Sicherheit

So erstellen und merken Sie sich wirklich sichere Passwörter ohne Zusatz-Tools

10.03.2017 von Maximilian Oedinger
Ein unsicheres Passwort für einen Account ist wie ein klappriges Schloss für Ihre Wohnung: Sobald sich ein halbwegs erfahrener Krimineller Zugang zu Ihren privaten Accounts verschaffen will, wird er mit hoher Wahrscheinlichkeit schnell Erfolg haben.
Profi-Tipps für sichere Passwörter
Foto: Ruslan Grumble - shutterstock.com

Denken Sie daran, dass Cyberkriminalität vor niemandem Halt macht und jeden treffen kann. Hacker gehen häufig nicht gezielt, sondern nach dem Zufallsprinzip vor, und mächtige Computersysteme können heutzutage verheerende Angriffe durchführen. Die sogenannte Brute-Force-Methode setzt darauf, in kurzer Zeit möglichst viele Kombinationen von Passwörtern zu generieren und diese auf das Angriffsziel anzuwenden. Die Hoffnung der Angreifer besteht darin, dass unter den zufällig generierten Passwörtern das richtige dabei ist.

Ist das Passwort erst einmal geknackt und der Schaden entstanden, lässt sich nur noch wenig ausrichten. Nachträgliche Ermittlungen verlaufen häufig im Sand. Die Gefahr, von automatisierten Passwort-Hackversuchen getroffen zu werden, ist also real und für den Ernstfall sollte man vorbereitet sein, oder, um beim Einstiegsbeispiel zu bleiben: Sie würden ja auch kein minderwertiges Schloss an Ihrer Wohnungstür haben wollen, das jedem Fremden einfachen Zutritt gewährt.

Bevor es also zum Fiasko kommt und der Zugang zum E-Mail-Konto oder anderen persönlichen Daten geknackt wird, hier ein paar Profi-Tipps, mit denen Sie Ihr Passwort um ein Vielfaches sicherer gestalten können.

Was unterscheidet ein sicheres Passwort von einem unsicheren Passwort?

Die simple Regel für ein möglichst sicheres Passwort lautet: Möglichst viele Stellen, mit möglichst vielen verschiedenen Zeichen. Was bedeutet das in der Praxis?

Eigentlich ist es sehr einfach: Ihr Passwort besteht aus einer bestimmten Anzahl von Stellen, und jede dieser Stellen wird mit einem Zeichen gefüllt. Ein Beispiel: Wählen wir als Passwort den Namen "UWE", haben wir drei Stellen mit drei unterschiedlichen Zeichen gefüllt (U,W und E). Dass dieses Passwort nicht besonders sicher ist, sollte auch dem Laien klar sein. Sie erinnern sich: Profi-Hacker können 63 Milliarden Kombinationen pro Sekunde durchspielen.

Geht man davon aus, dass wir nur Großbuchstaben verwenden, lässt das Passwort "UWE" aber lediglich 27 Kombinationen zu. Das ist recht einfach auszurechnen, indem man die Anzahl der verwendbaren Zeichen (U,W,E) als Basis nimmt und als Exponenten die Zahl der Stellen verwendet, aus denen das Passwort besteht. Somit kommt man in diesem Beispiel auf 3 3 oder 3 x 3 x 3 = 27. Die wenigen Kombinationsmöglichkeiten bedeuten leichtes Spiel für Hacker und ein großes Problem für die Sicherheit.

Verwenden Sie möglichst viele Zeichen

Doch wir wissen, wo wir ansetzen müssen. Nehmen wir alle verfügbaren Ziffern von 0 bis 9 sowie das Alphabet in Groß- und in Kleinschreibung, können wir für jede der drei Stellen aus jeweils 62 verschiedenen Zeichen auswählen. Damit ergeben sich 62 3 oder 62 x 62 x 62 Möglichkeiten (62 Zeichen und 3 Stellen). Wir haben nun 238.328 Optionen für das Passwort. Doch auch dieses Passwort ist nur minimal sicherer, da es mit der richtigen Software ebenfalls in Sekundenbruchteilen geknackt werden kann.

Nutzen Sie möglichst viele Stellen

Nun gehen wir einen Schritt weiter und erhöhen dieses Mal die Zahl der Stellen, die wir für das Passwort benutzen. Statt drei entscheiden wir uns nun für ein Passwort mit 12 Stellen und vergeben für jede einzelne Stelle ein zufälliges Zeichen aus unserer Palette von 62 unterschiedlichen Zeichen, die aus den Ziffern von 0 bis 9 sowie dem Alphabet in Groß- und Kleinschreibung besteht. Nun kommen wir auf 62 12 Kombinationen und damit auf insgesamt 3.226.266.762.397.899.821.056 Kombinationsmöglichkeiten.

Wir gehen nun davon aus, dass das Passwort in der Hälfte der maximal nötigen Zeit geknackt wird, da Hacker ja nicht unbedingt jede mögliche Kombination durchprobieren müssen, um zufällig den richtigen Code zu entdecken. Doch selbst dann kommen wir mit unserem 12-stelligen Passwort aus 62 verfügbaren Zeichen auf eine Hackdauer von drei Jahren.

Das ist also die Dimension, in der Sie sich bewegen sollten, wenn Sie einen möglichst guten Schutz für Ihre privaten Daten anstreben.

Doch es geht noch besser: Gemeinsam mit Satz- und Sonderzeichen (".", "?", "€", "$", etc.) kommen wir auf über 90 Zeichen, aus denen wir wählen können. Daraus können Sie sich nun Ihr ultimatives Passwort zusammenbauen.

So erstellen Sie ein maximal sicheres Passwort

Mit ultimativem Passwort ist gemeint: eines der bestmöglichen Passwörter, das größtmöglichen Schutz bietet - den perfekten, 100-prozentigen Schutz gibt es leider nicht. Doch mit folgender Vorgehensweise können Sie ein maximal sicheres Passwort generieren - wie wäre es mit: "!h1€M§6eUErTh."?

Dieses Passwort erfüllt alle aufgeführten Kriterien. Es besteht aus Ziffern, Sonderzeichen sowie Groß- und Kleinbuchstaben. Ferner sind diese auf 14 Stellen verteilt. Mit diesem Passwort hätten wir sage und schreibe 96 14 Kombinationen oder 5 Quadrilliarden an Möglichkeiten. Selbst ein Hacker, der 150 Milliarden Passwörter pro Sekunde durchspielen kann und nur die Hälfte der maximal erforderlichen Zeit braucht, um das Passwort zu knacken, würde 5 Millionen Jahre benötigen. Unwahrscheinlich, dass ein solches Passwort zu dessen Lebzeiten entschlüsselt werden kann!

Das Problem dabei ist, wie man sich solch ein Passwort merken soll. Aber nichts leichter als das!

So merken Sie sich komplizierte Passwörter

Auch wenn es nicht so aussieht, aber unser Beispiel "!h1€M§6eUErTh." ist in Wirklichkeit ein geschickt verschleierter Satz. Ursprünglich hieß er "Ich laufe morgens gerne über Teppich." Nun bedienen wir uns verschiedener Techniken, um ihn so zu verfremden, dass er als Passwort taugt. Zunächst kürzen wir jedes Wort auf den Anfangs- und Endbuchstaben und kommen so zu unseren 14 Zeichen: "Ihlemsgeürth."

Jetzt bauen wir noch einige Sonderzeichen ein, die bestimmten Buchstaben ähneln. Wir ersetzen zum Beispiel das "I" von "Ich" durch ein "!", das "E" von "laufe" durch ein "€" und so weiter. Nun haben wir folgendes Bild: "!h1€m§6eürth."

Da es für die Passwortsysteme einen Unterschied macht, ob wir Groß- oder Kleinschreibung nutzen, variieren wir diese nun ein wenig und ersetzen das "ü" zusätzlich noch durch "UE". Das macht Sinn, weil Sie auf Auslandsreisen öfter auf Tastaturen ohne Umlaute stoßen. Mit dieser Methode sind Sie auf der sicheren Seite und können Ihr Passwort problemlos auch im Ausland eingeben.

Nun haben wir unseren Ursprungssatz "Ich laufe morgens gerne über Teppich." also in das Passwort-Monster "!h1€M§6eUErTh." umgewandelt und uns eine logische Eselsbrücke gebaut, mit der wir es uns einfach merken können. Fertig.

Bitte nehmen Sie jetzt aber nicht das Beispiel aus diesem Artikel als Ihr nächstes Passwort, sondern entwerfen Sie sich nach diesem Muster ein eigenes Passwort.

Sie werden sehen, dass Sie sich auch ein derart komplexes Passwort schnell merken können und es nicht schwieriger ins Gedächtnis zu rufen ist als deutlich simplere und unsichere Passwörter.

Doch es gibt auch Webseiten und Login-Systeme, die man seltener nutzt. Da Sie im Idealfall für jedes System ein unterschiedliches Passwort benutzen, werden Sie Probleme haben, sich die Codes für mehrere Seiten zu merken. Passwort-Manager, die es auch als kostenlose Open-Source-Software gibt, sind hier die Lösung.

Verwenden Sie Passwort-Manager

Passwort-Manager arbeiten alle mehr oder weniger ähnlich. Als Beispiel für die Verwendung einer solchen Software wählen wir das kostenlose KeePass, das für alle gängigen Betriebssysteme verfügbar ist. Ihre Passwörter werden in einer zentralen Datenbank verwaltet, die mit einem Master-Passwort gesichert ist. Das ist in etwa so, als würden Sie Ihre Schlüsselsammlung in einen gut gesicherten Safe legen.

KeePass verschlüsselt nun all Ihre Daten mit fortschrittlichen Algorithmen. Dabei werden nicht nur die Passwörter selbst verschlüsselt, sondern auch Ihr Name und all Ihre restlichen Angaben. Ohne den Masterkey ist die komplette Datenbank nicht entschlüsselbar. Sie müssen Ihr Master-Passwort manuell eingeben oder zur Öffnung der Datenbank eine Schlüsseldatei verwenden, die Sie auf einem mobilen Speichermedium wie einem USB-Stick oder einer CD ablegen.

Viele Passwort-Manager, so auch KeePass, haben einen Kennwortgenerator, der Passwörter in beliebiger Länge generieren kann, absolut zufallsgeneriert und nach bestimmten Vorgaben des Nutzers. Möchten Sie die Datenbank über die Cloud abgleichen und auf mehreren Geräten nutzen, ist dringend die Verwendung einer Schlüsseldatei anzuraten. Diese fungiert als zusätzlicher Schutz für die Datenbank. Beachten Sie, dass Sie diese Schlüsseldatei niemals gemeinsam mit der Passwort-Datenbank speichern, sondern immer getrennt sichern.

Es gibt aber auch einen Nachteil bei Passwort-Managern, nämlich dann, wenn sie auf Wunsch die Passwörter direkt übertragen, etwa in Login-Seiten in Web-Browsern. Dabei ist es möglich, dass sogenannte Keylogger das Passwort beim Kopiervorgang in der Zwischenablage ausspähen. Keylogger sind Schadprogramme, die den verseuchten Rechner überwachen und die Eingaben des Nutzers und das Verhalten von Programmen protokollieren und wiederherstellen können.

Zwar löscht beispielsweise KeePass nach der Übertragung eines Passworts die Daten schnell wieder aus der Zwischenablage, doch theoretisch besteht die Gefahr, von Keyloggern angegriffen zu werden.

Was können Sie tun, wenn Ihr Passwort geleakt wurde?

Ihr Passwort wurde geknackt. Was können Sie tun, und wie können Sie feststellen, ob das Passwort vielleicht schon im Netz geleakt, sprich: auf einschlägigen Hackerseiten veröffentlicht wurde?

Das Hasso-Plattner-Institut der Universität Potsdam hat extra für dieses Szenario ein Werkzeug entwickelt, das Internethandelsplätze, auf denen Passwörter angeboten werden, auf gestohlene E-Mail-Adressen abklopft. Sie finden das Tool hier und können schnell feststellen, ob Ihr Konto angegriffen wurde.

Ist das der Fall oder haben Sie auf anderem Weg erfahren, dass Ihr Passwort gestohlen wurde, hilft nur eines:

Ändern Sie Ihr Passwort.

Die DOs and DON'Ts bei der Passworterstellung

DOs

DON'Ts