Ratgeber Passwörter Lieber wW!#cCbBhHjJfFo1dD als 123456

Die unsichersten Passwörter sind leicht zu merken und deshalb sehr beliebt - aber auch leicht zu knacken. Dabei ist es gar nicht schwierig, sicherere Logins zu erfinden und zu behalten - IT-Experten erklären, wie sie sich ihre Passwörter merken.
Computer im Visier: Angreifer suchen nach Passwörtern - auf Servern und Privatrechnern

Computer im Visier: Angreifer suchen nach Passwörtern - auf Servern und Privatrechnern

Foto: Corbis

MilitarySingles.com ist eine Dating-Plattform für US-Soldaten, Kunden mit einem gewissen Bewusstsein für Risiken im Netz. Das meistgenutzte Passwort der Kunden war dennoch: "123456", gefolgt von "Password", "iloveyou" und "military".

Dass viele Mitglieder des Kennenlern-Portals derart unsichere Passwörter nutzten, weiß man, weil im Frühjahr Unbekannte die Datenbank knackten und Login-Daten veröffentlichten. Bei MilitarySingles haben zwei Tatsachen die Entschlüsselung erleichtert: Erstens war die Mehrheit der Passwörter in Wörterbüchern zu finden; zweitens verschlüsselte sie der Anbieter mit einem veralteten Verfahren, wie aus einer nun veröffentlichten Analyse  hervorgeht.

Die Lehre daraus: Nutzer sollten bei Webdiensten komplexe Passwörter nutzen - und bei jedem Angebot ein völlig anderes. Schließlich kann man nicht verhindern, dass eine Firma schlampt. Und wenn Angreifer das Login für die Mailbox erbeuten, sollten sie nicht gleich auch Zugriff auf die Konten bei Ebay und Facebook haben, weil man überall dasselbe Passwort nutzt. Aber wie kann man sich für jeden Webdienst ein anderes Passwort merken?

Lieber nicht im Browser speichern

Es gibt keine einfache Lösung dieses Problems. Informatiker und Sicherheitsberater vertrauen keinesfalls der Passwort-Speicherfunktion von Webbrowsern. Thorsten Holz, Professor für Systemsicherheit an der Ruhr-Universität Bochum, speichert im Browser nur "unwichtige" Passwörter. Also zum Beispiel Konten, die man anlegen muss, um die kostenfreie Testversion einer Software aus dem Netz laden zu können.

Passwort-Manager richtig nutzen

Holz nutzt wie einige seiner Kollegen auch die kostenlose Open-Source-Software Keepass , ein spezielles Programm zur Verwaltung von Passwörtern. Keepass erzeugt pro Dienst ein zufälliges Passwort. Alle Logins werden verschlüsselt auf der Festplatte gespeichert, geschützt von einem Master-Passwort. Man sollte aber nicht alle seine Passwörter in dieser Datenbank ablegen, selbst wenn sie verschlüsselt ist. Denn wenn ein Angreifer an die verschlüsselte Passwort-Datenbank kommt und das Master-Passwort kennt, hat er plötzlich Zugang zu allen Diensten. Informatiker Thorsten Holz rät: "Man muss die Datenbank schützen - und das Master-Passwort sollte sehr schwer zu raten sein."

Stefan Köpsell, Entwickler des Anonymisierungsdienstes JAP, nutzt auch den Passwort-Manager Keepass, aber nur für Passwörter, "die wichtig sind, bei denen aber der Verlust noch verkraftbar ist". Passwörter für Anwendungen wie Online-Banking speichert Köpsell nicht auf einem Rechner, sondern auf Papier. Er ist der Ansicht, dass es im privaten Umfeld wahrscheinlicher sein dürfte, dass ein Angreifer Schadsoftware auf dem Rechner platziert und so an die Passwörter gelangt, als dass er sich Zugriff zur Wohnung verschafft und den Zettel unter der Tastatur kopiert.

Merken statt Speichern

Ob man einer Passwort-Datenbank überhaupt vertraut, muss jeder selbst entscheiden. Für die Datenbank spricht: Man kann darin komplett unterschiedliche, absolut zufällig erzeugte Passwörter speichern. So kann niemand auf Basis eines Passworts andere erraten, weil sie einer nachvollziehbaren Regel folgen. Dafür speichert man mit Programmen wie Keepass alle Passwörter an einem Ort, geschützt von nur einem Master-Passwort - auch das ist riskant.

Deshalb nutzt Sicherheitsforscher Gilbert Wondracek von der Technischen Universität Wien eine Bilderegel statt Software. Er merkt sich ein Grund-Passwort und erweitert es für jeden Dienst um einige Zeichen, die auf dem Servicenamen basieren (eine Anleitung für solche Legeregeln finden Sie hier). Diese Methode hat einen Nachteil: Wenn ein Mensch solche Passwörter analysiert, erkennt er vielleicht die Bilderegel. Vor gezielten Hacks schützt sie also nicht, aber immerhin verzögert sie automatisierte Angriffe, bei denen lediglich erbeutete Logins bei anderen Diensten durchprobiert werden.

So merkt man sich ein sicheres Grundpasswort

Auch wenn man sich für einen Passwort-Manager wie Keepass entscheidet - zumindest das Passwort zur Entschlüsselung der Datenbank muss man sich merken. Dieses Geheimwort sollte

  • nicht in Wörterbüchern zu finden sein,
  • ein paar Sonderzeichen, Ziffern und Buchstaben in Groß- und Kleinschreibung enthalten,
  • mindestens zehn Zeichen lang sein,
  • nicht zu erraten sein, wenn man etwas über den Nutzer weiß - zum Beispiel aus Daten auf dem geklauten Smartphone oder öffentlich zugänglichen Profilen in Netzwerken.

Wie merkt man sich so ein Kunstwort? Sicherheitsforscher Gilbert Wondracek nutzt die Akronym-Methode: Man wählt einen Satz aus, den man leicht behält, zum Beispiel den Refrain eines Songs. Dann setzt man das Passwort aus den Anfangsbuchstaben zusammen und wandelt es ein wenig ab. Aus "We Could Be Heroes Just for One Day" von David Bowie könnte zum Beispiel "wW!#cCbBhHjJfFo1dD" werden. Abwechselnde Groß- und Kleinschreibung der Buchstaben, !# nach dem Subjekt, die Zahlenangabe als Ziffer - wer sich ein solches System selbst überlegt, merkt es sich in der Regel auch gleich. Und für Außenstehende ist es schwer zu knacken.

Informatiker Thorsten Holz empfiehlt, inspiriert von einem Comic , eine andere Methode: Man verknüpft mehrere willkürlich gewählte Wörter gedanklich zu einer Geschichte. Beispielsweise: Cornetto-Eis fällt vom Himmel, zwei Pinguine schnappen es sich und gehen damit in den Wald. Diese Geschichte ergibt das Rohpasswort "Himmelcornettopinguinewald". Und wer sich eine Abwandlungsregel überlegt, bringt noch eine Ziffer und Sonderzeichen unter.

Rechner sichern, Zusatzschutz aktivieren

Das beste Passwortsystem hilft aber nicht, wenn der Computer infiziert ist, an dem man sie eingibt. Sobald ein Schadprogramm Tastatureingaben und Seitenaufrufe mitschneidet, haben Angreifer Zugriff auf die sorgsam geschützten Webdienste. Gute Passwort-Systeme ersetzen nicht regelmäßige Software-Aktualisierungen und Virenschutz. Ein Passwort-System schützt auch nicht vor Phishing, wenn der Nutzer auf gefälschten Seiten sein Login selbst eingibt. In Internetcafés sollte man sich nicht bei seinen normalen Konten einloggen, in öffentlichen W-Lans auf gar keinen Fall unverschlüsselt Passwörter übertragen.

Außerdem sollte man bei allen Webdiensten zusätzlichen Schutz aktivieren, sofern der verfügbar ist:

  • Bei PayPal kann man einstellen, dass bei jedem Login ein Sicherheitsschlüssel  erzeugt und per SMS verschickt wird. Nur wenn man das Passwort und den Code eintippt, kann man sich anmelden.
  • Facebook bietet einen Zusatzschutz  an. Wer sich von einem unbekannten Computer oder Gerät anmeldet, muss einen Sicherheitscode eingeben.
  • Auch Google bietet eine solche Zwei-Stufen-Authentifizierung.