Technik
"Passwort" darf niemals das Passwort sein.
"Passwort" darf niemals das Passwort sein.(Foto: imago/photothek)
Donnerstag, 01. Februar 2018

Regeln und Manager helfen: Dummie-Passwörter müssen nicht sein

Von Klaus Wedekind

Einfache Passwörter sind zwar bequem zu merken, aber extrem leichtsinnig. Dabei ist es gar nicht so schwer, sichere Kombinationen zu erstellen und zu verwalten. Man muss nur ein paar einfache Regeln einhalten und sich beim Merken zu helfen wissen.

Auch im vergangenen Jahr war einer Analyse des Hasso Plattner Instituts (HPI) nach "123456" das Passwort, das am häufigsten in Datenbanken mit gehackten Internet-Konten deutscher Anwender gefunden wurde. Neben weiteren Zahlenreihen gehören außerdem "hallo", "passwort" und "hallo123" zu den Top Ten der beliebtesten Dummie-Passwörter. Nutzer verwenden sie gelegentlich für Wegwerf-Konten, um bei Internet-Bestellungen ihre E-Mail-Adresse nicht in Werbe-Pools zu werfen - das ist okay. Es gibt aber auch sehr viele Menschen, die möglichst einfache Kombinationen verwenden, damit sie sich die Passwörter merken können. Und wenn sie diese dann auch noch bei mehreren Konten verwenden, sind sie ein gefundenes Fressen für Hacker.

Es ist aber gar nicht so mühsam, sichere Kombinationen zu verwenden. Zum "Passwortwechsel-Tag" hat das HPI ein paar Regeln für starke Passwörter zusammengestellt. Und es gibt auch keinen Grund, eigene Kombinationen für jedes Konto zu scheuen - man muss sie sich gar nicht merken.

Die wichtigsten Regeln

- Die Länge des Passworts sollte mindestens 10 bis 15 Zeichen umfassen und verschiedene Zeichentypen (Buchstaben, Ziffern, Sonderzeichen) sowie Groß- und Kleinschreibung mit einbeziehen. Der Unterschied ist gewaltig, wie das HPI an einem Beispiel erklärt: Während sogenannter Brute-Force-Attacken, bei denen Software die Abfolgen bestimmter Zeichen zum Entschlüsseln eines Passworts ausprobiert, wird für die Aufdeckung des Passworts "secret" weniger als eine Sekunde benötigt. Für das Passwort "!sEcRe!2%9" wären es nach aktuellem Stand über 19 Jahre.

- Niemals persönliche Informationen wie Namen, Geburtsdaten, Haustiernamen, Namen der Partner oder der jeweiligen Anwendung beziehungsweise des genutzten Dienstes verwenden. Diese Daten könnten leicht erraten werden.

- Keine Begriffe aus dem Wörterbuch oder andere "sinnvolle" Zeichenfolgen verwenden. Neben den Brute-Force-Attacken sind vor allem "Wörterbuchangriffe" üblich, um Passworte zu knacken. Dabei probieren Maschinen statt Zeichenabfolgen Listen mit Wörtern durch. Ergänzt mit Informationen zu Passwort-Bedingungen wie zusätzlichen Sonderzeichen, Zahlen oder Groß- und Kleinschreibung kommen sie häufig zum Ziel.

Analoge und digitale Merkhilfen

Eine größere Zahl solcher Passwörter können sich wohl nur außergewöhnlich begabte Menschen merken. Das ist aber auch gar nicht nötig. Es spricht unter anderem wenig dagegen, die Kombinationen aufzuschreiben und an einem sicheren Ort aufzubewahren. Hacker brechen nicht in Wohnungen, sondern Systeme ein. Eine gute Idee ist es auch, Passwortlisten verschlüsselt auf dem Computer zu speichern. Dafür kann man beispielsweise die kostenlose Software Veracrypt verwenden. Nur für die Entschlüsselung muss sich der Nutzer einen soliden Code merken. Ein solches Dokument ist auch fürs Büro tauglich, wo Notizzettel mit Passwörtern nichts zu suchen haben.

Die komfortabelste Art und Weise, Zugangsdaten zu verwalten, sind Passwort-Manager. Das sind Programme, die die Daten verschlüsselt speichern und selbst sichere, zufallsgenerierte Kennwörter erstellen können. Auch bei ihnen muss man sich lediglich ein Haupt-Passwort für den Zugang merken oder verschlüsselt auf einem externen Speicher ablegen.

Es gibt die Manager als Computer-Software oder Smartphone-App. Mobile Anwendungen sind dabei besonders praktisch, da man mit dem Handy seine Zugangsdaten immer griffbereit hat. Einige Apps unterstützen außerdem Fingerabdruckscanner zum Entsperren.

Welche Manager besonders empfehlenswert sind, hat Stiftung Warentest im vergangenen September ermittelt. Am besten schnitt LastPass Premium" mit der Note "Sehr gut" ab. "Gut" fanden die Tester Keeper SecurityDashlane PremiumF-Secure Key Premium und True Key Premium. Interessant sind auf jeden Fall auch kostenlose Open-Source-Projekte wie das bekannte KeePass.

Zweite Barriere errichten

Auch bei sicheren Kombinationen sollten Nutzer immer die Zwei-Faktor-Authentifizierung verwenden. Denn so haben sie eine zweite Barriere, wenn Hacker beispielsweise unverschlüsselt gespeicherte Zugangsdaten bei schlampig arbeitenden Diensten erbeuten. Dabei wird ein Konto zusätzlich abgesichert, indem beim ersten Login zusätzlich ein Code ans Smartphone geschickt wird, ohne den eine Anmeldung unmöglich ist.

Quelle: n-tv.de