Passwörter – selten so sicher, wie man glaubt

Passwörter – selten so sicher, wie man glaubt

Das E-Mail-Postfach, die sozialen Netzwerke, die Bankverbindung oder die privaten Fotos – fast all unsere Daten sind bequem online zu erreichen und sie alle haben eines gemeinsam: Sie werden durch Passwörter geschützt. Eine sinnvolle Angelegenheit, aber mitunter auch ungemein lästig; muss man sich all diese Passwörter doch merken. Häufig rät die Bequemlichkeit dann dazu, doch ein Passwort für alle Seiten zu nutzen. Am besten eines, das man sich auch leicht merken kann. Und weil man schon dabei ist, kann man es doch schnell automatisch speichern. Dann spart man sich beim nächsten Besuch der Seite sogar noch ein paar Handgriffe.

So weit so praktisch. Ganz anders sieht die angenehme Lage plötzlich aus, wenn Hacker ebenfalls bemerken, wie einfach man es sich gemacht hat. Wenn plötzlich über die eigene Kreditkarte für teures Geld eingekauft wird, die privaten Fotos im Netz auftauchen, fragwürdige Mails unter dem eigenen Namen an Freunde verschickt und die Profile in den sozialen Netzwerken gekapert werden.

Schaut man sich die Statistik an, ist so ein Vorgehen sogar für durchschnittlich begabte und ressourcenarme Hacker nicht schwer. Die Zahlenkombination 12346 führt seit Jahren die Hitliste der Passwörter an. Auch für Kombinationen wie „qwertz“ oder den Namen des geliebten Haustieres braucht es nicht viel Kreativität. Bequem für einen selbst, aber leider auch für jeden Cyberkriminellen.

Identitätsdiebstahl und Kreditbetrug – wenn Bequemlichkeit teuer wird

Auf der Liste der IT-Sicherheitsmängel stehen schlecht gewählte Passwörter ganz oben. Das Problem: Inzwischen sind in der Regel sämtliche Zugänge vernetzt. Bei den meisten Online-Diensten muss die E-Mail Adresse bei der Registrierung angegeben werden. Entweder als Nutzername, oder zumindest, um ein Passwort wieder herstellen zu können, wenn man es vergessen hat. Das Worst-Case Szenario liegt auf der Hand: Hacker, die sich Zugang zum E-Mail Konto verschaffen und sich so gewissermaßen ohne großen Aufwand alle weiteren Passwörter samt Zugangsdaten bequem nach Hause schicken lassen können. Da auch in den eigenen vier Wänden immer mehr Geräte vernetzt sind, können Hacker bis in unser Wohnzimmer vordringen, wenn sie sich einmal Zugang zu den Passwörtern verschafft haben. Passwörter schützen inzwischen nicht mehr nur unsere Daten. Sie schützen auch Zugänge und somit uns: Vor Identitätsdiebstahl, Missbrauch unserer virtuellen Identität und Verlust unseres Geldes. Das ist, seit Online Shopping die Regel und unsere Kreditkartendaten in diversen Onlineshops hinterlegt sind, gefährdeter denn je.

Aber wie schafft man es, sichere Passwörter für jeden Online-Dienst zu generieren, die zu kompliziert für Hacker, aber gleichzeitig einfach genug sind, damit man sie sich merken kann?

Den Hackern keine Chance bieten – so generiert man sichere Passwörter

Um seine Passwörter vor Hackern zu schützen, muss man selber denken wie einer. Denn wenn man ihre Tricks kennt, ist es auch ein Leichtes, sich vor ihren Attacken zu schützen.

Hacker knacken die Passwörter nicht selbst. In der Regel lassen sie programmierte Accounts für sich arbeiten, die innerhalb von Sekunden ganze Wörterbücher durchgehen. Diese Werkzeuge probieren bei ihren sogenannten „Wörterbuchattacken“ alle möglichen Zeichenkombinationen vollautomatisch durch und können dabei auch gängige Kombinationen aus Wörtern und Zahlen testen. Der alte Trick, einfach Buchstaben durch Zahlen zu ersetzen („d1es 1st e1n s1ch3r3s P4sswort“) bringt also nichts. Ebenso Muster nebeneinander oder untereinander liegender Buchstaben oder Ziffern, wie das beliebte „qwertz“ oder „asdfghj“. Auch wenn diese Buchstabenfolgen auf den ersten Blick sicher scheinen mögen, die Programme der Hacker kennen alle gängigen und beliebten Passwörter und müssen nur vollkommen automatisch die Listen abarbeiten.

Daraus lassen sich die folgenden Regeln ableiten:

  • Was leicht zu merken ist, ist auch leicht zu knacken
  • Keine Wörter oder einfach zu erratenden Zeichenkombinationen verwenden
  • Aus je mehr möglichen Zeichenkombinationen ein Passwort besteht, desto schwerer ist es zu knacken
  • Mischungen aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern verwenden
  • Sonderzeichen und Ziffern in der Mitte des Passwortes und nicht am Anfang oder am Ende verwenden
  • Keine Passwörter mit persönlichem Bezug wie Geburtstage oder Namen verwenden
  • Vorsicht mit Umlauten: Bei Reisen ins Ausland können sie unter Umständen auf landestypischen Tastaturen nicht eingegeben werden
  • Niemals nach dem Prinzip „knack eins und bekomm sie alle“ vorgehen: Ein und dasselbe Passwort niemals für mehrere Accounts benutzen
  • Vor allem wichtige Passwörter für Online-Banking oder E-Mail-Konten regelmäßig wechseln

Darüber hinaus kommt es auch auf die Länge an. Je kürzer ein Passwort, desto schneller kann es geknackt werden. Tests haben gezeigt, dass Brute-Force-Angriffe sogar kryptische Zeichenreihen in weniger als einer Minute knacken können, wenn sie weniger als sechs Zeichen lang sind. Grundsätzlich gilt: Ein Passwort mittlerer Sicherheit hat sechs bis acht Zeichen. Für hohe Sicherheit sollten es zwölf sein. Je sensibler die Anwendung ist, desto länger sollte es sein. Bei Finanzaccounts sollte es sechzehn Zeichen lang sein und bei bestimmten Verschlüsselungsverfahren wie WPA oder WPA2, die für WLAN genutzt werden, sogar zwanzig Zeichen, da diese auch offline geknackt werden können.

Sicher muss nicht kompliziert heißen – so merkt man sich jedes Passwort

Je komplizierter, desto besser – so viel ist klar. Doch wie merkt man sich solche Passwörter, die man nirgendwo aufschreiben sollte; vor allem, wenn man für jeden Account ein eigenes nutzen muss? Gar nicht schwer, wenn man weiß, wie es geht.

Der Trick ist, sich Eselsbrücken zu schaffen. Eine Möglichkeit ist es beispielsweise, sich einen Satz zu merken, wie eine Zeile aus dem Lieblingslied. Aus „a seven Nation Army couldn’t hold me back“, dem berühmten Ohrwurm der White Stripes aus dem Jahr 2003, könnte „a7nAc’thmb2003WS“ werden.

Auch sich für jede Seite ein eigenes Passwort zu merken ist nicht schwer, wenn man ein System hat. Ein Masterpasswort, das für alle Seiten gleich ist und mit einer accountspezifischen Ergänzung versehen wird, ist eine gute Möglichkeit.

Im oben genannten Beispiel könnte das so aussehen:
Facebook: a7nAc’thmbFB2003WS
Amazon: a7nAc’thmbAZ2003WS
Gmail: a7nAc’thmbGM2003WS

Wer sich Sorgen macht, sich die Passwörter trotzdem nicht merken zu können, kann sich die Kennungen sogar notieren – solange das Masterpasswort immer geheim bleibt. Ähnlich sollte man übrigens auch bei der Beantwortung der Sicherheitsfragen vorgehen. Die Antwort „blau“ auf die Frage nach der Lieblingsfarbe ist schnell erraten. Auf <3“Cyan“<3 kommt wohl niemand.

Letztendlich gilt auch hier die Regel: Zu viel Vertrauen schadet. Vertrauen Sie Passwortgeneratoren oder -managern aus dem Internet nur bedingt. Sie können Viren enthalten oder Ihre Passwörter abgreifen. Sicherer sind Hardware-gestützte Verfahren, die zusätzlich zu einem sicheren Passwort verwendet werden. Diese sogenannte Zwei-Faktor-Authentifizierung, die beispielsweise mit einem Fingerabdruck oder einem TAN-Gerät den Nutzer zusätzlich zur Passworteingabe identifiziert, wird von vielen Anbietern ermöglicht. Und auch wenn es bequem ist: Passwörter sollten niemals gespeichert werden. Schadsoftwares können darauf zugreifen und so Zugang zu den dazugehörigen Seiten bekommen.

Machen Sie es Hackern also so schwer wie möglich. Je höher die Hürden, desto eher wird ihnen das Handwerk gelegt. Man sollte nur wissen, wie es geht. Damit man sich am Ende nicht durch ein zu gutes Passwort selbst den Zugang verwehrt.

Bildnachweis: Fotolia_109783012: (© designer491 / Fotolia)

Christian Scherg
Christian Scherg ist Geschäftsführer der 2007 von ihm gegründeten REVOLVERMÄNNER® GmbH.
Scroll to top