Ratgeber Passwörter Lieber wW!#cCbBhHjJfFo1dD als 123456

Die unsichersten Passwörter sind leicht zu merken und deshalb sehr beliebt - aber auch leicht zu knacken. Dabei ist es gar nicht schwierig, sicherere Logins zu erfinden und zu behalten - IT-Experten erklären, wie sie sich ihre Passwörter merken.

Von

Computer im Visier: Angreifer suchen nach Passwörtern - auf Servern und Privatrechnern
Corbis

Computer im Visier: Angreifer suchen nach Passwörtern - auf Servern und Privatrechnern


MilitarySingles.com ist eine Dating-Plattform für US-Soldaten, Kunden mit einem gewissen Bewusstsein für Risiken im Netz. Das meistgenutzte Passwort der Kunden war dennoch: "123456", gefolgt von "Password", "iloveyou" und "military".

Dass viele Mitglieder des Kennenlern-Portals derart unsichere Passwörter nutzten, weiß man, weil im Frühjahr Unbekannte die Datenbank knackten und Login-Daten veröffentlichten. Bei MilitarySingles haben zwei Tatsachen die Entschlüsselung erleichtert: Erstens war die Mehrheit der Passwörter in Wörterbüchern zu finden; zweitens verschlüsselte sie der Anbieter mit einem veralteten Verfahren, wie aus einer nun veröffentlichten Analyse hervorgeht.

Die Lehre daraus: Nutzer sollten bei Webdiensten komplexe Passwörter nutzen - und bei jedem Angebot ein völlig anderes. Schließlich kann man nicht verhindern, dass eine Firma schlampt. Und wenn Angreifer das Login für die Mailbox erbeuten, sollten sie nicht gleich auch Zugriff auf die Konten bei Ebay und Facebook haben, weil man überall dasselbe Passwort nutzt. Aber wie kann man sich für jeden Webdienst ein anderes Passwort merken?

Lieber nicht im Browser speichern

Es gibt keine einfache Lösung dieses Problems. Informatiker und Sicherheitsberater vertrauen keinesfalls der Passwort-Speicherfunktion von Webbrowsern. Thorsten Holz, Professor für Systemsicherheit an der Ruhr-Universität Bochum, speichert im Browser nur "unwichtige" Passwörter. Also zum Beispiel Konten, die man anlegen muss, um die kostenfreie Testversion einer Software aus dem Netz laden zu können.

Passwort-Manager richtig nutzen

Holz nutzt wie einige seiner Kollegen auch die kostenlose Open-Source-Software Keepass, ein spezielles Programm zur Verwaltung von Passwörtern. Keepass erzeugt pro Dienst ein zufälliges Passwort. Alle Logins werden verschlüsselt auf der Festplatte gespeichert, geschützt von einem Master-Passwort. Man sollte aber nicht alle seine Passwörter in dieser Datenbank ablegen, selbst wenn sie verschlüsselt ist. Denn wenn ein Angreifer an die verschlüsselte Passwort-Datenbank kommt und das Master-Passwort kennt, hat er plötzlich Zugang zu allen Diensten. Informatiker Thorsten Holz rät: "Man muss die Datenbank schützen - und das Master-Passwort sollte sehr schwer zu raten sein."

Stefan Köpsell, Entwickler des Anonymisierungsdienstes JAP, nutzt auch den Passwort-Manager Keepass, aber nur für Passwörter, "die wichtig sind, bei denen aber der Verlust noch verkraftbar ist". Passwörter für Anwendungen wie Online-Banking speichert Köpsell nicht auf einem Rechner, sondern auf Papier. Er ist der Ansicht, dass es im privaten Umfeld wahrscheinlicher sein dürfte, dass ein Angreifer Schadsoftware auf dem Rechner platziert und so an die Passwörter gelangt, als dass er sich Zugriff zur Wohnung verschafft und den Zettel unter der Tastatur kopiert.

Merken statt Speichern

Ob man einer Passwort-Datenbank überhaupt vertraut, muss jeder selbst entscheiden. Für die Datenbank spricht: Man kann darin komplett unterschiedliche, absolut zufällig erzeugte Passwörter speichern. So kann niemand auf Basis eines Passworts andere erraten, weil sie einer nachvollziehbaren Regel folgen. Dafür speichert man mit Programmen wie Keepass alle Passwörter an einem Ort, geschützt von nur einem Master-Passwort - auch das ist riskant.

Deshalb nutzt Sicherheitsforscher Gilbert Wondracek von der Technischen Universität Wien eine Bilderegel statt Software. Er merkt sich ein Grund-Passwort und erweitert es für jeden Dienst um einige Zeichen, die auf dem Servicenamen basieren (eine Anleitung für solche Legeregeln finden Sie hier). Diese Methode hat einen Nachteil: Wenn ein Mensch solche Passwörter analysiert, erkennt er vielleicht die Bilderegel. Vor gezielten Hacks schützt sie also nicht, aber immerhin verzögert sie automatisierte Angriffe, bei denen lediglich erbeutete Logins bei anderen Diensten durchprobiert werden.

So merkt man sich ein sicheres Grundpasswort

Auch wenn man sich für einen Passwort-Manager wie Keepass entscheidet - zumindest das Passwort zur Entschlüsselung der Datenbank muss man sich merken. Dieses Geheimwort sollte

  • nicht in Wörterbüchern zu finden sein,
  • ein paar Sonderzeichen, Ziffern und Buchstaben in Groß- und Kleinschreibung enthalten,
  • mindestens zehn Zeichen lang sein,
  • nicht zu erraten sein, wenn man etwas über den Nutzer weiß - zum Beispiel aus Daten auf dem geklauten Smartphone oder öffentlich zugänglichen Profilen in Netzwerken.

Wie merkt man sich so ein Kunstwort? Sicherheitsforscher Gilbert Wondracek nutzt die Akronym-Methode: Man wählt einen Satz aus, den man leicht behält, zum Beispiel den Refrain eines Songs. Dann setzt man das Passwort aus den Anfangsbuchstaben zusammen und wandelt es ein wenig ab. Aus "We Could Be Heroes Just for One Day" von David Bowie könnte zum Beispiel "wW!#cCbBhHjJfFo1dD" werden. Abwechselnde Groß- und Kleinschreibung der Buchstaben, !# nach dem Subjekt, die Zahlenangabe als Ziffer - wer sich ein solches System selbst überlegt, merkt es sich in der Regel auch gleich. Und für Außenstehende ist es schwer zu knacken.

Informatiker Thorsten Holz empfiehlt, inspiriert von einem Comic, eine andere Methode: Man verknüpft mehrere willkürlich gewählte Wörter gedanklich zu einer Geschichte. Beispielsweise: Cornetto-Eis fällt vom Himmel, zwei Pinguine schnappen es sich und gehen damit in den Wald. Diese Geschichte ergibt das Rohpasswort "Himmelcornettopinguinewald". Und wer sich eine Abwandlungsregel überlegt, bringt noch eine Ziffer und Sonderzeichen unter.

Rechner sichern, Zusatzschutz aktivieren

Das beste Passwortsystem hilft aber nicht, wenn der Computer infiziert ist, an dem man sie eingibt. Sobald ein Schadprogramm Tastatureingaben und Seitenaufrufe mitschneidet, haben Angreifer Zugriff auf die sorgsam geschützten Webdienste. Gute Passwort-Systeme ersetzen nicht regelmäßige Software-Aktualisierungen und Virenschutz. Ein Passwort-System schützt auch nicht vor Phishing, wenn der Nutzer auf gefälschten Seiten sein Login selbst eingibt. In Internetcafés sollte man sich nicht bei seinen normalen Konten einloggen, in öffentlichen W-Lans auf gar keinen Fall unverschlüsselt Passwörter übertragen.

Außerdem sollte man bei allen Webdiensten zusätzlichen Schutz aktivieren, sofern der verfügbar ist:

  • Bei PayPal kann man einstellen, dass bei jedem Login ein Sicherheitsschlüssel erzeugt und per SMS verschickt wird. Nur wenn man das Passwort und den Code eintippt, kann man sich anmelden.
  • Facebook bietet einen Zusatzschutz an. Wer sich von einem unbekannten Computer oder Gerät anmeldet, muss einen Sicherheitscode eingeben.
  • Auch Google bietet eine solche Zwei-Stufen-Authentifizierung.

Der Autor auf Facebook



Forum - Diskutieren Sie über diesen Artikel
insgesamt 135 Beiträge
Alle Kommentare öffnen
Seite 1
mopsfidel 30.05.2012
1. Ein Wort an die Passwort-Experten
Von "123456" zu "wW!#cCbBhHjJfFo1dD" ist ein großer Sprung. Jeder der vorher Trivialpasswörter verwendet hat, wird nie und nimmer 16-Zeichen lange Kunstpasswörter sich ausdenken. Wieso nicht mit simplen und dennoch effektiven Passwörtern anfangen? Man bildet aus den Anfangsbuchstaben der Wörter eines Satzes ein Passwort. Beipspiel: "Cornetto-Eis fällt vom Himmel auf zwei Pinguine" ergibt das Passwort "CEfvHa2P". Meiner Meinung nach ist solch ein Passwort von der Sicherheit her völlig ausreichend.
agtrier 30.05.2012
2. Blos nicht wW!#cCbBhHjJfFo1dD
Es ist ein weit verbreiteter Irrglaube, möglichst lange und komplizierte Passwörter seien sicher. Zunächst einmal muss man sich so ein Passwort ja auch merken - wenn man es sich nicht merken kann, dann schreibt man es auf, womöglich auf einem PostIt am Monitor, und schon ist es aus mit der Sicherheit. Also: ein Passwort, das man sich merken kann ist sicherer als eins, dass man aufschreiben muss. Also gut, dann hat man sich also "wW!#cCbBhHjJfFo1dD" endlich gemerkt. Irgendwann braucht man ein zweites Passwort für Facebook, und dann noch eines für Twitter und dann noch eins für Amazon und eins für die Spiegel Online-Kommentarfunktion ... Die Versuchung ist groß, hier einfach immer das gleiche Passwort zu verwenden (vor allem, wenn es so schön lang und kompliziert, also vermeintlich "sicher" ist). Der Effekt: wenn aus irgendeinem Grund eine der Websites das Passwort "verliert" (gar nicht so unwahrscheinlich, bei der Menge an Hacker-Angriffen in letzter Zeit), dann ist mit einem Schlag das gesamte digitale Leben (einschließlich Geldbeutel, Dank Amazon "1-click") offen gelegt... Um Passwort-reuse vorzubeugen müssen Passwörter also nicht nur "merkbar" sein, sondern auch so, dass man sie logisch zwischen verschiedenen Diensten variieren kann, ohne dass dies für Dritte nachvollziehbar ist. Oder man merkt sich einfach viele verschiedene. Aber ob das bei Passwörtern wie "wW!#cCbBhHjJfFo1dD" so einfach ist, darf bezweifelt werden. Nur so ein paar Gedanken zum Thema... ag.
Layer_8 30.05.2012
3. Also...
Zitat von sysopCorbisDie unsichersten Passwörter sind leicht zu merken und deshalb sehr beliebt - aber auch leicht zu knacken. Dabei ist es gar nicht schwierig, sicherere Logins zu erfinden und zu behalten - IT-Experten erklären, wie sie sich ihre Passwörter merken. http://www.spiegel.de/netzwelt/web/0,1518,835077,00.html
...ich hab mir bei Passwörtern einen Mittelweg ausgedacht. Wenn man ein wenig Mathematikkenntnisse hat, kann man meiner Ansicht nach sich in etwa so behelfen: Sin^2(x)+Cos^2(x)=1 dies jetzt nur als Beispiel von unzählig vielen anderen (Geht natürlich auch mit Formeln aus der Physik). Was sagen jetzt die "Spezialisten" dazu. Bin für Erklärungen gerne empfänglich. Danke und mfg
chewbacca 30.05.2012
4. Brauchbar!
Ganz gute Übersicht. Ich nutze Keepass für meine wichtigen Passwörter, verschlüssle wichtige Dateien und USB-Sticks mit Truecrypt, versende wo/falls möglich alle Emails verschlüsselt (GnuPG).Dafür werde ich im Freundeskreis nur ausgelacht... Gerade bei meiner Generation der Post-Digital Natives, die sich nicht mehr mit der Technik und Funktionsweise der Informationstechnologien auseinandersetzt, sondern nurnoch konsumiert (z.B. Facebook). Fast alle meiner Freunde(darunter auch Informatik- und Technikstudenten) haben 1 Passwort für fast alles (meistens höchstens 6-8 stellig) und ändern dieses nie! Begründung: Ist doch sowieso egal, ist mir alles zu stressig!
Spassbremse 30.05.2012
5. Klassisch
Ich verwende zwar für alle Dienste unterschiedliche, komplett willkürliche Sonderzeichen/Groß/Kleinschreibungs- Zeichenfolgen, notiere mir diese aber in einem kleinen Notizbuch. Um auf dieses Zugriff zu erhalten, müsste man schon bei mir einbrechen. ;-))
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.