Wie generiert ihr ein sicheres Passwort?
Die einfachste und dabei immer noch sehr sichere Methode der Datensicherheit ist die Verwendung von Benutzername und Passwort. Es gibt Alternativen wie die Gesichtserkennung, die PIN sowie den Iris- oder Fingerabdruckscan — technisch aufwendig und damit störanfällig. Die vier- oder fünfstellige PIN wird im Netz kaum verwendet, weil Rechenprogramme bei so wenig Zahlen die richtige Kombination in wenigen Minuten ermitteln. Ein guter Passwortschutz besteht aus mindestens sieben Ziffern, Zahlen und Sonderzeichen — doch nicht jede Person hält sich daran.
Wie solltet ihr mit euren Passwörtern umgehen?
Praktisch im Jahrestakt werden Listen von sehr beliebten und damit gleichzeitig sehr schlechten Passwörtern veröffentlicht. Sie beziehen sich immer auf einen Sprachraum — für uns auf das D.A.C.H.-Gebiet oder speziell auf Deutschland — weil der Hauptfehler aller schlechten Passwörter darin besteht, dass sie sinnhaft sind. Damit müssen sie an eine Sprache gekoppelt sein. Daher lautet die erste Regel:
- #1: Die gewählte Zeichenkombination darf keinen Sinn ergeben.
Programme zum Knacken von Passwörtern sind semantisch aufgebaut — sie suchen nach Sinnzusammenhängen. Die meisten Nutzer halten sich zumindest an die zweite Regel:
- #2: Verwende immer eine Kombination aus Ziffern, Buchstaben und Sonderzeichen.
Also wählt jemand «123Maria/1986», weil seine Frau Maria 1986 geboren wurde — doch das Knackprogramm probiert genau solche Kombinationen. Es lässt alle weiblichen Vornamen, davor Ziffern, dazwischen Sonderzeichen und alle Geburtsjahre zwischen 1935 und 2010 durchlaufen. Die Rechenleistung dafür ist gering. Nur wirklich sinnlose Passwörter wie 4n*2#xJ/ sind sicher. Es geht auch ohne Sonderzeichen, die nicht überall erlaubt sind.
Welches sind die schlechtesten und beliebtesten Passwörter?
Eine jüngere Liste stammt vom Hasso-Plattner-Institut. Es veröffentlicht regelmässig die Top 20 der schlechtesten und häufigsten Passwörter von deutschen Nutzern. Einige Beispiele:
- 123456
- 123456789
- 111111
- password oder password1
- abc123
- iloveyou
- qwertz
- 1q2w3e4r
- target123
Diese Passwörter stammen aus dem HPI Identity Leak Checker, der 67 Millionen Zugangsdaten gespeichert hat. Das Kopfschütteln darüber ist verständlich — aber das Problem ist real: Nutzer wollen sich keine komplexen Passwörter merken, und aufschreiben sollen sie diese ja auch nicht. Dazu kommt: Viele Websites verlangen einen Zugang, den man nur einmal braucht. Wer denkt sich für ein Forum, in dem man einmalig eine Anleitung liest, ein sicheres Passwort aus? Das erklärt die simplen, leicht zu knackenden Kombinationen. Womit die nächste Frage im Raum steht:
Wo braucht ihr wirklich ein sicheres Passwort?
Es gibt Foren, die einen Passwortzugang verlangen — würde das Passwort dort entwendet, wäre es nicht weiter schlimm. Niemand hinterlegt dort schwerwiegende Geheimnisse. Anders sieht es aus, wo du mit einer Anmeldung Kreditkarten- oder Bankdaten hinterlegst, oder wo du — zum Beispiel beim Arzt — sensible Informationen über dich selbst einträgst. Auch Accounts in sozialen Netzwerken müssen sicher geschützt sein: Wer deinen Account kapert, kann in deinem Namen falsche Tweets oder Posts veröffentlichen. Passwörter wie die oben aufgeführten gehen also gar nicht. Die Veröffentlichung durch das Hasso-Plattner-Institut soll ein Mahnmal sein, um das Sicherheitsbewusstsein zu stärken. Denk bei der Passwortauswahl an die genannten Regeln. Viele Websites verlangen Buchstaben, Ziffern und Sonderzeichen — damit fällt abcdefg oder 1234567 von vornherein raus. Doch wie das Beispiel mit Maria zeigt, reicht diese Vorschrift allein nicht. Die Kombination darf auf keinen Fall sinnhaft sein — das ist die wichtigste Regel. Den Namen deiner Katze kann niemand kennen? Da irrst du dich. Die Einfälle, die originell wirken, sind längst in den Datenbanken der Hacker erfasst. Auch Kombinationen wie 1234aBCD! sind zu einfach — Google Chrome warnt mittlerweile vor solchen Mustern.
Tipps für ein sicheres Passwort
Die folgenden Tipps stammen vom Hasso-Plattner-Institut:
- keine Sinnhaftigkeit
- lange Passwörter ab 15 Zeichen
- Kombi aus Ziffer, Gross- und Kleinbuchstaben sowie Sonderzeichen
- nichts aus dem Wörterbuch verwenden
- gesonderte Passwörter für jeden Dienst und jede Website
- Verwendung eines Passwortmanagers
- bei Sicherheitsvorfällen grundsätzlicher Passwortwechsel
- Zwei-Faktor-Authentifizierung — wenn vorhanden — aktivieren
Die Zwei-Faktor-Authentifizierung identifiziert dich mit zwei unabhängigen Faktoren. Eine Bankkarte etwa nutzt den Magnetstreifen, zusätzlich gibst du eine PIN ein. Ein Fingerabdruckscan kombiniert mit PIN wäre eine weitere Möglichkeit. Manche Anbieter verlangen als zweiten Faktor die richtige Antwort auf eine Sicherheitsfrage (Name des Haustiers, Mädchenname der Mutter), Banken schicken eine TAN per SMS oder setzen einen TAN-Generator ein. Die Zwei-Faktor-Authentifizierung schützt einen Account deutlich wirkungsvoller als ein schwaches Passwort allein.