Technik
Nur gegen starke Passwörter haben Hacker keine Chance.
Nur gegen starke Passwörter haben Hacker keine Chance.(Foto: REUTERS)

So einfach geht's: Passwörter richtig wählen und nutzen

Von Johannes Wallat

Viele Internet-Nutzer setzen durch zu einfache Passwörter ihre Sicherheit aufs Spiel. Dabei ist es gar nicht so schwer, sich richtig zu schützen. n-tv.de zeigt, wie man starke Passwörter wählt, wie man sie sich merken kann und was noch zu beachten ist.

Ob Online-Banking, Profile in sozialen Netzwerken, E-Mail-Konten oder Amazon- und PayPal-Accounts: Gute Passwörter sind der Schlüssel zu einer sicheren Identität im Internet. Wer sie kennt, dem stehen Tür und Tor offen. Klar, dass kriminelle Hacker es darauf abgesehen haben. Sicherheitsexperten predigen seit Jahren immer wieder das gleiche Mantra und warnen vor zu leichtsinnigem Umgang mit den digitalen Zugangsschlüsseln. Trotzdem sind viele Internet-Nutzer immer noch viel zu unvorsichtig bei der Wahl ihrer Passwörter - das zeigt nicht zuletzt die Liste der am häufigsten geknackten Passwörter 2014.

"Digitale Sorglosigkeit"

Video

Dabei ist das Thema allgegenwärtig. Um ernsthaft besorgt zu sein, reicht ein Blick in die Nachrichten: Die Cyberkriminalität nimmt zu, 2014 machten Hiobsbotschaften wie die Entdeckung der SSL-Sicherheitslücke Heartbleed die Runde. Mobile Trojaner wurden entdeckt, die Ebay-Datenbank geknackt, dann wurden 160 Millionen Datensätzen mit Passwort und Benutzernamen im Netz veröffentlicht. im September 2014 erbeuteten Hacker 5 Millionen Gmail-Passwörter, nur einen Monat zuvor wurden rund 1,2 Milliarden Benutzernamen und Passwörter geknackt.

Die größte Gefahr für Datensicherheit scheinen aber nicht die Cyberkriminellen, sondern oft die sorglosen, unwissenden oder unvorsichtigen Nutzer selbst zu sein. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) sind mehr als eine Million deutscher Rechner mit Schadsoftware infiziert und in sogenannten Botnetzen zusammengeschlossen. Das BSI beklagt die "digitale Sorglosigkeit", die bei vielen dazu führe, dass sie gar nicht merkten, wenn sie Opfer einer Cyberattacke werden. Doch auch wenn die Hacker-Angriffe nicht weniger werden, gilt: Der wirksamste Schutz gegen Cyberkriminelle ist ein sicheres Passwort.

Nur lange Passwörter sind sicher.
Nur lange Passwörter sind sicher.(Foto: 1Password)

Was aber sicher ist, das wird von vielen Nutzern häufig falsch eingeschätzt. Leistungsstarke Computersysteme können heute bei einem Brute-Force-Angriff, bei dem mit "roher Gewalt" einfach alle möglichen Schlüssel durchprobiert werden, innerhalb einer Sekunde mehrere Milliarden möglicher Passwort-Kombinationen testen. Damit sind unterkomplexe Passwörter innerhalb eines Wimpernschlags geknackt. Hundertprozentige Sicherheit gibt es nicht, doch schon die Länge des Passworts kann einen großen Unterschied ergeben. Denn mit der Anzahl der Zeichen steigt exponentiell die Anzahl der möglichen Kombinationen, die ein Angreifer durchprobieren muss, um das Passwort herauszufinden.

Die Länge ist entscheidend

Ein Rechenbeispiel von "The Safe Shop" verdeutlicht das: Für ein dreistelliges Passwort, das aus den Zahlen von 0-9 sowie aus je einem Klein- und einem Großbuchstaben zusammengesetzt ist, also aus insgesamt 62 möglichen Zeichen, gibt es 238.328 Kombinationsmöglichkeiten. Erstellt man aus dem gleichen Zeichensatz ein sechsstelliges Passwort, gibt es schon 56.800.235.584 mögliche Kombinationen. Für ein zwölfstelliges Passwort sind dann schon 3.226.266.762.397.899.821.056 Kombinationen möglich.       

Eine Übersicht über die wichtigsten Grundregeln zum Erstellen von sicheren Passwörtern gibt unter anderem das BSI. Generell gilt: Ein gutes Passwort besteht immer aus einer möglichst willkürlichen, nicht logischen Folge von Groß- und Kleinbuchstaben, Zahlen und Satz- und Sonderzeichen und sollte mindestens 10 bis 12 Zeichen lang sein. Dabei ist die Länge wichtiger als die Komplexität, also die Verwendung möglichst vieler verschiedener Zeichen. Aber Vorsicht: Die Buchstaben "Ä","Ö","Ü" und "ß" sollten vermieden werden, genau wie andere Zeichen, die auf ausländischen Tastaturen unter Umständen nicht vorkommen.  

Hüten sollte man sich davor, einfach besonders lange Wörter ("Motorradführerschein") oder ganze Sätze ("ich trinke gerne Kaffee") zu verwenden. Denn um Passwörter zu knacken, wenden Hacker verschiedene Strategien an, unter anderem sogenannte "Dictionary Attacks" (Wörterbuchattacken), bei denen Wortschätze in bestimmten Sprachen oder Themengebieten automatisch durchkämmt werden. Die sogenannten "Common Word Attacks" probieren gängige Wörter oder Zeichenkombinationen aus, die gerne als Passwort verwendet werden ("123456", "passwort", "qwertz").

So erstellt man ein sicheres Passwort.
So erstellt man ein sicheres Passwort.(Foto: The Safe Shop)

Ähnlich aussehende Zahlen und Sonderzeichen ("H4llo", "H@llo", "H^llo") bieten keinen wirklich wirksamen Schutz, unsicher ist auch die Kombination von Wörtern aus dem Duden mit Zahlen ("12Hallo34"). Auch offensichtliche Zahlenkombinationen, Wörter und Namen sollten vermieden werden. Dazu zählen Postleitzahlen, Telefonnummern, Geburtsdaten oder die Namen der Kinder, Eltern, Freunde und Haustiere.

Passwörter sollten außerdem regelmäßig geändert werden, eine einmal gewählte Kombination aus Benutzernamen und Passwort darf niemals für mehr als einen Log-In genutzt werden. Wer viele verschiedene Dienste im Internet nutzt, die eine Anmeldung per E-Mail-Adresse erfordern, sollte dafür nicht die gleiche Adresse nutzen, über die auch der wichtigste Mailverkehr abgewickelt wird. Gänzlich tabu ist die Anmeldung mit dem gleichen Passwort, das auch für das E-Mail-Konto verwendet wird. Auch voreingestellte Passwörter sollten bei einer Neuanmeldung oder Neuinstallation sofort geändert werden.

Sicherheit muss nicht unbequem sein

Wer diese Regeln befolgt, hat schon viel für seine Sicherheit getan. Doch ein Problem tritt früher oder später unweigerlich auf: Je komplexer die Passwörter, desto schwieriger sind sie zu behalten. Die Experten vom BSI und von "The Safe Shop" raten in solchen Fällen dazu, Eselsbrücken zu bauen. Ausgangspunkt könnte ein selbst ausgedachter Satz sein ("Ich liebe meine Katze über alles"), den man sich leicht merken kann. Anschließend verfremdet man ihn, indem man nur bestimmte Buchstaben auswählt, zum Beispiel den jeweils ersten und letzten, andere durch Sonderzeichen und Zahlen ersetzt und Satzzeichen einfügt. So könnte aus obigem Satz folgendes Passwort aus 15 Stellen entstehen, das auch mit heutigen Hochleistungsrechnern kaum geknackt werden kann: "1hl€meKeuer4$."

Trotzdem, wer mehrere Nutzerkonten unterhält und alle mit einem eigenen Passwort sichern will, wird auch mit dieser Methode nicht weit kommen. Hier empfiehlt sich ein Passwortmanager wie KeePass oder 1Password, in dem alle Passwörter sicher gespeichert werden. Für den Zugang zur Datenbank ist dann nur noch ein Master-Passwort erforderlich, das entsprechend komplex und schwer zu entschlüsseln sein sollte. Solche Passwortmanager bieten ihren Nutzern auch an, komplexe Passwörter selbst zu generieren. 1Password gibt es für Mac OS, Windows, iOS und Android. Apple-Nutzer können auch auf den iCloud-Schlüsselbund zurückgreifen, bei dem Log-Ins oder Kreditkartennummern zentral gespeichert werden und auf allen Geräten zur Verfügung stehen, die mit der gleichen Apple-ID mit dem Schlüsselbund verbunden sind.

Ein weiterer Weg, sich zu schützen, ist die Zwei-Faktor-Authentifizierung. Hier werden zwei voneinander unabhängige Faktoren kombiniert, um einen Nutzer zu identifizieren. Im Alltag ist es zum Beispiel die Kombination aus Bankkarte und PIN-Nummer, im Internet kann das die Kombination aus Name und Passwort sowie einem Zahlencode sein, die bei jedem Anmeldeversuch auf ein zuvor registriertes Handy als SMS geschickt wird. Angreifer können so auch mit einem geknackten Passwort noch nicht auf die eigenen Daten zugreifen. Einige beliebte Internetdienste bieten die Zwei-Faktor-Authentifizierung an, zum Beispiel Facebook, Google (Mail, Drive etc.), Microsoft (OneDrive, Hotmail etc.) oder Dropbox.   

Quelle: n-tv.de

Empfehlungen