Tipps für sichere Passwörter

Am von Felix Bauer

Sicheres Passwort

Sie stehen zwischen Kriminellen und ganz persönlichen Daten: Passwörter. Passwörter sollten möglichst sicher sein. Sehr sichere Passwörter sind zugegeben allerdings auch schwer zu merken. Kaum jemand kann sich „Zdj78Lk$$$“ merken. Es gibt natürlich diese Tricks, dass man sich ganze Sätze im Kopf aufschreibt und dann nur die Anfangsbuchstaben nimmt. Aber auch das ist für viele Nutzer ein eher ungeliebter Denksport.

Hier gebe ich ein paar Tipps zum Thema „sichere Passwörter“ .

So versuchen Hacker Passwörter zu knacken

Internetkriminelle versuchen aktuell vor allem zwei Wege, um Passwörter zu knacken. Bei der so genannten Brute-Force-Attacke probiert eine Software in Sekundenbruchteilen bereits gehackte Passwörter und Wörterbucheinträge durch. Auch diverse Abwandlungen und Kombinationen von Wörtern mit Zahlen oder Tastatursymbolen können so „erraten“ werden.

Bei der zweiten Variante hacken Kriminelle die Datenzentren etwa von Maildiensten oder sozialen Netzwerken. Dort versuchen sie dann die verschlüsselten Passwörter der Nutzer auszulesen. Hat man ein einfaches, kurzes Passwort, kommen die Hacker da schnell drauf. Und die werden dann von den Kriminellen eher verwendet als etwa ein sicheres Passwort, das man nur mit viel Aufwand knacken kann.

Was ist ein sicheres Passwort? Wichtige Regeln

Sichere Kennwörter sind ein Mix aus kleinen und groß geschriebenen Buchstaben, aus Zahlen und Sonderzeichen. Außerdem tauchen sie am besten nicht im Duden auf.

  • Ein 10-stelliges Passwort (Sonderzeichen, Groß- und Kleinschreibung, Zahlen).
  • Keine Namen und Geburtsdaten.
  • Keine Muster der Tastatur wie z. B. „asdfg“.
  • Nichts, was man ungeändert in einem Wörterbuch oder einem Lexikon finden kann.
  • Nutzen Sie unterschiedliche Passwörter für unterschiedliche Anbieter/Dienste.

Der schnellste Rechner weltweit rechnet derzeit zwei Milliarden Passwort-Kombinationen pro Sekunde durch. Passwort-Kombinationen ab zehn Zeichen aufwärts sind damit sicher. Denn dann bräuchte selbst der schnellste Computer mehrere Jahre oder gar Jahrzehnte, zum knacken.

Auf der Internetseite https://howsecureismypassword.net/ kann die Wirksamkeit von Passwörtern getestet werden.

Unterschiedliche Passwörter verwenden

„Benutzen Sie für jede Anwendung ein anderes Kennwort“. Diese Empfehlung finden Sie überall dort, wo es um sichere Kennwörter geht – auch hier. Denn wenn Sie nur ein Kennwort für alles verwenden, dann kann ein Dieb sich bei allem frei bedienen, was Sie im Computer oder online benutzen.

Stellen Sie sich vor: Sie benutzen das gleiche Kennwort für den Zugang zu Ihrem Computer zu Hause und bei Ihrer Arbeit, Ihren E-Mail-Zugang, Ihr Online-Banking, für alle sozialen Netzwerke und so weiter. Und nun stiehlt jemand Ihr Kennwort. Der Dieb kann nun auf alles zugreifen. Er kann Ihren Computer von außen fernsteuern, Ihre Daten und E-Mails auf Kreditkartennummern oder weitere sensible Informationen durchsuchen, auf Ihr Online-Bankkonto zugreifen, und so weiter.

Die Kehrseite der Empfehlung ist offensichtlich: Man kann sich nur wenige, sichere Kennwörter merken. Selbst mit den verschiedenen Methoden klappt es lediglich, sich vielleicht zehn Kennwörter zu merken. Dagegen steht die Vielzahl von Gelegenheiten (Online-Dienste, Computerzugang usw.), für die man sich jeweils ein eigenes Kennwort merken soll. Zwanzig oder mehr, die jeweils ein sicheres Kennwort benötigen, sind da keine Seltenheit.

Eine beliebte Methode ist es, sich die Kennwörter aufzuschreiben oder in einer Computerdatei zu speichern. Aber die Sicherheitsprobleme sind offensichtlich. Die Liste oder Datei muss für Sie einfach zugänglich sein, denn sie brauchen sie ja für jedes Kennwort. Aber lassen Sie die Liste aus Versehen offen liegen, beispielsweise im Internetcafé oder im Urlaub, und schon kann sie gestohlen oder mit einem Handy abfotografiert werden. Mit der Computerdatei ist es nicht viel anders: Durch Schadsoftware oder jemand mit Zugang zu Ihrem Computer kann Ihre Kennwortdatei ganz schnell in falsche Hände geraten.

Was also tun? Absolute Sicherheit gibt es nirgendwo! Aber es gibt Hilfsmittel, mit der Sie die Sicherheit Ihrer Kennwörter (und anderer sensibler Daten) verbessern können. Hierzu gehören Passwort-Manager. Sinnvoll eingesetzt, helfen sie Ihnen dabei, dass Sie einen komfortablen Zugriff auf Ihre Kennwörter erhalten, während Unbefugten der Zugang unmöglich ist. Je nach Produkt erhalten Sie zusätzlich weitere Funktionen, wie etwa einen Kennwortgenerator, oder den synchronisierten Zugriff auf Ihre Kennwörter über mehrere Computer oder mobile Geräte hinweg.

Passwort-Manager

Immer mehr Nutzer setzen auf so genannte Passwort-Manager wie LastPass, 1Passwort, oder KeePass. Die Programme speichern sensible Daten wie Logins und Kennwörter verschlüsselt auf der Festplatte des Computers. Per Master-Passwort loggt man sich in den Passwort-Safe ein. Im Safe selbst lagern dann alle Passwörter für Facebook, GMX, Onlinebanking und Co.

Per Master-Passwort schützen Sie Ihre Kennwörter

Zudem bieten Passwort-Manager die Möglichkeit, mit einem Generator besonders schwer zu knackende Passwörter zu generieren.

Anlegen eines neuen Eintrags. Der Passwort-Generator generiert automatisch ein sicheres Passwort.

Das alles steht und fällt natürlich mit dem Master-Passwort, das sehr sicher sein muss. Einige Programme setzen zusätzlich auf Schutzmethoden wie eine Zwei-Faktor-Identifizierung.

Übrigens sind einige Virenscanner (Avast, Bitdefender, Kaspersky) mit einem Passwort-Manager ausgestattet.

Meine persönlichen Auswahlkriterien

Vor einer Weile stand ich nun selbst vor dem Problem, mich für einen Passwortmanager entscheiden zu wollen. Natürlich hätte ich gerne die sprichwörtliche „eierlegende Wollmilchsau“ unter den Kennwortverwaltern gehabt. Aber die gibt es natürlich nicht. Also habe ich mir anhand der Erfahrungen der vergangenen Jahre überlegt, welchen Anforderungen ein für mich geeigneter Passwortmanager haben sollte. Und so sah meine Wunschliste aus:

  • Passwörter sollten verschlüsselt gespeichert werden und erst nach Eingabe eines Master-Passworts zugänglich sein.
  • Viele komplizierte Passwörter sollten unterstützt werden.
  • Das Backup der gespeicherten Passwörter sollte unkompliziert und zuverlässig möglich sein.
  • Das Programm sollte sichere Passwörter generieren können.
  • Es sollte kein neues Programm sein, sondern eines, das schon seit ein par Jahren im Einsatz ist – und mutmaßlich noch ein paar Jahre gepflegt werden wird.
  • Der praktische Umgang mit gespeicherten Passwörtern sollte sicher und möglichst einfach sein.
  • Der Passwortmanager sollte möglichst mehrere Plattformen, darunter Windows und Mac OS, unterstützen.
  • Wenn möglich, sollte das Programm außer Kennwörtern auch andere Informationen verwalten können, die ähnliche Funktionen erfüllen. Dabei dachte ich vor allem an Seriennummern und Aktivierungsschlüssel für Software. Im Grunde wollte ich damit einigermaßen bequem verwalten können, welche Software wann und in welcher Version auf welchem Computer/Betriebssystem bzw. dort deinstalliert wurde.
  • Das Programm sollte, wenn möglich Open Source, kostenlos, oder zumindest nicht übermäßig teuer sein.

Ich bevorzuge den Passwort-Manager „KeePass“. Dieses Tool ist kostenlos und „Open Source“. Das bedeutet, dass der Programmiercode einsehbar ist. Das BSI hat die Software auf Hintertürchen und Schwachstellen untersucht und für gut und sicher befunden. KeyPass verwendet einen guten und aktuellen Verschlüsselungsalgorithmus. Ich rate dringend davon ab, sich irgendwelche, möglicherweise zwielichtige Passwort-Apps aus zweifelhaften Quellen zu installieren.

Gute Passwörter schützen bei Trojanern und Viren nicht

In einem Fall bringt auch das sicherste Passwort nichts: Späht ein Trojaner oder ein Virus die Passwörter beim Eintippen auf dem heimischen PC aus, kann jedes Passwort in falsche Hände geraten. Das können Hacker einfach mitlesen und dann auch nutzen. Dasselbe ist beim Phishing der Fall, bei dem Nutzer auf speziell präparierte Seiten gelockt werden und dort ihre Daten eingeben sollen. Das beste Passwort ist also nur so sicher, wie es auch der eigene Rechner ist.

Bei Windows-PCs sind Virenscanner Pflicht!

Fazit

Nur mit einem möglichst sicheren und für alle Zugänge auch individuellen Kennwort können es die Nutzer Hackern schwer machen. Einfache Passwörter knacken Hacker innerhalb von Sekunden. Eine Alternative zu Passwort-Denksport und lustigen Eselsbrücken sind Managerprogramme.

Sobald ein PC mit einer Schadsoftware infiziert ist, können Passwörter unter Umständen ausgespäht werden. Ein guter Virenscanner ist daher sehr empfehlenswert. Wirklich hundertprozentigen Virenschutz bedeutet das zwar noch immer nicht, aber zumindest schon ein deutlich höheres Schutzpotenzial.

Felix Bauer
Felix Bauer
Felix Bauer ist IT-Security Consultant und IT Fachjournalist (Themen: Tech, IT-Sicherheit und Datenschutz). Felix Bauer ist seit 20 Jahren in der IT-Sicherheitsbranche tätig. Sein Hauptschwerpunkt liegt auf dem Thema „Virenschutz für Endanwender“. Felix Bauer ist OpenSource-Evangelist und besitzt den Master of Science in Security and Forensic Computing. Felix Bauer hat bereits an zahlreichen IT-Sicherheitskonferenzen und sonstigen IT-Sicherheitstagungen teilgenommen und diverse professionelle Qualifikationen im Bereich IT-Sicherheit erworben. Er ist Mitbegründer des Projekts bleib-Virenfrei.