Ziffern und Sonderzeichen durch. Das Programm fängt also mit „aaa“ an, geht dann über zu „aab“, „aac“ etc. Eine aktuelle Grafikkarte ist dazu in der Lage, achtstellige Passwörter in rund 7,5 Stunden zu knacken.

Bild rechts: “Passwörter sind wie Unterhosen. Man sollte sie nicht liegen lassen, wo andere Menschen sie sehen können. Man sollte sie regelmäßig wechseln. Und man sollte sie an keine Fremden verleihen!

Umso länger das Passwort ist, umso länger dauert dieser Vorgang. Bei jeder zusätzlichen Stelle potenziert sich die durchschnittliche Zeit, bis man per Brute-Force an ein Passwort gelangt. Deswegen ist es auch so wichtig, die Passwörter nicht zu kurz zu gestalten. Im Web müssen die Hacker bei ihrer Tätigkeit lange Pausen einlegen. Wer zu schnell zu viele falsche Passwörter eingibt, dessen Account wird gesperrt. Doch die Einhaltung der Pausen kann ebenfalls durch Programme automatisch vorgenommen werden.

Leetspeak

Manche Nutzer glauben, sie wären besonders schlau und ersetzen ein O durch eine 0, ein i durch eine 1 etc. Doch auch die Passwortcracker verstehen die sogenannte Leetspeak. Ehrenamtliche Helfer der Wikipedia sollten folglich keinesfalls „w!k!p3d!4“ als Passwort verwenden, das wäre grob fahrlässig.

Keine Passwörter doppelt verwenden!

Wichtig: Verwenden Sie niemals Ihre Kennwörter doppelt. Bei einigen Hacks wurden die Zugangsdaten von unzähligen Personen veröffentlicht. So wurden im Juni 2012 rund 6,5 Millionen Zugangsdaten von LinkedIn-Nutzern veröffentlicht. Auch das Netzwerk von Sony war schon häufiger im Fokus der Hacker. Wer seine Passwörter nie ändert und mehrfach nutzt, muss sich nicht wundern, wenn diese irgendwann auch von Hackern missbraucht werden. Der Cyberkriminelle müsste lediglich alle bei Hacks erbeuteten Passwörter durchprobieren.

Schneier-Schema

Bruce Schneier IT Security PasswortBruce Schneier ist ein anerkannter Experte für Verschlüsselungstechnologie und IT-Sicherheit. Er rät allen Nutzern auf seinem Blog dazu, sich einen möglichst langen Satz auszudenken. So zum Beispiel: „Ich geh ums Haus der Mickey Mouse und mir macht das gar nichts aus.“ Dann nehmen wir nur die klein- bzw. groß geschriebenen Anfangsbuchstaben eines jeden Wortes: „IguHdMMummdgna“. Im Idealfall binden Sie noch ein paar Sonderzeichen und Ziffern mit ein. Aber bitte so, dass Sie sich das Passwort trotzdem gut merken können. Das sicherste Kennwort ist nutzlos, wenn Sie es ständig vergessen oder Sie dafür einen Zetteln am Monitor befestigen müssen. Denken Sie sich den Satz selbst aus. Populäre Zitate werden ebenfalls als Abkürzung mit der Wörterbuchattacke ausprobiert.

XKCD-Methode

xkcd T-shirtXKCD ist eigentlich ein englischsprachiger Webcomic von Randall Munroe. Bei dieser Methode wählt man durch Zufall aus seinem Wörterbuch mindestens vier Wörter aus, die man hintereinander schreibt. Umso mehr Wörter, umso besser. Dabei ist extrem wichtig, dass die Begriffe vollkommen zufällig ausgewählt werden. Sie können sich natürlich auch auf einem der zahlreichen kostenlosen Webseiten ein Passwort generieren lassen. Das Problem ist nur, dass man sich die wirre Mischung aus unterschiedlichen Zeichen unmöglich merken kann.

Passwort: Endung abhängig vom Anbieter

Im Idealfall sollte man das Passwort je nach Anbieter anders enden lassen. Wenn Sie also „IguHdMMummdgna“ nach dem Scheier-Schema gewählt haben, dann lautet Ihr Passwort bei Google Mail folglich „IguHdMMummdgnaGoogleMail“. Kommen Sie bitte nicht auf die Idee, dieses Passwort mehrfach zu verwenden, indem Sie lediglich die Endung verändern. Dann würde das PW bei Twitter „IguHdMMummdgnaTwitter“ lauten. Machen Sie es den Hackern bitte nicht zu einfach!

Achten Sie bei Ihren Anbietern darauf, dass die Länge des Passworts nicht begrenzt ist. Ansonsten sollte man sich lieber einen anderen Anbieter suchen. Ideal sind Dienste, wo eine zusätzliche Absicherung möglich ist. Viele Unternehmen bieten an, dass man bei besonderen Aktionen eine SMS mit einem zusätzlichen Kennwort erhält. Kann jemand Ihr Kennwort knacken so kann er kaum etwas damit anfangen, weil er nicht im Besitz Ihres Handys ist.

Passwort Generatoren

frame username passwordDas ist Ihnen alles viel zu kompliziert? Okay, kein Problem! Installieren Sie sich einen Passwort Generator. Diese Software braucht von Ihnen nur ein Masterkennwort, welches Sie beim Start der Software eingeben müssen. Das Programm verwaltet die Passwörter aller Dienste automatisch und verwendet lange und zudem sichere Passwörter. Für Windows gibt es mehrere kostenlose Varianten. Daneben werden für jedes Betriebssystem auch kostenpflichtige Versionen für 30 bis etwa 50 Euro angeboten. In OS X Mavericks und iOS 7 hat Apple vor etwa einem Jahr einen eigenen Passwort-Manager integriert, der nichts extra kostet.

Dieser Artikel erschien zunächst beim Stern Blog “Der Datenhüter“.

Bildquellen: Pexels, Mohamed Nanabhay (CC BY 2.0), Richard Parmiter & Bruno Santos – (CC BY-NC-ND 2.0).

Mehr zu diesem Thema:

Flattr this!

10 Comments

  • comment-avatar

    Stefan

    Ich habe von einem Bekannten, dessen Spezialgebiet die Steganographie ist und dafür auch einen Lehrstuhl betreut, erzählt bekommen, abgekürzte Sätze entsprächen in etwa der Sicherheit eines PW-Gens. Z.b. wird aus einem “Ich komme aus Deutschland und bin auf der Musterstrasse 33 geboren im Jahre 67!” das Passwort IkaDubadMs33giJ67! draus welches als PW ziemlich sicher ist und z.B. als Master für Keepass verwendet werden kann.

    Wichtig anzumerken ist noch, dass die Anwendungen selbst auch sich schützen müssen. So sind moderne Rechner in der Lage auf AES >2Billionen Kombinationen an PW’s abzusetzen um per Bruteforce das Passwort zu knacken (z.B. einer 7zip-Datei). Webserver und Anwendungen sollten daher so konfiguriert sein, dass bei einem falschen Passwort eine erneute Eingabe mit 3s Verzögerung erfolgen kann. Dies dürfte im Webbereich (zumindest bei Battlenet und Steam ist dies der Fall) der Fall sein als aber auch bei *nix-Systemen auf Systemebene. Oder am besten gleich die 2-Faktor-Authentifizierung nutzen. :)

    Sehr schöner Beitrag übrigens!

  • comment-avatar

    Marcel

    Danke für den Beitrag, ich hätte noch eine Nachfrage:
    Wäre ein Passwort wie z.B. “allejahrewiederkommtdaschristuskind” genauso sicher, als wenn ich eine willkürliche Buchstabenreihenfolge wie z.B. “gegwerjgnwjqwephgqgejk” nutze? Erkennen die Späh-Programme Redewendungen, Songtexte, Sprichwörter, etc.?

  • comment-avatar

    VanityBackfires

    Ich bin etwas verwirrt – werden hier im letzten Absatz nicht Passwort-Manager mit Passwort-Generatoren verwechselt? Generatoren gibt es viele, auch online, aber Passwort-Manager bieten nicht nur die Option, die Passwörter zu generieren, sondern eben auch zu speichern, und durch das Master-Passwort zu schützen. Aber das nur so am Rande. Hier kann ich nur KeePass empfehlen, leistet gute Arbeit, und man kann es nicht nur mit Windows verwenden, sondern auch mit Android.

  • comment-avatar

    lenn

    Ich mach mir ein wenig Sorgen um die Tarnkappe, erst geht’s mit sponsored articls los, was ein absolutes NoGo für einen Blog sein sollte und jetzt werden auch die alten Artikel von Lars 1:1 hierherkopiert…

    • comment-avatar

      1:1 stimmt nicht. Schau mal bitte genau nach.

      Warum sind Sponsored Posts ein Problem? Wenn Du stattdessen künftig die Kosten der Tarnkappe tragen möchtest, gerne. Die Werbung wird ja als solche deklariert, wir haben zudem nicht jeden Tag einen solchen Beitrag.

      • comment-avatar

        lenn

        Sorry, ganz so hart war’s nicht gemeint. Über das 1:1 will ich mich nicht zanken, ich glaube, die meisten kennen den Artikel nicht. Sponsored Posts in der gleichen Leiste wie die Artikel halte ich dennoch für moralisch bedenklich, auch wenn sie vorbildlich gekennzeichnet sind. Wenn sie in der gleichen Leiste wie die normale Werbung wären, würde ich es doch sehr begrüßen.
        Ich bin übrigens immernoch ein Fan von der Tarnkappe, gerade weil sie alle Seiten gut beleuchtet und mit Sicherheit eine Berichterstattung bietet, die man sonst nur selten zu Gesicht bekommt.

    • comment-avatar

      Wo ist eigentlich das Problem? 4 Artikel ist mehr, als was wir sonst im Durchschnitt pro Tag haben.

  • comment-avatar

    mario

    wenn es aus einem bekanntenkreis ist, könnte man ihn einfach mal fragen, ob man mal kurz seinen pc/laptop benutzen kann.
    ist man einen moment unbeobachtet, kann man im firefox in die einstellungen gehen, dann auf sicherheit, gespeicherte passwörter.
    könnte man kurz abfotografieren – danach auf passwörter anzeigen – und das auch abfotografieren.
    (dann hat man email-adressen, benutzernamen und passwörter)
    da kann das PW noch so sicher sein.

    nicht, dass ich das schonmal gemacht hätte… aber man wäre sicherlich erstaunt, wie viele menschen so leichtsinnig alles im browser (in dem fall FF) speichern.


Leave a comment