Partner von:

10 Tipps für wirklich sichere Passwörter

Quelle: jamdesign - Fotolia

Passwörter stehen für unsere digitale Identität: Wer unseren Benutzernamen und unser Passwort bei einem Dienst kennt, kann in der virtuellen Welt „wir“ sein – ohne dass dort jemand den Unterschied bemerkt. Wichtig ist daher, mit Passwörtern richtig umzugehen – zum Beispiel mit diesen 10 Tipps.

1. Nutze nur ein Passwort pro Konto

Passwörter sind wie Schlüssel: Mal angenommen, wir hätten den gleichen Schlüssel für Büro, Wohnung und Bankschließfach. Wer uns diesen Schlüssel stiehlt, hat damit auch Zugang zu allen diesen Bereichen. Beim Passwort ist es noch schlimmer: Denn immer, wenn eine Passwortdatenbank geknackt wird, gelangen Zugangsdaten in die Öffentlichkeit – E-Mail-Adresse und Passwort gleichermaßen (Beispiel-Download hier).

Automatische Hackprogramme rattern dann einfach diese geraubten Zugangsdaten bei verschiedenen Diensten von Amazon über Facebook bis Paypal durch – irgendwann wird irgendwas schon ein "Schlüssel" passen. Für die Passwort-Sicherheit bedeutet das: Du darfst kein Passwort bei zwei Diensten benutzen – jeder Dienst braucht sein eigenes Passwort.

2. Meide Phishing-Angriffe

"Phishing" ist ein Kofferwort aus "Passwort" und "Fishing": Mit dieser Methode werfen Cyberkriminelle virtuelle Netze aus, um unsere Passwörter einzufangen. Das Schema ist immer das Gleiche: Eine Mail von einem Dienst benachrichtigt das Opfer der Phishing-Attacke über ein Problem (riesige Rechnung, angebliche System-Änderung etc.; meist verbunden mit einem zeitlichen Limit) und bringt es so dazu, auf einen mitgelieferten Link zu klicken und sich anzumelden.

Der Link der Mail führt aber nicht zur Seite des Dienstes, der sich angeblich hinter der Mail verbirgt, sondern auf gefälschte Webseiten, deren einzige Funktion es ist, die bei der "Anmeldung" eingegebenen Zugangsdaten abzugreifen. Auf diese Weise gelangen sie in die falschen Hände. Schutz bietet nur, die psychologischen Tricks zu ignorieren, Dienste nur manuell aufzurufen und nur dann Zugangsdaten einzugeben. Beispiel für ein ganz klassisches PayPal-Phishing hier.

3. Mach dir klar, wie unsicher die meisten Passwörter sind

Auswertungen zeigen, dass die meisten Menschen viel zu simple Kennwörter benutzen. Diese Auswertungen sind nicht theoretisch, sie basieren meist auf gehackten Passwortdatenbanken und damit auf realen Passwörtern. Selbst wenn man über mehrere Jahre hinweg die beliebtesten Passwörter vergleicht, belegen Kennwörter wie "123456", "password" oder "qwerty" unverändert Spitzenplätze. Daraus folgt: Diese Passwörter sind absolute No-Gos!

4. Mach das Passwort lang

Passwörter zu knacken ist keine Magie, sondern Mathematik: Man probiert einfach alle möglichen Passwörter durch. Je länger ein Passwort, desto länger dauert das. Nimm das Zahlenschloss eines Reisekoffers: Bei drei Stellen zu je zehn Ziffern 0 bis 9 gibt einfach nur 1.000 (10 hoch 3) Kombinationen von 000 bis 999 – und die kann man mit etwas Geduld manuell durchprobieren. Hätte das Kofferschloss 4 Stellen, bräuchte man schon 10.000 (10 hoch 4) Versuche. Kurzum: Der Koffer wird mit jeder zusätzlichen Ziffernstelle zehn Mal sicherer (Stellenzahl hoch Möglichkeiten).

Beim Computer ist das genauso. Ein Passwort sollte daher 12 oder mehr Zeichen haben (sicher gehst du mit 20), wobei du mit gemischter Groß- und Kleinschreibung, Ziffern, Sonderzeichen wie !§$%&/()= den Möglichkeitsraum noch vergrößerst. Beim Dienst How Secure is my Password? kannst du Passwörter eingeben (nie echte verwenden, sondern nur "so ähnliche"!), um zu sehen, wie schon der Austausch eines einzigen Buchstabens durch ein Sonderzeichen sich positiv auf die Schwierigkeit auswirkt, es durch reine Rechenkraft zu erraten.

5. Ein normales Pass-"Wort" ist verboten!

Untersuchungen zeigen, dass viele Nutzer einfach irgendwelche Namen verwenden: den eigenen, den von Ehepartner, Hund, Katze oder Filmhelden ("Batman"); Bezeichnungen von Interessen, Büchern, Musiktitel, oft auch den Namen der Firma, in der man arbeitet, oder das Geburtsdatum. All diese Informationen sind leicht zu erraten, weil es eben nur eine begrenzte Zahl von Helden, Büchern, Medienhits gibt.

Sogenannte "Wörterbuch-Attacken" hacken sich automatisch in Konten, indem sie Listen populärer Begriffe abarbeiten. Will man gezielt jemanden hacken, kann man dessen Interessen via Social Media ermitteln und für den Angriff ein eigenes Wörterbuch anlegen. Für dich bedeutet das: Ein einzelnes Wort ist verboten, auch in Kombination mit Zahlen ("Batman69").

Wie das ideale Passwort aussieht

6. Passphrasen sind die besseren Passwörter

Sind also "j479tr5334e8S6Sx6g3t" und "V332s9t%54mu6t2k4n9S" die idealen Passwörter? Jain. Denn ja, sie sind als Passwörter hervorragend; aber auch nein, denn wer diese irgendwo eintippen muss, vertippt sich garantiert. Und zwar nicht einmal, sondern mehrfach, und womöglich würde man sich selbst aus seinem Konto aussperren. Besser sind daher Passphrasen aus mindestens vier, besser fünf oder mehr Wörtern, die man relativ leicht eingeben kann – die aber dennoch sehr lang sind.

"Kommando-einreichen-ohne-Bleistift-telefonieren" darf als sehr sicheres Passwort gelten, dessen Eingabe selbst auf Mobilgeräten nur mühsam, nicht jedoch fehleranfällig ist. Mathematisch gesehen erhöht man hier nicht die Zahl der Stellen, sondern die Zahl der Möglichkeiten einer Stelle (Im Beispiel: 5 Wörter = Stellen, Wortschatz des Deutschen = ca. 100.000; woraus sich 5^100.000 Kombinationen ergeben). Gemischtsprachige Phrasen sind folglich noch besser. Die Webseite Gute Passwörter hilft Fantasielosen, schnell vier oder mehr Wörter zu finden.

7. Verwende einen Passwort-Manager

So oder so wird es schwer, sich all diese Passwörter zu merken. Denn es muss ja jeder Dienst sein eigenes Passwort haben (siehe 1.), alle Kennwörter müssen kompliziert und lang sein und so weiter. Man müsste schon ein fotografisches Gedächtnis besitzen, um das in der Praxis handhaben zu können.

Ein Passwort-Manager kann dir diese Arbeit abnehmen. Er ist nichts anderes als ein Datenbankprogramm, bei dem man die Datenbank nur mithilfe eines "Master-Passworts" auslesen und beschreiben kann. Die Datenbank ist damit verschlüsselt und enthält zum Beispiel zu jeder Website einen oder mehrere Benutzernamen, E-Mail-Adressen und natürlich die Passwörter. Je nach System kann der Passwort-Manager Zugangsdaten, die du im Browser irgendwo eingibst, automatisch speichern und später automatisch in das Login-Formular eingeben.

Mit einem Passwort-Manager kannst du beliebig lange Kennwörter nutzen und musst dir nur eines merken: das Kennwort des Passwort-Managers. Manche Passwort-Datenbanken lassen sich per Cloud synchronisieren, was natürlich erfordert, dass das Master-Passwort ganz besonders lang und komplex ist. Per Cloud hat man dann aber auf allen Geräten stets alle aktuellen Passwörter dabei.

8. Nutze diese kostenlosen Passwort-Manager

Freie Tools reichen eigentlich völlig aus, sind allerdings in der Bedienung oft etwas spröde.

Ein Klassiker unter den freien Passwort-Managern ist KeePass (keepass.info). Die Software ist quelloffen und kostenlos und für Windows (auch portable), Mac und Linux ebenso zu haben wie für Android und iOS (Workshop hier: KeePass 2). Mit einigen Erweiterungen lässt sich KeePass problemlos auch mit Browsern verbinden.

Wer eine Alternative sucht, nimmt Password Safe (pwsafe.org), das ebenfalls für zahlreiche Plattformen existiert und auch kostenlos und quelloffen ist (Workshop hier: Password Safe).

Encryptr (https://spideroak.com/encryptr/) ist ein neues quelloffenes, kostenloses und cloudbasiertes Passwort-System. Es befindet sich noch in der Entwicklung, ist aber schon für Windows, Mac, Android und Linux zu haben.

9. Teste diese kommerziellen Passwort-Manager

Kommerzielle Programme bieten interessante Zusatzfunktionen oder sind einfach nur besser zu bedienen. Ihre Mobilgerät-Implementationen sind allerdings nicht immer das Gelbe vom Ei, gelegentlich fehlt Linux-Support.

Der Passwort-Manager 1Password (1password.com) kommt ursprünglich vom Mac und gilt dort als bestes Tool seiner Art. Es ist extrem nutzerfreundlich und bietet interessante Features wie Passwort-Datenbank-Backups, Passwort-Generator, Passwort-Stärke-Anzeige und vieles mehr, ist aber auch sehr teuer (50,- USD pro Plattform). Für Mac, Windows, iOS, Android; Cloud-Synchronisation ist optional.

Ebenfalls kommerziell ist das Tool LastPass (lastpass.com), das es auch für Linux und Blackberry gibt, und das auf Windows als Platzhirsch gilt. Cloud-Synchronisation ist hier ein Muss. Das Erlösmodell ist entsprechend als Abo für faire 12,- Euro pro Jahr gestaltet.

DashLane (dashlane.com) kann man kostenlos nutzen, erst erweiterte Features wie Cloud-Sync bitten zur Kasse, dafür bietet es sogar die Möglichkeit, viele Passwörter auf einmal ändern zu lassen. Passwort Depot (password-depot.de) ist extrem ausgefeilt und überzeugt mit vielen klugen Details – aber nur auf Windows (mit Clients für iOS/Android).

10. Sichere dich per Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung ersetzt Passwörter nicht, aber sie macht sie noch sicherer. Sie verwendet zwei Wege, um sicherzustellen, dass wir sind, wer wir zu sein vorgeben. Das Verfahren verbindet ganz wie die EC-Karte die Komponenten "Besitz" (der Karte) und "Wissen" (der PIN): Das "Wissen" ist dabei das Passwort, der "Besitz" zum Beispiel ein Smartphone. Nach der (halben) Anmeldung bei einem Dienst erhältst du beispielsweise eine SMS auf dein Handy oder eine Nachricht an eine App wie "Google Authenticator" oder "Authy". Sie enthält einen Code, den du zusätzlich eingeben musst, um dich mit diesem zweiten Faktor vollständig zu authentifizieren.

Auf diese Weise kann sich niemand anmelden, wenn er nur die (möglicherweise gestohlenen) Zugangsdaten samt Passwort hat. Google, Microsoft, Facebook, Twitter, Dropbox und viele andere Dienste bieten bereits die Zwei-Faktor-Authentifizierung an (manchmal auch "Anmeldebestätigung" oder "Bestätigung in zwei Schritten" genannt).

nach oben

Ohne Stil zum Erfolg? Davon kann auch heute keine Rede sein. Im Gegenteil, Etikette gewinnt wieder an Bedeutung. Was es bei der geschäftlichen Kommunikation zu beachten gibt.

Verwandte Artikel

Hol dir Karriere-Infos,

Jobs und Events

regelmäßig in dein Postfach

Kommentar (1)

Zum Kommentieren bitte einloggen.

  1. Anonym

    Es muss im Artikel 100.000^5 Kombinationen, nicht 5^100.000 heißen, oder?

Das könnte dich auch interessieren