Sicherheit im Internet W3cks3ln Si3 !hr Pa§§w0rt!

Schon gehört? Der 1. Februar ist Passwortwechseltag. Klingt doof, ist aber eine gute Sache: Wir zeigen Ihnen, wie Sie ein wirklich kräftiges Passwort hinbekommen.

Das Wort "Password" auf einem Computerbildschirm
REUTERS

Das Wort "Password" auf einem Computerbildschirm

Von


Zu viele von uns greifen noch immer zu den beliebten Evergreens unter den Passwörtern: zum unverwüstlichen "Passwort", zu "12345", "qwertz" oder Vornamen mit oder ohne Geburtsjahr.

Die Folge im Falle eines Hacks: kleine PC- und Smartphone-Katastrophen, die neben Geld auch Nerven kosten. Und volkswirtschaftlich gesehen Schäden in Milliardenhöhe verursachen.

Man macht es uns aber auch nicht leicht. Wir brauchen immer mehr Passwörter, und die Anforderungen steigen ständig. Je leistungsfähiger Computer werden, desto mehr Zeichen sollen unsere Passwörter umfassen (siehe Tabelle unten) und desto häufiger sollen wir sie ändern.

Aber das Problem kann man lösen.

Grundlegende Sicherheitsmaßnahmen

Zunächst sollte man die auf PC oder Smartphone vorhandenen Sicherheitsmechanismen auch nutzen (Virenscanner, Firewall, Passwort beim Booten etc.). Das erschwert schon einmal PC-Einbruch und Datendiebstahl.

Man sollte sich auch über gängige Tricks im Klaren sein, mit denen Passwörter ausgeforscht werden (z.B. Phishing-Mails). Vor allem aber sollte man Kriminellen keinen "Generalschlüssel" liefern: Wer nur ein einziges, unsicheres Passwort nutzt, riskiert, alle seine Konten offenzulegen, wenn es zum Passwortdiebstahl kommt.

So etwas ist häufiger als man denkt. Milliarden E-Mail-Passwörter sind frei käuflich in Umlauf. Nicht unwahrscheinlich, dass zum Beispiel auch Ihr privater E-Mail-Account darunter ist: Überprüfen können Sie das hier.

Passwortsicherheit: Was sollte man auf keinen Fall tun?
Passwörter: Die Top-Sünden
  • Immer dieselben Passwörter nutzen. Nummerieren hilft auch nicht (Passwort1, Passwort2 etc.)
  • Namen von Haustieren, Verwandten oder Freunden, Geburtsdaten und ähnliches nutzen
  • Kurze, Sinn ergebende Passwörter wählen, die sich in Lexika finden
  • Ab Werk vorgegebene Standardpasswörter unverändert lassen (Passwort, 1111)
  • Tastatur-Zeichenfolgen nutzen (1234567, qwertz)
  • Passwörter an den Monitor oder unter die Tastatur kleben
  • Passwörter aufschreiben und mit sich tragen
  • Passwörter online speichern, per Mail verschicken etc.
  • Formular-Autovervollständigung und Passwortverwaltungen: nicht gut
    Auf keinen Fall sollte man die Autovervollständigungs- und Passwort-Verwaltungslösungen von Webbrowsern nutzen ("Wollen Sie das Passwort speichern?"). Das ist zwar bequem, aber in etwa so, als verteilte man seine Haustürschlüssel in der Gasse hinter dem Bahnhof.
    Webbrowser ohne Gedächtnisschwund: ganz übel
    Was nützt ein starkes Passwort, wenn man nur den Browser-Cache auslesen muss, um es zu erfahren? Browser merken sich alle möglichen Dinge, die sie nichts angehen. Verhindern kann man das, indem man in den Einstellungen des Browsers unter Datenschutz und Privatsphäre für Amnesie sorgt: Bei jedem Schließen des Browsers sollten alle Cookies, Formulardaten, Passwörter und die History des Browsers gelöscht werden. Automatisch.

    Gibt es hundertprozentig sichere Passwörter?

    Prinzipiell ist alles knackbar, es ist nur eine Frage von Rechenleistung und Zeit. Man kann aber dafür sorgen, dass eventuelle Angreifer sehr viel davon brauchen.

    Viele Dienstleister verlangen heute eine Mindestpasswortlänge von acht Zeichen, aber das reicht nicht. Passwort-Hacker arbeiten mit sogenannten Brute-Force-Attacken, bei denen ein Programm jede mögliche Kombination unserer Tastaturzeichen ausprobiert.

    Und wie lang dauert es dann, ein gängiges Passwort zu knacken? Vom billigen alten Gebraucht-Laptop eines kriminellen Hackers irgendwo in Wasweißichistan ausgehend, kommt man zu folgender Tabelle:

    Maximale Rechenzeit eines Brute-Force-Angriffs bei einer Milliarde Schlüsseln pro Sekunde

    Zahl und Art verwendeter Zeichen (Zeichenraum) Passwort­länge 4 Zeichen
    6 Zeichen

    8 Zeichen

    10 Zeichen

    12 Zeichen
    10
    [0-9]
    26
    [a-z]
    52
    [a-z + A-Z]
    62
    [a-z + A-Z + 0-9]
    96
    (alles plus Sonderzeichen)

    Daten: Wikipedia
    Legende:     sehr sicher   |    einigermaßen sicher   |    nicht sicher

    Ein moderner Top-Rechner ist bis zu hundertmal schneller. Prinzipiell muss ein Passwort also möglichst lang und zeichenreich sein, wenn es Sicherheit bieten soll.

    Wie kommt man zu sicheren Passwörtern?

    IT-Experten raten zu Nonsense-Zeichenfolgen wie H8&!fby$§L:=?g4. So etwas kann sich natürlich niemand merken, der nicht Sheldon Cooper heißt. Zum Glück kann man es sich etwas leichter machen.

    Das Geheimnis eines wirklich sicheren Passwortes ist Länge - nichts spricht gegen 20 Zeichen und mehr! Kombiniert man das noch mit Sonderzeichen, wird eine Festung daraus.

    Beispiel: Der erste Satz eines Gedichts

    Nehmen wir "Wenn nicht mehr Zahlen und Figuren Sind Schlüssel aller Kreaturen" (Novalis, 1800). So ein Satz ist ohne Zweifel lang. Sicher ist er trotzdem nicht, weil man ihn mit einer lexikalischen Methode, die sinnvolle Buchstabenkombinationen durchprüft, relativ schnell knacken könnte.

    Also muss man ihn verfremden. Man könnte z.B. nur die ersten Buchstaben jedes Wortes als Passwortbestandteil nehmen:
    Wenn
    Nicht
    Mehr
    Zahlen
    Und
    Figuren
    Sind
    Schlüssel
    Aller
    Kreaturen
    ergibt dann WnmZuFsSaK.

    Vorn und hinten ein Sonderzeichen plus Zahl und die Sache wird knallhart zu knacken: +WnmZuFsSaK-78.

    Zu kompliziert? Man kann es Kriminellen auch schwer machen, indem man persönliche Regeln für den Austausch von Zeichen nutzt. Die muss man sich zwar merken, aber das ist im Grunde leicht.

    Regel: e = 3
    Resultat: W3nnNichtM3hrZahlenUndFigur3n
    Regel: i = :
    Resultat: W3nnN:chtM3hrZahlenUndF:gur3n
    Regel: c = (
    Resultat: W3nnN:(htM3hrZahlenUndF:gur3n
    Regel: a/o/u = ä/ö/ü
    Resultat: W3nnN:(htM3hrZählenÜndF:gür3n

    Jede zusätzliche Regel verfremdet das Ergebnis stärker. Das Beispiel ist extrem und soll nur das Prinzip verdeutlichen.

    Wo kommt dieser komische "Passwortwechseltag" eigentlich her?
    Was tun Medien, wenn in Sachen Nachrichten Flaute herrscht? Sie setzen selbst ein Thema - und manchmal kommt dabei sogar etwas richtig Sinnvolles heraus. Am 26. Januar 2012 ließ sich der "Gizmodo"-Redakteur Matt Buchanan den "Change your Password Day!" einfallen - ein ursprünglich als Leseraktion gedachtes Event, das sich innerhalb weniger Jahre weltweit verbreitete.

    Zwischen dem "Tag der Straßenkinder" (31. Januar) und dem internationalen "Welttag der Feuchtgebiete" (2. Februar) gelegen, ist der 1. Februar nun alljährlich zum Passwortwechseltag erkoren. Und Hand aufs Herz, das ist einmal ein "Gedenktag", der tatsächlich Sinn ergibt: Unsere unsicheren Passwörter sind ein leidiges Dauerthema - und sorgen dafür, dass wir uns selbst schaden.

    Vier relativ einfache, selbst aufgestellte Regeln sorgen in diesem Beispiel dafür, dass selbst ein wirklich kräftiger Rechner per Brute Force mehrere Millionen Jahre brauchen würde, um alle möglichen Kombinationen durchzutesten.

    Feine Sache, Problem gelöst? Nicht ganz: Wir brauchen ja nicht eines, sondern viele Passwörter. Zig verschiedene derart verfremdete Zeilen kann sich auch kein Mensch merken.

    Wie behält man den Überblick über die Vielzahl der Passwörter?

    Die erste Regel: Unterscheiden Sie zwischen wichtig und weniger wichtig.

    Nicht jeder Online-Account muss gesichert sein wie Fort Knox. Triviale Anwendungen, die Sie weder Geld kosten können noch Zugänge zu anderen Konten eröffnen, sichern Sie mit einem (auch mehrfach verwendbaren) Standardpasswort ab, das Sie ab und zu variieren.

    Mehr Mühe verwenden Sie auf Passwörter für wichtigere Dienste, die Zugang zu persönlichen Daten, zu Möglichkeiten von Finanztransaktionen oder Einkäufen bieten: Hier kommt das Muster W3nnN:(htM3hrZählenÜndF:gür3n zum Einsatz - lang und kompliziert.

    Passwort-Alternative Hardware: Auch mit USB-Dongles, Kartenlesegeräten oder Fingerabdrucksensoren lässt sich viel Sicherheit schaffen. Das ist allerdings aufwändig - und auch nicht narrensicher: Bei manchen Geräten lässt sich das Fingerabdruckverfahren mitunter sogar von einem Ausdruck auf Papier austricksen
    DPA

    Passwort-Alternative Hardware: Auch mit USB-Dongles, Kartenlesegeräten oder Fingerabdrucksensoren lässt sich viel Sicherheit schaffen. Das ist allerdings aufwändig - und auch nicht narrensicher: Bei manchen Geräten lässt sich das Fingerabdruckverfahren mitunter sogar von einem Ausdruck auf Papier austricksen

    Doch selbst derart sortiert kommen in der Regel zu viele Passwörter zusammen, um sie alle im Kopf zu behalten. Da hilft nur eines: Man muss sie irgendwie dokumentieren.

    Die analoge Methode: Sie notieren Ihre Passwörter in einem nur dafür vorgesehenen Notizbuch, das Sie sicher und nicht in der Nähe des PC verwahren.

    Die digitale Methode beruht auf sogenannten Passwort-Managern. Das sind Dienste oder Apps, in denen man seine jeweils aktuellen Passwörter in verschlüsselter Form hinterlegen kann. Jetzt kommt der Witz: Um an so gespeicherte Passwörter zu kommen, braucht man wiederum ein Passwort.

    Das sollte natürlich so lang, kompliziert und darum mächtig sein wie W3nnN:(htM3hrZählenÜndF:gür3n. Selbst im Falle eines Datendiebstahls wäre die verschlüsselte Passwortdatenbank damit für den Dieb nutzlos, weil nicht entschlüsselbar.

    Aber aufgepasst: Bei dieser Lösung wird das komplizierte Langpasswort zum Generalschlüssel für alle anderen Passwörter - es sollte entsprechend gut sein, periodisch gewechselt und sicher verwahrt werden.

    Als vertrauenswürdige Dienste gelten zum Beispiel

    P.S.: W3nnN:(htM3hrZählenÜndF:gür3n ist durch diese Veröffentlichung kein sicheres Passwort mehr. Sicher ist nur, was man sich selbst ausdenkt - und das gilt natürlich auch für die Regeln, mit denen man seine Passworte verfremdet.

    Mehr zum Thema


    insgesamt 18 Beiträge
    Alle Kommentare öffnen
    Seite 1
    Modula 01.02.2018
    1. Die Regeln sind veraltet und kompliziert.
    Komplizierte Passwörter, die auch noch mindestens 12 Stellen haben, kann sich doch keiner merken. Spätestens wenn man sein Kennwort zum 2. Mal falsch eingibt, wird ein Passwort-Manager benutzt oder die Kennwörter in einer Textdatei gespeichert, um per Copy&Paste genutzt zu werden. Besser ist es Kennwörter aus unzusammenhängenden Wörtern zu verwenden und diese durch Zahlen und Sonderzeichen zu trennen. Beispiel: "Zukunft-Erdbeer2Lastwagen". Das sind 25 Zeichen und trotzdem leicht zu merken. Das wichtigste Kriterium ist und bleibt die Kennwortlänge.
    Peter Meyer01 01.02.2018
    2. Tl;dr
    Benutzen Sie einen Passwort-Manager, nehmen Sie als Master-Passwort hierfür die "Correct Horse Battery Staple" Methode: https://xkcd.com/936/
    tabilo7 01.02.2018
    3.
    Warum existiert der Irrglaube, dass ein Passwort sicher ist, wenn es für den Menschen komplex aussieht? Auch das regelmäßige Ändern von Passwörtern führt nicht unbedingt zu mehr Sicherheit (Es sei denn, dass man das Passwort an mehreren Orten verwendet hat, aber in dem Fall ist ohnehin alles verloren). Insgesamt kein guter Artikel, da fällt mir nur folgendes Bild zu ein: https://xkcd.com/936/
    mitai 01.02.2018
    4. w3ks3ln...
    :st ab3r fal5ch umg35chr:3ben, 35 hei§§t ja "w3ch53ln".
    daniel_heße 01.02.2018
    5. Alte Regeln
    Was sagt ihr denn dazu, dass mittlerweile selbst der Urheber der Groß-und-Kleinbuchstaben-mit-Zahlen-und-Sonderzeichen-Regel gesagt hat: Das ist Quatsch? Heutzutage gilt ja hauptsächlich (auch dank obiger Tabelle): Hauptsache lang und (vergleichsweise) gut zu merken. Denn nichts ist schlimmer als ein vergessenes Passwort ;)
    Alle Kommentare öffnen
    Seite 1

    © SPIEGEL ONLINE 2018
    Alle Rechte vorbehalten
    Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


    TOP
    Die Homepage wurde aktualisiert. Jetzt aufrufen.
    Hinweis nicht mehr anzeigen.