Sichere Passwörter

Ganz einfach zu mehr Sicherheit

G DATA Ratgeber

Vielen Anwendern ist nicht bewusst, wie vielfältig die Konsequenzen sind, die bereits durch das Ausspähen oder Erraten eines einzelnen Kennwortes drohen. Denken Sie an vertrauliche Geschäftsdokumente oder weitere Passwörter zu anderen Diensten, die Ihnen per E-Mail zugeschickt wurden. Diese Informationen, die ein Angreifer durch Einblick in Ihre privaten Unterlagen erhält, können dem Missbrauch Tür und Tor öffnen. Zweifelsohne kann es mühsam sein, alle Passwörter möglichst „sicher“ zu gestalten und sich für jeden Anwendungsfall ein eigenes zu merken. Wir zeigen Ihnen, wie Sie sich mit der richtigen Strategie sichere und leicht zu merkende Passwörter überlegen.

Wer bin ich? Das Thema Authentisierung

Von Authentisierung spricht man, wenn sichergestellt werden soll, dass jemand wirklich die Person ist, für die er sich ausgibt. Das ist gerade in der Welt des Internets eine große Herausforderung und der Gebrauch von Passwörtern ist hierfür seit langem gängige Praxis. All das nützt allerdings wenig, wenn „schwache“, also einfach zu erratende Passwörter verwendet werden. Diese Erkenntnis haben sich schon viele Angreifer wie auch die von ihnen entwickelten Schadprogramme zunutze gemacht. Sie probieren Passwörter so lange durch, bis letztendlich der Zugang gelingt (sog. „Brute Force“-Angriff).

Wie lange brauchen Angreifer, um ein Passwort zu knacken?

Viele Anwender benutzen Passwörter, die auf persönlichen Informationen wie dem eigenen Geburtstag beruhen und somit leichter zu merken sind. Das wissen auch Angreifer. Andere gängige Merkhilfen wie Namen von Haustieren oder Lebensgefährten finden sie ebenfalls mit geringem Aufwand heraus.

Benutzt man zum Passwort-Knacken einen „leistungsstarken Computer, der 1.000.000 Kennwörter pro Sekunde testen kann, dauert die Berechnung eines 8-stelligen Passworts aus Großbuchstaben, Kleinbuchstaben, Ziffern und Zeichen im längsten Fall 29 Jahre. Ein 5-stelliges Passwort würde bei gleichen Voraussetzungen garantiert nach 26 Minuten geknackt sein!

Unfassbar, aber wahr – zu den am häufigsten genutzten Passwörtern zählen u.a.:

  • 123456
  • password
  • passw0rt
  • qwerty
  • login

Einige Tipps und Tricks auf dem Weg zum starken Passwort

Die Erstellung eines guten Passwortes ist eine Wissenschaft für sich: Es gibt unzählige Sicherheitsfaktoren und Möglichkeiten, sich mit diesem Thema auseinanderzusetzen. An dieser Stelle möchten wir Ihnen ein paar einfache Grundsätze an die Hand geben.

  • Die Länge eines Passwortes ist ein entscheidender Faktor. Lange Passwörter sind, pauschal gesagt, sicherer als kurze. ABER: Ein langes Passwort aus nur einem oder wenigen Buchstaben/Ziffern/Zeichen bringt nichts. Wird ein 10-stelliges Passwort gefordert, hilft „AAAAAAAAAA“ nicht weiter. Vermeiden Sie auch Zahlenreihen oder ganze Tastaturzeilen, beispielsweise QWERTZUIOP.
  • Es kommt eben nicht nur auf die Länge an, sondern auf Komplexität: Eine gelungene Kombination aus Klein- und Großschreibung, zusammen mit Ziffern und gegebenenfalls auch Sonderzeichen kann die Sicherheit erhöhen. ABER: Je eindeutiger die Passwortvorgaben sind, desto eher kann ein Angreifer mit automatischen Systemen ein Passwort knacken. Wenn die Vorgabe lautet: „Benutzen Sie ein 8-stelliges Passwort mit jeweils einer Ziffer, einem Großbuchstaben, einem Kleinbuchstaben und einem Sonderzeichen“, dann kennen die Angreifer schon die Art von 4 der 8 Stellen.
  • Für ein sicheres Passwort reihen Sie beispielsweise jeweils das erste Zeichen jedes Wortes, Zahlen und Satzzeichen aus dem folgenden Satz aneinander: „Heute, am 10. Juli, erstelle ich ein sicheres Passwort mit mindestens 18Zeichen“ Das Ergebnis ist folgendes Passwort: „H,a10.J,eiesPmm18Z“. Um sich so ein Passwort noch besser merken zu können, können Sie auch eines mit persönlichem Wiedererkennungswert erstellen, z.B. aus Abkürzungen des eigenen Lieblingsliedes: „The sound osilence von Simon & Garfunkel von 1966 ist mein Lieblingslied“ ergibt dann „Tsos_vS&G_v1966imL“. Gegen solche Sätze, wenn sie frei erfunden sind, hilft Angreifern zumindest keine Wörterbuch-Attacke.
  • Auch die Benutzung von sogenannter „Leetspeak“ ist möglich, wobei hier Buchstaben durch ähnlich aussehende Ziffern und Sonderzeichen ersetzt werden:  The sound osilence = 7h3_50und_0f_51l3nc3 Varianten dieser Methode wären zum Beispiel der Gebrauch von Lautschrift oder das Rückwärtsschreiben und vieles mehr. ABER: Angreifer kennen Leetspeak etc. natürlich auch. Wenn sie ihre automatischen Angriffe starten, dann benutzen sie auch ganze Wörterbücher in Leetspeak und feuern die Begriffe auf das Log-in Formular ab (eine Art von Wörterbuch-Attacke). Leetspeak und Co. können natürlich trotzdem einer der Faktoren Ihres Passwortes sein.
  • Generell gilt: Benutzen Sie keine Wörter, wie sie im Wörterbuch stehen. Auch für „Schatzi“, „Passwort“ sowie Namen und Co. haben Angreifer elektronische Wörterbücher und lassen diese einfach über die Anmeldemaske laufen. Auch populäre Sätze in verschiedenen Sprachen werden in solchen Wörterbüchern gelistet. Eine Kombination aus scheinbar zufälligen Wörtern erhöht die Sicherheit, denn es erhöht die Länge und in den meisten Fällen auch die Komplexität. Diese Kombination von Wörtern bezeichnet man dann auch als Passphrase. 

Passwörter speichern oder nicht?

Manche Anwendungen erlauben aus Komfortgründen das Abspeichern des Passwortes. Verzichten Sie nach Möglichkeit darauf: Nicht immer ist garantiert, dass das Passwort in sicherer, verschlüsselter Form hinterlegt wird. Manche Programme speichern Kennwörter unverschlüsselt im Klartext auf dem System, wodurch es für Angreifer ein leichtes ist, diese auszulesen. Informieren Sie sich über die Vorgehensweise Ihres genutzten Programms, bevor Sie ihm das Vertrauen aussprechen, Ihre Zugangsdaten zu speichern. In aller Regel erfüllen gute Passwortmanager diese minimalen Anforderungen.

Was Sie noch beachten sollten

Benutzen Sie für jeden Service ein eigenes Passwort und verwenden sie keine Zugangsdaten doppelt. So vermeiden Sie, dass jemand allzu leicht in viele Ihrer Services und Dienste gelangt, wenn er ein Passwort ermittelt haben sollte. Außerdem: Das gewählte Passwort sollte ausschließlich Ihnen bekannt sein und weder an Bekannte, Arbeitskollegen oder Verwandte weitergegeben, noch aufgeschrieben werden.

Ist mein Passwort jetzt also 100-prozentig sicher?

Wenn Sie die oben genannten Tipps verstehen und anwenden, dann erfüllen sie die Voraussetzungen für starke Passwörter. Aber die Sicherheit dieser Zugangsdaten ist nicht nur davon abhängig:

  • Malware: Das Passwort mag nun von Menschen nicht zu erraten und mit automatisierten Verfahren in endlicher Zeit nicht zu knacken sein. Aber Cyber-Kriminelle setzen auch Schadcode ein, der speziell für das Abgreifen von Passwörtern konzipiert wurde. Dazu zählt Spyware im Allgemeinen, dann Passwort-Stealer und Keylogger im Speziellen, sowie Banking-Trojaner. Auch sie haben häufig die Fähigkeit, die Zugangsdaten der Opfer auszulesen und mitzuschneiden. Deshalb ist ein Schutz des Computers und auch von Mobilgeräten mit einer umfassenden Sicherheitslösung unerlässlich.
  • Datenbank-Hacks: Wenn Sie Zugangsdaten zu einem Service erstellen, dann legen Sie diese Daten in die Hände der Servicebetreiber. Ihnen müssen Sie vertrauen, dass die Daten sicher abgelegt werden. In der Vergangenheit kam es jedoch immer wieder zu Datenbank-Hacks, bei denen persönliche Daten und Log-ins auch im Klartext oder nur unzureichend verschlüsselt abgegriffen wurden. Einer der wohl populärsten Fälle der jüngeren Vergangenheit war der Angriff auf die Seitensprung-Plattform Ashley Madison, bei dem komplette Datensätze von Millionen Benutzern veröffentlicht wurden.
  • Überprüfen Sie daher regelmäßig, ob Ihre Daten Teil eines Cyberangriffs waren und im Internet veröffentlicht wurden. Das Hasso-Plattner-Institut bietet dazu einen vertrauenswürdigen Dienst.

Kurz zusammengefasst: Ein gutes Passwort sollte…

  • lang genug sein und aus mehr als einem Wort bestehen!
  • eine gewisse Komplexität haben!
  • nur Ihnen bekannt sein!
  • trotz der Komplexität auch leicht zu merken sein!
  • man, wenn überhaupt, nur in einem geeigneten Passwortmanager speichern!
  • durch eine umfassende Sicherheitslösung vor Schadsoftware geschützt werden!

Profi-Tipp: Abgesehen von der Nutzung eines starken Passwortes empfehlen wir auch, bei jeder sich bietenden Gelegenheit eine Mehrfach-Authentifizierung zu verwenden. Informationen dazu haben wir in einem Artikel im G DATA SecurityBlog zusammengetragen: „Multi-Faktor-Authentifizierung. Wie viele Faktoren braucht man eigentlich?

Sabrina Berkenkopf
Online-Redakteurin

Hannah Wagener
Online-Redakteurin