Go to Top

Wie sicher ist Ihr Passwort?

Passwort

Am 1. Februar war Ändere-Dein-Passwort-Tag. Ein willkommener Grund, dieses leidige Thema wieder aufzugreifen.

Seit 2012 ruft das Technik-Blog Gizmodo zum jährlichen Wechsel von Passwörtern auf. Der Grund für eine solche Aktion liegt im immer weiter verbreiteten Hacking von Datenbanken großer Dienstanbieter wie ebay, GMX oder – ganz pikant – der italienischen Spionagesoftwarefirma „HackingTeam“. Da die meisten Nutzer sich nicht die Mühe machen, für verschiedene Anbieter eigene Passwörter zu erstellen, können mit einem Datensatz unter Umständen gleich mehrere Nutzerkonten bei unterschiedlichen Diensten geknackt werden.

Schon mehrfach hat die US-Softwarefirma SplashData im Internet veröffentlichte Listen von gestohlenen Nutzerdaten geprüft und festgestellt, dass die am häufigsten benutzten Passwörter auch die simpelsten sind. Die Daten stammen zwar aus Amerika, doch in Deutschland wird es kaum anders aussehen. Die ersten Plätze sind seit Jahren unverändert „123456“, „password“ und „12345678“. Sehr beliebt sind auch Buchstabenfolgen, die auf der PC-Tastatur direkt nebeneinander liegen: „qwerty“ (deutsch: „qwertz“) oder „qazwsx“ (deutsch: „qaywsx“).

Wie erstelle ich ein gutes Passwort?

Verboten sind Namen und Worte, die im Wörterbuch zu finden sind. Leider ist auch die weit verbreitete Methode, Buchstaben durch Zahlen zu ersetzen – aus Dividende wird D1v1dende – heutzutage nicht mehr sicher genug.

Wichtigstes Kriterium ist die Länge des Passworts. Mindestens zwölf Zeichen sollen es sein, darunter Klein- und Großbuchstaben, Zahlen und Sonderzeichen wie % oder #. Wird die Jahreszahl mit eingebaut ist eine jährliche Änderung recht einfach, eine angehängte Beschreibung des Dienstes, für den das Password benutzt wird, erleichtert das Erinnern. Mit Initialen am Anfang und Sonderzeichen als Trenner könnte ein Passwort für paypal so aussehen: „PL%2016#paypal“, für ebay wäre es „PL%2016#ebay“. Gecheckt bei wiesicheristmeinpasswort.de ergibt sich eine Entschlüsselzeit von mehreren Jahrhunderten.

Recht sicher sind auch Passwörter, die aus einem konkreten Satz bestehen – ohne Leerzeichen, versteht sich. „IchliebeSingvögel“ zeigt bei checkdeinpasswort.de folgende Aussage: „Ein herkömmlicher PC könnte dein Passwort innerhalb von 49 Trillionen Jahren knacken“. Eine hintan gestellt Raute (#) erhöht die benötigte Zeit auf 282 Trilliarden Jahre. Verzichten sollte man dabei auf Sprichwörter oder sogenannte „geflügelte Worte“.

Um sich viel Aufwand zu ersparen kann man auf sogenannte Passwortmanager wie 1Password oder KeePass zurückgreifen. Ein solcher Manager kann komplexe Passwörter generieren und speichert sie in einer Datenbank, auf welche mit Hilfe eines Masterpasswords zugegriffen werden kann – man muss sich nur noch ein Passwort merken. Nachteil: Die meisten dieser Programme speichern die Daten in der Cloud (deren Server häufig in den USA liegt). Kürzlich wurde der Dienst LastPass mit Hilfe korrumpierter Websites angegriffen, wodurch die Angreifer Zugriff auf alle im LastPass-Safe des abgefischten Nutzers gespeicherten Passwörter bekamen.

KeePass geht einen anderen Weg, das Programm speichert die Daten auf dem Rechner des Benutzers. Allerdings sind sie dort nicht von überall abrufbar und bei einem Festplattencrash können sie verloren gehen.

Man sieht, völlige Sicherheit kann nicht garantiert werden.

Über die Methoden, mit denen die Authentifizierung mit Benutzername und Passwort ersetzt werden sollen, berichten wir in Kürze.