Sicherheit im Internet W3cks3ln Si3 !hr Pa§§w0rt!

Schon gehört? Der 1. Februar ist Passwortwechseltag. Klingt doof, ist aber eine gute Sache: Wir zeigen Ihnen, wie Sie ein wirklich kräftiges Passwort hinbekommen.
Das Wort "Password" auf einem Computerbildschirm

Das Wort "Password" auf einem Computerbildschirm

Foto: REUTERS

Zu viele von uns greifen noch immer zu den beliebten Evergreens unter den Passwörtern: zum unverwüstlichen "Passwort", zu "12345", "qwertz" oder Vornamen mit oder ohne Geburtsjahr.

Die Folge im Falle eines Hacks: kleine PC- und Smartphone-Katastrophen, die neben Geld auch Nerven kosten. Und volkswirtschaftlich gesehen Schäden in Milliardenhöhe verursachen.

Man macht es uns aber auch nicht leicht. Wir brauchen immer mehr Passwörter, und die Anforderungen steigen ständig. Je leistungsfähiger Computer werden, desto mehr Zeichen sollen unsere Passwörter umfassen (siehe Tabelle unten) und desto häufiger sollen wir sie ändern.

Aber das Problem kann man lösen.

Grundlegende Sicherheitsmaßnahmen

Zunächst sollte man die auf PC oder Smartphone vorhandenen Sicherheitsmechanismen auch nutzen (Virenscanner, Firewall, Passwort beim Booten etc.). Das erschwert schon einmal PC-Einbruch und Datendiebstahl.

Man sollte sich auch über gängige Tricks im Klaren sein, mit denen Passwörter ausgeforscht werden (z.B. Phishing-Mails). Vor allem aber sollte man Kriminellen keinen "Generalschlüssel" liefern: Wer nur ein einziges, unsicheres Passwort nutzt, riskiert, alle seine Konten offenzulegen, wenn es zum Passwortdiebstahl kommt.

So etwas ist häufiger als man denkt. Milliarden E-Mail-Passwörter sind frei käuflich in Umlauf. Nicht unwahrscheinlich, dass zum Beispiel auch Ihr privater E-Mail-Account darunter ist: Überprüfen können Sie das hier .

Passwortsicherheit: Was sollte man auf keinen Fall tun?

Gibt es hundertprozentig sichere Passwörter?

Prinzipiell ist alles knackbar, es ist nur eine Frage von Rechenleistung und Zeit. Man kann aber dafür sorgen, dass eventuelle Angreifer sehr viel davon brauchen.

Viele Dienstleister verlangen heute eine Mindestpasswortlänge von acht Zeichen, aber das reicht nicht. Passwort-Hacker arbeiten mit sogenannten Brute-Force-Attacken, bei denen ein Programm jede mögliche Kombination unserer Tastaturzeichen ausprobiert.

Und wie lang dauert es dann, ein gängiges Passwort zu knacken? Vom billigen alten Gebraucht-Laptop eines kriminellen Hackers irgendwo in Wasweißichistan ausgehend, kommt man zu folgender Tabelle:

Maximale Rechenzeit eines Brute-Force-Angriffs bei einer Milliarde Schlüsseln pro Sekunde

Zahl und Art verwendeter Zeichen (Zeichenraum) Passwort­länge 4 Zeichen 6 Zeichen 8 Zeichen 10 Zeichen 12 Zeichen
10
[0-9]
 unter 1 ms  unter 1 ms  100 ms  10 Sek.  17 Min.
26
[a-z]
 unter 1 Sek.  unter 1 Sek.  4 Min.  2 Tage  3 Jahre
52
[a-z + A-Z]
 unter 1 Sek.  20 Sek.  15 Stunden  5 Jahre  12.400 Jahre
62
[a-z + A-Z + 0-9]
 unter 1 Sek.  58 Sek.  3 Tage  27 Jahre  102.000 Jahre
96
(alles plus Sonderzeichen)
 unter 1 Sek.  13 Min.  84 Tage  2108 Jahre  19 Mio. Jahre
Daten: Wikipedia
Legende:     sehr sicher   |    einigermaßen sicher   |    nicht sicher

Ein moderner Top-Rechner ist bis zu hundertmal schneller. Prinzipiell muss ein Passwort also möglichst lang und zeichenreich sein, wenn es Sicherheit bieten soll.

Wie kommt man zu sicheren Passwörtern?

IT-Experten raten zu Nonsense-Zeichenfolgen wie H8&!fby$§L:=?g4. So etwas kann sich natürlich niemand merken, der nicht Sheldon Cooper heißt. Zum Glück kann man es sich etwas leichter machen.

Das Geheimnis eines wirklich sicheren Passwortes ist Länge - nichts spricht gegen 20 Zeichen und mehr! Kombiniert man das noch mit Sonderzeichen, wird eine Festung daraus.

Beispiel: Der erste Satz eines Gedichts

Nehmen wir "Wenn nicht mehr Zahlen und Figuren Sind Schlüssel aller Kreaturen" (Novalis, 1800). So ein Satz ist ohne Zweifel lang. Sicher ist er trotzdem nicht, weil man ihn mit einer lexikalischen Methode, die sinnvolle Buchstabenkombinationen durchprüft, relativ schnell knacken könnte.

Also muss man ihn verfremden. Man könnte z.B. nur die ersten Buchstaben jedes Wortes als Passwortbestandteil nehmen:
Wenn
Nicht
Mehr
Zahlen
Und
Figuren
Sind
Schlüssel
Aller
Kreaturen
ergibt dann WnmZuFsSaK.

Vorn und hinten ein Sonderzeichen plus Zahl und die Sache wird knallhart zu knacken: +WnmZuFsSaK-78.

Zu kompliziert? Man kann es Kriminellen auch schwer machen, indem man persönliche Regeln für den Austausch von Zeichen nutzt. Die muss man sich zwar merken, aber das ist im Grunde leicht.

Regel: e = 3
Resultat: W3nnNichtM3hrZahlenUndFigur3n
Regel: i = :
Resultat: W3nnN:chtM3hrZahlenUndF:gur3n
Regel: c = (
Resultat: W3nnN:(htM3hrZahlenUndF:gur3n
Regel: a/o/u = ä/ö/ü
Resultat: W3nnN:(htM3hrZählenÜndF:gür3n

Jede zusätzliche Regel verfremdet das Ergebnis stärker. Das Beispiel ist extrem und soll nur das Prinzip verdeutlichen.

Wo kommt dieser komische "Passwortwechseltag" eigentlich her?

Vier relativ einfache, selbst aufgestellte Regeln sorgen in diesem Beispiel dafür, dass selbst ein wirklich kräftiger Rechner per Brute Force mehrere Millionen Jahre brauchen würde, um alle möglichen Kombinationen durchzutesten.

Feine Sache, Problem gelöst? Nicht ganz: Wir brauchen ja nicht eines, sondern viele Passwörter. Zig verschiedene derart verfremdete Zeilen kann sich auch kein Mensch merken.

Wie behält man den Überblick über die Vielzahl der Passwörter?

Die erste Regel: Unterscheiden Sie zwischen wichtig und weniger wichtig.

Nicht jeder Online-Account muss gesichert sein wie Fort Knox. Triviale Anwendungen, die Sie weder Geld kosten können noch Zugänge zu anderen Konten eröffnen, sichern Sie mit einem (auch mehrfach verwendbaren) Standardpasswort ab, das Sie ab und zu variieren.

Mehr Mühe verwenden Sie auf Passwörter für wichtigere Dienste, die Zugang zu persönlichen Daten, zu Möglichkeiten von Finanztransaktionen oder Einkäufen bieten: Hier kommt das Muster W3nnN:(htM3hrZählenÜndF:gür3n zum Einsatz - lang und kompliziert.

Passwort-Alternative Hardware: Auch mit USB-Dongles, Kartenlesegeräten oder Fingerabdrucksensoren lässt sich viel Sicherheit schaffen. Das ist allerdings aufwändig - und auch nicht narrensicher: Bei manchen Geräten lässt sich das Fingerabdruckverfahren mitunter sogar von einem Ausdruck auf Papier austricksen

Passwort-Alternative Hardware: Auch mit USB-Dongles, Kartenlesegeräten oder Fingerabdrucksensoren lässt sich viel Sicherheit schaffen. Das ist allerdings aufwändig - und auch nicht narrensicher: Bei manchen Geräten lässt sich das Fingerabdruckverfahren mitunter sogar von einem Ausdruck auf Papier austricksen

Foto: Christoph Dernbach/ picture alliance / dpa

Doch selbst derart sortiert kommen in der Regel zu viele Passwörter zusammen, um sie alle im Kopf zu behalten. Da hilft nur eines: Man muss sie irgendwie dokumentieren.

Die analoge Methode: Sie notieren Ihre Passwörter in einem nur dafür vorgesehenen Notizbuch, das Sie sicher und nicht in der Nähe des PC verwahren.

Die digitale Methode beruht auf sogenannten Passwort-Managern. Das sind Dienste oder Apps, in denen man seine jeweils aktuellen Passwörter in verschlüsselter Form hinterlegen kann. Jetzt kommt der Witz: Um an so gespeicherte Passwörter zu kommen, braucht man wiederum ein Passwort.

Das sollte natürlich so lang, kompliziert und darum mächtig sein wie W3nnN:(htM3hrZählenÜndF:gür3n. Selbst im Falle eines Datendiebstahls wäre die verschlüsselte Passwortdatenbank damit für den Dieb nutzlos, weil nicht entschlüsselbar.

Aber aufgepasst: Bei dieser Lösung wird das komplizierte Langpasswort zum Generalschlüssel für alle anderen Passwörter - es sollte entsprechend gut sein, periodisch gewechselt und sicher verwahrt werden.

Als vertrauenswürdige Dienste gelten zum Beispiel

P.S.: W3nnN:(htM3hrZählenÜndF:gür3n ist durch diese Veröffentlichung kein sicheres Passwort mehr. Sicher ist nur, was man sich selbst ausdenkt - und das gilt natürlich auch für die Regeln, mit denen man seine Passworte verfremdet.