Sicherheit im Internet: W3cks3ln Si3 !hr Pa§§w0rt!

Schon gehört? Der 1. Februar ist Passwortwechseltag. Klingt doof, ist aber eine gute Sache: Wir zeigen Ihnen, wie Sie ein wirklich kräftiges Passwort hinbekommen.

Das Wort "Password" auf einem Computerbildschirm

Foto: PAWEL KOPCZYNSKI/ REUTERS

Zu viele von uns greifen noch immer zu den beliebten Evergreens unter den Passwörtern: zum unverwüstlichen "Passwort", zu "12345", "qwertz" oder Vornamen mit oder ohne Geburtsjahr.

Die Folge im Falle eines Hacks: kleine PC- und Smartphone-Katastrophen, die neben Geld auch Nerven kosten. Und volkswirtschaftlich gesehen Schäden in Milliardenhöhe verursachen.

Man macht es uns aber auch nicht leicht. Wir brauchen immer mehr Passwörter, und die Anforderungen steigen ständig. Je leistungsfähiger Computer werden, desto mehr Zeichen sollen unsere Passwörter umfassen (siehe Tabelle unten) und desto häufiger sollen wir sie ändern.

Aber das Problem kann man lösen.

Grundlegende Sicherheitsmaßnahmen

Zunächst sollte man die auf PC oder Smartphone vorhandenen Sicherheitsmechanismen auch nutzen (Virenscanner, Firewall, Passwort beim Booten etc.). Das erschwert schon einmal PC-Einbruch und Datendiebstahl.

Man sollte sich auch über gängige Tricks im Klaren sein, mit denen Passwörter ausgeforscht werden (z.B. Phishing-Mails). Vor allem aber sollte man Kriminellen keinen "Generalschlüssel" liefern: Wer nur ein einziges, unsicheres Passwort nutzt, riskiert, alle seine Konten offenzulegen, wenn es zum Passwortdiebstahl kommt.

So etwas ist häufiger als man denkt. Milliarden E-Mail-Passwörter sind frei käuflich in Umlauf. Nicht unwahrscheinlich, dass zum Beispiel auch Ihr privater E-Mail-Account darunter ist: Überprüfen können Sie das hier .

Passwortsicherheit: Was sollte man auf keinen Fall tun?

Immer dieselben Passwörter nutzen. Nummerieren hilft auch nicht (Passwort1, Passwort2 etc.)

Namen von Haustieren, Verwandten oder Freunden, Geburtsdaten und ähnliches nutzen

Kurze, Sinn ergebende Passwörter wählen, die sich in Lexika finden

Ab Werk vorgegebene Standardpasswörter unverändert lassen (Passwort, 1111)

Tastatur-Zeichenfolgen nutzen (1234567, qwertz)

Passwörter an den Monitor oder unter die Tastatur kleben

Passwörter aufschreiben und mit sich tragen

Passwörter online speichern, per Mail verschicken etc.

Auf keinen Fall sollte man die Autovervollständigungs- und Passwort-Verwaltungslösungen von Webbrowsern nutzen ("Wollen Sie das Passwort speichern?"). Das ist zwar bequem, aber in etwa so, als verteilte man seine Haustürschlüssel in der Gasse hinter dem Bahnhof.

Was nützt ein starkes Passwort, wenn man nur den Browser-Cache auslesen muss, um es zu erfahren? Browser merken sich alle möglichen Dinge, die sie nichts angehen. Verhindern kann man das, indem man in den Einstellungen des Browsers unter Datenschutz und Privatsphäre für Amnesie sorgt: Bei jedem Schließen des Browsers sollten alle Cookies, Formulardaten, Passwörter und die History des Browsers gelöscht werden. Automatisch.

Gibt es hundertprozentig sichere Passwörter?

Prinzipiell ist alles knackbar, es ist nur eine Frage von Rechenleistung und Zeit. Man kann aber dafür sorgen, dass eventuelle Angreifer sehr viel davon brauchen.

Viele Dienstleister verlangen heute eine Mindestpasswortlänge von acht Zeichen, aber das reicht nicht. Passwort-Hacker arbeiten mit sogenannten Brute-Force-Attacken, bei denen ein Programm jede mögliche Kombination unserer Tastaturzeichen ausprobiert.

Und wie lang dauert es dann, ein gängiges Passwort zu knacken? Vom billigen alten Gebraucht-Laptop eines kriminellen Hackers irgendwo in Wasweißichistan ausgehend, kommt man zu folgender Tabelle:

Maximale Rechenzeit eines Brute-Force-Angriffs bei einer Milliarde Schlüsseln pro Sekunde

Zahl und Art verwendeter Zeichen (Zeichenraum)	Passwort­länge 4 Zeichen		6 Zeichen		8 Zeichen		10 Zeichen		12 Zeichen
10 [0-9]	unter 1 ms	unter 1 ms	100 ms	10 Sek.	17 Min.
26 [a-z]	unter 1 Sek.	unter 1 Sek.	4 Min.	2 Tage	3 Jahre
52 [a-z + A-Z]	unter 1 Sek.	20 Sek.	15 Stunden	5 Jahre	12.400 Jahre
62 [a-z + A-Z + 0-9]	unter 1 Sek.	58 Sek.	3 Tage	27 Jahre	102.000 Jahre
96 (alles plus Sonderzeichen)	unter 1 Sek.	13 Min.	84 Tage	2108 Jahre	19 Mio. Jahre

Daten: Wikipedia
Legende:     sehr sicher   |    einigermaßen sicher   |    nicht sicher

Ein moderner Top-Rechner ist bis zu hundertmal schneller. Prinzipiell muss ein Passwort also möglichst lang und zeichenreich sein, wenn es Sicherheit bieten soll.

Wie kommt man zu sicheren Passwörtern?

IT-Experten raten zu Nonsense-Zeichenfolgen wie H8&!fby$§L:=?g4. So etwas kann sich natürlich niemand merken, der nicht Sheldon Cooper heißt. Zum Glück kann man es sich etwas leichter machen.

Das Geheimnis eines wirklich sicheren Passwortes ist Länge - nichts spricht gegen 20 Zeichen und mehr! Kombiniert man das noch mit Sonderzeichen, wird eine Festung daraus.

Beispiel: Der erste Satz eines Gedichts

Nehmen wir "Wenn nicht mehr Zahlen und Figuren Sind Schlüssel aller Kreaturen" (Novalis, 1800). So ein Satz ist ohne Zweifel lang. Sicher ist er trotzdem nicht, weil man ihn mit einer lexikalischen Methode, die sinnvolle Buchstabenkombinationen durchprüft, relativ schnell knacken könnte.

Also muss man ihn verfremden. Man könnte z.B. nur die ersten Buchstaben jedes Wortes als Passwortbestandteil nehmen:
Wenn
Nicht
Mehr
Zahlen
Und
Figuren
Sind
Schlüssel
Aller
Kreaturen
ergibt dann WnmZuFsSaK.

Vorn und hinten ein Sonderzeichen plus Zahl und die Sache wird knallhart zu knacken: +WnmZuFsSaK-78.

Zu kompliziert? Man kann es Kriminellen auch schwer machen, indem man persönliche Regeln für den Austausch von Zeichen nutzt. Die muss man sich zwar merken, aber das ist im Grunde leicht.

Regel: e = 3
Resultat: W3nnNichtM3hrZahlenUndFigur3n
Regel: i = :
Resultat: W3nnN:chtM3hrZahlenUndF:gur3n
Regel: c = (
Resultat: W3nnN:(htM3hrZahlenUndF:gur3n
Regel: a/o/u = ä/ö/ü
Resultat: W3nnN:(htM3hrZählenÜndF:gür3n

Jede zusätzliche Regel verfremdet das Ergebnis stärker. Das Beispiel ist extrem und soll nur das Prinzip verdeutlichen.

Wo kommt dieser komische "Passwortwechseltag" eigentlich her?

Was tun Medien, wenn in Sachen Nachrichten Flaute herrscht? Sie setzen selbst ein Thema - und manchmal kommt dabei sogar etwas richtig Sinnvolles heraus. Am 26. Januar 2012 ließ sich der "Gizmodo"-Redakteur Matt Buchanan den "Change your Password Day!" einfallen - ein ursprünglich als Leseraktion gedachtes Event, das sich innerhalb weniger Jahre weltweit verbreitete.

Zwischen dem "Tag der Straßenkinder" (31. Januar) und dem internationalen "Welttag der Feuchtgebiete" (2. Februar) gelegen, ist der 1. Februar nun alljährlich zum Passwortwechseltag erkoren. Und Hand aufs Herz, das ist einmal ein "Gedenktag", der tatsächlich Sinn ergibt: Unsere unsicheren Passwörter sind ein leidiges Dauerthema - und sorgen dafür, dass wir uns selbst schaden.

Vier relativ einfache, selbst aufgestellte Regeln sorgen in diesem Beispiel dafür, dass selbst ein wirklich kräftiger Rechner per Brute Force mehrere Millionen Jahre brauchen würde, um alle möglichen Kombinationen durchzutesten.

Feine Sache, Problem gelöst? Nicht ganz: Wir brauchen ja nicht eines, sondern viele Passwörter. Zig verschiedene derart verfremdete Zeilen kann sich auch kein Mensch merken.

Wie behält man den Überblick über die Vielzahl der Passwörter?

Die erste Regel: Unterscheiden Sie zwischen wichtig und weniger wichtig.

Nicht jeder Online-Account muss gesichert sein wie Fort Knox. Triviale Anwendungen, die Sie weder Geld kosten können noch Zugänge zu anderen Konten eröffnen, sichern Sie mit einem (auch mehrfach verwendbaren) Standardpasswort ab, das Sie ab und zu variieren.

Mehr Mühe verwenden Sie auf Passwörter für wichtigere Dienste, die Zugang zu persönlichen Daten, zu Möglichkeiten von Finanztransaktionen oder Einkäufen bieten: Hier kommt das Muster W3nnN:(htM3hrZählenÜndF:gür3n zum Einsatz - lang und kompliziert.

Passwort-Alternative Hardware: Auch mit USB-Dongles, Kartenlesegeräten oder Fingerabdrucksensoren lässt sich viel Sicherheit schaffen. Das ist allerdings aufwändig - und auch nicht narrensicher: Bei manchen Geräten lässt sich das Fingerabdruckverfahren mitunter sogar von einem Ausdruck auf Papier austricksen

Foto: Christoph Dernbach/ picture alliance / dpa

Doch selbst derart sortiert kommen in der Regel zu viele Passwörter zusammen, um sie alle im Kopf zu behalten. Da hilft nur eines: Man muss sie irgendwie dokumentieren.

Die analoge Methode: Sie notieren Ihre Passwörter in einem nur dafür vorgesehenen Notizbuch, das Sie sicher und nicht in der Nähe des PC verwahren.

Die digitale Methode beruht auf sogenannten Passwort-Managern. Das sind Dienste oder Apps, in denen man seine jeweils aktuellen Passwörter in verschlüsselter Form hinterlegen kann. Jetzt kommt der Witz: Um an so gespeicherte Passwörter zu kommen, braucht man wiederum ein Passwort.

Das sollte natürlich so lang, kompliziert und darum mächtig sein wie W3nnN:(htM3hrZählenÜndF:gür3n. Selbst im Falle eines Datendiebstahls wäre die verschlüsselte Passwortdatenbank damit für den Dieb nutzlos, weil nicht entschlüsselbar.

Aber aufgepasst: Bei dieser Lösung wird das komplizierte Langpasswort zum Generalschlüssel für alle anderen Passwörter - es sollte entsprechend gut sein, periodisch gewechselt und sicher verwahrt werden.

Als vertrauenswürdige Dienste gelten zum Beispiel

• KeePass  (wird vom Bundesamt für Sicherheit in der Informationstechnik empfohlen)
• 1Password 
• DashLane 
• Enpass 
• LastPass 

P.S.: W3nnN:(htM3hrZählenÜndF:gür3n ist durch diese Veröffentlichung kein sicheres Passwort mehr. Sicher ist nur, was man sich selbst ausdenkt - und das gilt natürlich auch für die Regeln, mit denen man seine Passworte verfremdet.