Optimaler Passwortschutz: So wählt man ein sicheres Passwort

Ob E-Mail-Account, Dropbox oder Online-Banking: Fast überall benötigt man ein Passwort, um sich einloggen und die Online-Dienste nutzen zu können. Doch bei der Wahl des Passworts greifen viele User auf klassische Kombinationen aus Namen, Geburtsdaten oder Orten zurück, die sie sich möglichst einfach merken können. Ein Fehler, denn ein solches Passwort lässt sich innerhalb weniger Sekunden knacken. Ein wirklich sicheres Passwort zu generieren, ist komplizierter, als man denkt.

Bei den meisten Online-Diensten ist das Passwort der einzige Schutzmechanismus für sensible Daten. Greift man bei der Passwortwahl aus Bequemlichkeit auf zu einfache Kombinationen zurück, ist es für Hacker ein Leichtes, das Passwort zu knacken und sich so beispielsweise Zugriff auf Zahlungsdaten oder persönliche Informationen zu verschaffen. Schon eine einfache Wörterbuchattacke reicht oft aus, um viele der gängigen Kennworte zu knacken. Bei dieser Art von Hackerangriff werden über ein Programm zahlreiche Passwörter durchprobiert, die auf Zeichenfolgen beruhen, die sinnvolle Worte ergeben – es wird also praktisch eine Art Wörterbuch durchgegangen. Ein gutes Passwort sollte daher aus mindestens 8 zufällig gewählten alphanumerischen Zeichen und Sonderzeichen bestehen. Ein wichtiger Generalschlüssel, zum Beispiel für einen Passwort-Safe, sollten mindestens 12 Zeichen umfassen.

Ein gutes Passwort zu wählen, ist schwierig, selbst wenn man die oben genannten Fehler vermeidet und eine ausreichend lange Zeichenkombination wählt. Sobald man versucht, eine persönlich nachvollziehbare oder leicht einprägsame Kombination zu finden, ist das Passwort durchschaubar – zumindest für die ausgeklügelten Programme der Hacker. Deshalb ist es sinnvoll, einen Passwort-Generator zu nutzen. Diese Hilfsmittel gibt es auch als App, beispielsweise die Passwort Generator App. Mit wenigen Klicks kann man damit ein sicheres Passwort generieren. Solche Passwort-Generatoren findet man aber auch als Freeware für den PC. Programme wie PWGen erstellen nach Installation sichere Passwörter in gewünschter Länge.

Man kann auch folgende Strategie nutzen, um ein für alle Zugänge sicheres und variables Passwort zu finden: Man variiert ein nahezu „unknackbares“ Basispasswort/Masterpasswort, indem man für die unterschiedlichen Webportale jeweils eine bestimmte Erweiterung nutzt. Dabei kann man nach jedem beliebigen Schema vorgehen. Eine Möglichkeit ist beispielsweise, das Masterpasswort mit dem Namen des genutzten Dienstes, zum Beispiel PayPal oder Ebay, zu kombinieren.

Beispiel einer Passwort-Strategie

Natürlich nimmt man bei der oben vorgeschlagenen Strategie nicht „Masterpasswort+Ebay“ als Kennwort. Man pickt sich stattdessen zum Beispiel die Vokale oder immer den zweiten oder dritten Buchstaben des Anbieternamens heraus und platziert diese an bestimmte Stellen der Master-Passwort, zum Beispiel immer an zweiter, dritter und letzter Stelle.

Ein Beispiel: Das Masterpasswort ist G5w.&$;(9b.B und man möchte ein Passwort für Ebay kreieren. Man wählt den ersten und dritten Buchstaben aus dem Dienst, also im Falle von Ebay das e und das a, platziert die Buchstaben an letzter und drittletzter Stelle des Masterpassworts und fügt an Beginn des Passworts die Länge des Namens an. So entsteht das Passwort 4G5w.&$;(9bE.Ba. Geht man nach dem gleichen Prinzip für den Dienst PayPal vor, ist das Passwort 6G5w.&$;(9bP.By.

Masterpasswort nur für vertrauenswürdige Seiten

Selbst bei einem ausgeklügelten System bleibt eine Restgefahr. Es ist nie ausgeschlossen, dass jemand die Muster erkennen und von einen auf den nächsten Account schließen kann. Wichtig ist daher, dass Kombinationen mit dem Masterpasswort nur auf hundertprozentig vertrauenswürdigen Seiten eingesetzt werden. Bei weniger wichtigen und vielleicht auch weniger sicheren Seiten empfiehlt es sich, ein anderes Passwort zu verwenden. Für Foren und Communitys, die als wenig sicher gelten, bleibt die Option sogenannter Wegwerfpasswörter, die man tatsächlich nur einmalig und auch in keiner anderen Variation verwendet.

Sich ein Generalpasswort mit mehr als 12 Zeichen zu merken, ist nicht ganz einfach. Ein einfacher Trick ist es, sich die Kombination als Benutzerpasswort für den PC zu setzen. Im Anschluss muss man das Timeout der Bildschirmsperre auf einen kleinen Wert, zum Beispiel zwei Minuten, einstellen. Das sorgt dafür, dass man nach jeder kleinen Pause am PC das Passwort erneut eingeben muss. Das kann zwar mitunter an den Nerven nagen, sorgt aber dafür, dass sich das Passwort ins Gedächtnis einbrennt.

Ein letzte goldene Regel der Passwortsicherheit lautet: Man sollte seine Passwörter nie unverschlüsselt (in lesbarem Text) auf dem PC, zum Beispiel in einer Excel-Datei, ablegen. Viel zu einfach können die Passwörter so von anderen Nutzern oder einem Trojaner ausgespäht werden. Besser ist es, sensible Kennwörter mit Hilfe eines Passwort-Managers wie Password Safe, 1Password oder LastPass zu verwalten.