Welche Kriterien muss ein sicheres Passwort erfüllen?
Zugangsdaten gehen keinen Dritten etwas an. Verraten Sie niemanden Ihr Passwort! Egal, ob derjenige Administrator von einem Netzwerk ist oder sich der Gegenüber als der Shop-Betreiber oder Ihre Online-Bank ausgibt, die aus welchen Gründen auch immer Ihre Login-Daten benötigen. Auch das Klicken von Links aus E-Mails, in denen der vermeintliche Absender zur Anmeldung auf einer Webseite auffordert, sollte tabu sein.
Seiteninhalte
Was ist ein sicheres Passwort?
Ein sicheres Passwort sollte von nahestehenden Personen nicht erratbar sein! Das heißt, dass Namen von Familienmitgliedern, Haustieren oder Kosenamen, Geburtsdaten, KfZ-Kennzeichen usw. – auch nicht in Kombination miteinander – als sicher anzusehen sind. Natürlich auch keine Zahlenfolgen wie „123456“, einfache Zeichenketten wie „qwertz“ oder gar Begriffe wie „passwort“ oder „geheim“.
Ebenso wenig Begriffe, die in einem Wörterbuch oder Lexikon stehen (könnten). Programme zum Passwortknacken greifen sehr gern auf Lexika, Duden, Namensbücher oder ähnliche Daten zurück und probieren einfach alle dort enthalten Begriffe nacheinander aus. Eine solche Bruteforce-Attacke wäre für uns Menschen an der Tastatur sicher nicht beherrschbar, aber ein Computer-Programm versucht es einfach tausende Male pro Sekunde – wenn sein muss auch über sehr lange Zeiträume.
So legen Sie sich ein sicheres Passwort an
Es gibt eine Reihe oft kostenfreier Programme, die unter den Namen Passwort-Manager, Passwort-Safe oder Passwort-Verwaltung weit verbreitet sind. Diese gibt es für Windows, Android, MacOS und Linux. Eine Auswahl gängiger Passwort-Verwaltungstools finden Sie hier auf Mein-Login.info.
Diese speichern nicht nur Ihre Zugangsdaten, sondern sorgen durch ein Masterpasswort und einer Verschlüsselung Ihrer Daten für eine sehr vertrauensvolle Sicherung von Login-Informationen. Zudem lassen sich mit den meisten Programmen auch sichere und zufällige Passwörter generieren, die man sich als Mensch aber eher nicht merken kann.
Der sicherste Ort für ein Passwort ist natürlich immer noch im Kopf!
Sich ein oder mehrere gute Passwörter merken ist sicherlich die beste Lösung! Ein gutes Passwort besteht aus einer Kombination von Buchstaben, Zahlen und Sonderzeichen. Wenn möglich greifen Sie zudem noch deutsche Umlaute (ä, ü, ö und ß) zurück. Außerdem sollte es möglichst lang sein. 8 Zeichen sind schon mal nett, 11 oder noch mehr sind natürlich besser.
Zum Merken bietet sich ein Satz an, den es sich ins Gedächtnis zu brennen gilt. Das kann eine Zeile aus Ihrem Lieblingslied oder ein Kinderreim sein. Auch ein für Sie wichtiges Zitat, Buchtitel usw. funktioniert bestens.
Beispiel/ Methode für ein gutes und merkbares Passwort
Nehmen Sie den Satz
Das ist mein sicheres Passwort, an das kommt niemand ran!
Aus den Anfangsbuchstaben ergibt sich die Buchstabenkombination
dimspadknr
Achten Sie nun noch auf die Groß- und Kleinschreibungen sowie auf die beiden enthalten Satzzeichen, dann ist Ihr Passwort schon mal kaum zu knacken aber doch recht gut zu merken
DimsP,adknr!
Um es nun den potentiellen Hackern noch etwas schwerer zu machen, hängen Sie einfach eine Ihnen vertraute Zahl ans das Ende. Wie wäre es mit Pi oder Ihrem Geburtsjahr? Einen deutscher Umlaut, den, wenn überhaupt, nur Angreifer aus dem deutschsprachigen Raum in ihren Hackerprogrammen haben, stellen Sie zudem noch an den Anfang. Fertig!
ÄDimsP,adknr!72
Das Passwort hat nun 15 Zeichen, sieht äußerst komplex aus und dürfte nur sehr schwer knackbar sein. Merken ließe es sich aber recht gut.
Experimentieren Sie in einem Textprogramm oder auf einem Blatt Papier einfach mal ein wenig mit dieser Methode herum. Sie werden sehen, wie schnell Sie sich eine Handvoll ausgezeichneter Passwörter generiert haben.
Reicht ein Passwort für alles aus?
Nein, natürlich nicht! Nehmen Sie für jedes Login, das Sie irgendwo nutzen, ein anderes, möglichst komplexes Passwort.
Stellen Sie sich vor, Ihr Passwort wird gestohlen. Zum Beispiel wenn (mal wieder) Hacker irgendwo auf der Welt in eine Datenbank eindringen (z.B. in einem Onlineshop) und dort Ihre Daten nicht verschlüsselt gespeichert wurden. In diesem Szenario, das immer mal wieder in den Nachrichten auftaucht, ist Ihr Passwort nicht mehr sicher. Angreifer, die hier Ihr unverschlüsseltes Passwort erbeutet haben, werden dies natürlich auf wichtigen Plattformen (Google, Amazon, Ebay, Partnervermittlung, Banken usw.) umgehend für weitere Zugänge ausprobieren.
Spätestens mit dieser Empfehlung, ein Passwort nicht mehrmals zu verwenden, kommt eins der bereits empfohlenen Passwort-Programme zum Zuge. Wer diesen nicht traut, ist letztendlich auch mit einem Heftchen (oder Zettel), das Zuhause sicher aufbewahrt wird, ganz gut beraten. Dies hat natürlich nichts in der Laptop- oder Handtasche zu suchen! Eben so wenig auf dem Schreibtisch, am Monitor oder einem anderen leicht zugänglichen Ort.
Was überhaupt nicht zu empfehlen ist, ist das Speichern von Zugangsdaten in einer unverschlüsselten Datei (Word, Excel, Text o.ä.) und bei wichtigen Zugängen ist auch das Speichern von Anmeldeinformationen im Browser keine gute Idee. Beides ließe sich durch weit verbreitete Trojaner unkompliziert ausspionieren.
Passwort knacken
Wirklich unknackbar ist am Ende kaum ein Passwort!
Mit ausreichend Zeit und einem leistungsfähigen Computer lässt sich jedes Passwort irgendwann herausfinden. Es kommt letztendlich nur darauf an, den Aufwand für das Herausfinden zu maximieren und potentielle Angreifer quasi zum Aufgeben zu bewegen.
Heiko Schröder hat den Zusammenhang von Brute-Force-Attacken und Passwortlängen bereits 2011 veröffentlicht und hier ist gut abzulesen, dass ein damaliger PC für ein 7-stelliges Passwort aus zufälligen Kleinbuchstaben gerade mal 3,83 Sekunden benötigte, um dieses herauszufinden. Bei 10 Zeichen waren es immerhin bereits 18,7 Stunden und gerade mal gut 1 Tag bei einer Kombination aus Zahlen, Klein- und Großbuchstaben mit 8 Zeichen Länge.
Die Rechengeschwindigkeit hat sich seit 2011 deutlich verbessert und selbst ein Smartphone hat heute genügend Leistung, um eine Bruteforce-Attacke binnen kürzester Zeit erfolgreich durchzuführen.
Brute-Force-Attacken verhindern
Viele Angebote im Internet, die einen Anmeldebereich anbieten und diesen mit Benutzernamen und Passwort schützen, verhindern die hier genannten Brute-Force-Angriffe dadurch, dass nach einer bestimmten Anzahl an Fehlversuchen der Zugriff gesperrt wird. Für Betreiber von Internetseiten sollte solch eine Maßnahme Standard sein – auch für redaktionelle Logins in Blogs oder Content Management Systeme. Für das weit verbreitet WordPress finden sich reichlich Tipps zum Schutz des WordPress-Logins unter wplogin.de.
Bildnachweis: https://pixabay.com/de/zensur-einschr%C3%A4nkungen-610101/