Technik
Dieses Passwort scheint sicher zu sein.
Dieses Passwort scheint sicher zu sein.(Foto: Checkdeinpasswort.de)
Mittwoch, 16. August 2017

Nonsens-Satz statt Krypto-Kombi: Leichte und sichere Passwörter - so geht's

Passwörter schützen Daten, Zahlungsinformationen und Privates im Internet. Doch einfache Kombinationen können im Nu geknackt werden. Gut zu wissen: Kreative Passphrasen schützen besser als komplizierte Zahlen-Buchstaben-Sonderzeichen-Monster.

Bei der Suche nach einem sicheren Passwort ist Kreativität gefragt. Bisher galten dabei zumeist folgende Grundregeln: Möglichst lang soll es sein, keine Wörter aus dem Duden enthalten, keine Namen, Zahlenkombinationen wie Postleitzahlen oder Geburtsdaten, und natürlich niemals ein Passwort mehrfach verwenden. Das stellte viele Nutzer vor ein Problem: Wie soll man sich die ganzen Passwörter bloß merken? Neue Erkenntnisse versprechen zumindest teilweise Linderung, denn so kompliziert muss es gar nicht sein.

Leicht zu merken, schwer zu knacken

Eine sichere Passphrase könnte stattdessen so aussehen: "Bisde hoyer merkeln, hayvan? Ai, guggemol!" Oder so: "Icke wiggel middem Leezengeloet." Die Idee dahinter: Nonsens-Sätze können sich Nutzer viel leichter merken als willkürliche Zeichenkombinationen, sind aber viel schwerer zu knacken. 

Passphrasen wie diese empfiehlt das US-Institut für Standards und Technologie (NIST). Die Behörde legt unter anderem technische Standards für öffentliche Einrichtungen in den USA fest. Aber Vorsicht: Man muss schon selbst seine grauen Zellen anstrengen und nicht irgendwo einen Satz abschreiben - zum Beispiel die oben genannten Beispiele. Darum gibt das NIST eine Anleitung zum Selbstbasteln.

Das optimale Passwort besteht demnach aus mehreren Wörtern, die nicht im Wörterbuch stehen. Einige Sonderzeichen können nicht schaden. Passwörter müssen nach Einschätzung des NIST aber nicht mehr einen Großbuchstaben und zwei verschiedene Sonderzeichen enthalten, wie lange empfohlen wurde. Auch Ziffern sind nicht unbedingt notwendig. Zwischen den Worten sollten möglichst Leerzeichen stehen, denn diese bereiteten Hackern Kopfzerbrechen. Je länger das Passwort ist, desto besser, empfehlen die Experten.

Sonderzeichen und Ziffern Pflicht?

Ähnliche Ratschläge gibt das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI). Im Gegensatz zum NIST wird dort allerdings weiterhin betont: "(Das Passwort) sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern bestehen." Oft bleibt Nutzern bei der Anmeldung aber auch gar keine andere Wahl, denn viele Dienste schreiben die Kombination dieser Zeichenarten vor. Ein Beispiel könnte dann so aussehen: "Icke wiggel mir 1, middem Leezengeloet!"

Auch regelmäßige Aufforderungen zum Passwortwechsel seien überflüssig, meinen die US-Experten. Das Passwort muss nur geändert werden, wenn ein konkreter Verdacht auf einen Angriff besteht. Andere Regeln haben aber natürlich nach wie vor Bestand: Je länger eine Passphrase ist, desto besser. Und natürlich niemals eine Kombination mehr als einmal verwenden.

Zusatzmaßnahmen

Zusätzlich zum Passwort können weitere Sicherheiten eingebaut werden. Statt leicht zu knackender Sicherheitsfragen sollte man aber auf die sogenannte Zwei-Faktor-Authentifizierung setzen. Bei diesem Verfahren müssen sich Nutzer zusätzlich zur Passworteingabe auf einem zweiten Weg identifizieren. Das kann durch einen Code, der per SMS verschickt wird, oder durch einen TAN-Generator erfolgen. Experten halten zwar auch diese Methode nicht für unknackbar, aber eine bessere Absicherung gibt es zurzeit nicht.

Auf verschiedenen Seiten im Internet können Nutzer überprüfen, ob von ihnen genutzte Passwörter vielleicht frei im Netz verfügbar sind. Solch Passwörter sollten dann nicht weiter verwendet und geändert werden. Die Tatsache, dass ein Passwort nicht in der Datenbank steht, bedeutet allerdings nicht, dass es sicher ist. Eine Anlaufstelle ist zum Beispiel die Website "HaveIBeenPwned".

Wer seine neue Paswort-Kreation auf ihre Sicherheit überprüfen will, kann dafür die Seite "CheckdeinPasswort" besuchen. Hier tippt man die Phrase ein und erfährt dann, wie lange ein herkömmlicher Computer zum Knacken bräuchte. Wer auf Nummer sicher gehen will, tippt das Passwort seiner Wahl leicht abgeändert ein.

Quelle: n-tv.de

Empfehlungen