Ob E-Mail-Account, Dropbox oder Online-Banking: Fast überall benötigt man ein Passwort, um sich einloggen und die Online-Dienste nutzen zu können. Doch bei der Wahl des Passworts greifen viele User auf klassische Kombinationen aus Namen, Geburtsdaten oder Orten zurück, die sie sich möglichst einfach merken können. Ein Fehler, denn ein solches Passwort lässt sich innerhalb weniger Sekunden knacken. Ein wirklich sicheres Passwort zu generieren, ist komplizierter, als man denkt.
Bei den meisten Online-Diensten ist das Passwort der einzige Schutzmechanismus für sensible Daten. Greift man bei der Passwortwahl aus Bequemlichkeit auf zu einfache Kombinationen zurück, ist es für Hacker ein Leichtes, das Passwort zu knacken und sich so beispielsweise Zugriff auf Zahlungsdaten oder persönliche Informationen zu verschaffen. Schon eine einfache Wörterbuchattacke reicht oft aus, um viele der gängigen Kennworte zu knacken. Bei dieser Art von Hackerangriff werden über ein Programm zahlreiche Passwörter durchprobiert, die auf Zeichenfolgen beruhen, die sinnvolle Worte ergeben – es wird also praktisch eine Art Wörterbuch durchgegangen. Ein gutes Passwort sollte daher aus mindestens 8 zufällig gewählten alphanumerischen Zeichen und Sonderzeichen bestehen. Ein wichtiger Generalschlüssel, zum Beispiel für einen Passwort-Safe, sollten mindestens 12 Zeichen umfassen.
Damit das eigene Passwort sich nicht ohne weiteres knacken lässt, sollte man unbedingt die folgenden Passwort-Fehler vermeiden:
„123456“, „abcdefg“ oder „Password“ gehören zu den beliebtesten Passwörtern weltweit – und damit auch zu den mit Abstand unsichersten. Schon ein einfacher Wörterbuchangriff kann diese Kombinationen in wenigen Sekunden auslesen. Zahlenlisten werden ebenfalls aufgelesen, also gelten auch Geburtsdaten als unsicher.
Ein kurzes Passwort hat einen einzigen Vorteil: Es ist leicht zu merken. Doch die Gedächtnisstütze geht ganz klar auf Kosten der Sicherheit. Ein sicheres Passwort muss mindestens acht Zeichen lang sein, denn zu kurze Passwörter können durch eine einfache Brute-Force-Attacke (Ausprobieren möglicher Zeichenkombinationen) binnen weniger Sekunden entschlüsselt werden. Außerdem sollte das Passwort neben Kleinbuchstaben auch Großbuchstaben, Ziffern und Sonderzeichen enthalten.
Manche Seiten sind leider sehr zu leicht zu knacken. Die dort hinterlegten Daten mögen zwar nicht sehr sensibel sein, doch verwendet man das gleiche Passwort sowohl für das geknackte Webportal als auch für seinen Online-Banking-Account oder Amazon-Zugang, sieht die Lage schon anders aus und Hacker haben Zugriff auf wichtige Zahlungsinformationen.
Um zu überprüfen, wie sicher das eigene Passwort tatsächlich ist, helfen praktische Tools wie „How Secure is my Password?“.
Ein gutes Passwort zu wählen, ist schwierig, selbst wenn man die oben genannten Fehler vermeidet und eine ausreichend lange Zeichenkombination wählt. Sobald man versucht, eine persönlich nachvollziehbare oder leicht einprägsame Kombination zu finden, ist das Passwort durchschaubar – zumindest für die ausgeklügelten Programme der Hacker. Deshalb ist es sinnvoll, einen Passwort-Generator zu nutzen. Diese Hilfsmittel gibt es auch als App, beispielsweise die Passwort Generator App. Mit wenigen Klicks kann man damit ein sicheres Passwort generieren. Solche Passwort-Generatoren findet man aber auch als Freeware für den PC. Programme wie PWGen erstellen nach Installation sichere Passwörter in gewünschter Länge.
Man kann auch folgende Strategie nutzen, um ein für alle Zugänge sicheres und variables Passwort zu finden: Man variiert ein nahezu „unknackbares“ Basispasswort/Masterpasswort, indem man für die unterschiedlichen Webportale jeweils eine bestimmte Erweiterung nutzt. Dabei kann man nach jedem beliebigen Schema vorgehen. Eine Möglichkeit ist beispielsweise, das Masterpasswort mit dem Namen des genutzten Dienstes, zum Beispiel PayPal oder Ebay, zu kombinieren.
Natürlich nimmt man bei der oben vorgeschlagenen Strategie nicht „Masterpasswort+Ebay“ als Kennwort. Man pickt sich stattdessen zum Beispiel die Vokale oder immer den zweiten oder dritten Buchstaben des Anbieternamens heraus und platziert diese an bestimmte Stellen der Master-Passwort, zum Beispiel immer an zweiter, dritter und letzter Stelle.
Ein Beispiel: Das Masterpasswort ist G5w.&$;(9b.B und man möchte ein Passwort für Ebay kreieren. Man wählt den ersten und dritten Buchstaben aus dem Dienst, also im Falle von Ebay das e und das a, platziert die Buchstaben an letzter und drittletzter Stelle des Masterpassworts und fügt an Beginn des Passworts die Länge des Namens an. So entsteht das Passwort 4G5w.&$;(9bE.Ba. Geht man nach dem gleichen Prinzip für den Dienst PayPal vor, ist das Passwort 6G5w.&$;(9bP.By.
Selbst bei einem ausgeklügelten System bleibt eine Restgefahr. Es ist nie ausgeschlossen, dass jemand die Muster erkennen und von einen auf den nächsten Account schließen kann. Wichtig ist daher, dass Kombinationen mit dem Masterpasswort nur auf hundertprozentig vertrauenswürdigen Seiten eingesetzt werden. Bei weniger wichtigen und vielleicht auch weniger sicheren Seiten empfiehlt es sich, ein anderes Passwort zu verwenden. Für Foren und Communitys, die als wenig sicher gelten, bleibt die Option sogenannter Wegwerfpasswörter, die man tatsächlich nur einmalig und auch in keiner anderen Variation verwendet.
Sich ein Generalpasswort mit mehr als 12 Zeichen zu merken, ist nicht ganz einfach. Ein einfacher Trick ist es, sich die Kombination als Benutzerpasswort für den PC zu setzen. Im Anschluss muss man das Timeout der Bildschirmsperre auf einen kleinen Wert, zum Beispiel zwei Minuten, einstellen. Das sorgt dafür, dass man nach jeder kleinen Pause am PC das Passwort erneut eingeben muss. Das kann zwar mitunter an den Nerven nagen, sorgt aber dafür, dass sich das Passwort ins Gedächtnis einbrennt.
Ein letzte goldene Regel der Passwortsicherheit lautet: Man sollte seine Passwörter nie unverschlüsselt (in lesbarem Text) auf dem PC, zum Beispiel in einer Excel-Datei, ablegen. Viel zu einfach können die Passwörter so von anderen Nutzern oder einem Trojaner ausgespäht werden. Besser ist es, sensible Kennwörter mit Hilfe eines Passwort-Managers wie Password Safe, 1Password oder LastPass zu verwalten. Mehr dazu haben wir in einem anderen Artikel unseres Ratgebers zusammengefasst.
Um einen entfernten Server im Rechenzentrum zu verwalten bzw. zu bedienen, wird gern eine gesicherte Netzwerkverbindung via SSH-Protokoll verwendet. Der notwendigen Anmeldung auf dem Server geht ein Authentifizierungsprozess voraus – standardmäßig in Form von Nutzername und Passwort. Alternative Methoden der SSH-Verbindung wie die Public-Key-Authentifizierung haben ihre Vorteile. Aber wie werden...
Würden Sie einem Fremden Ihre Kontonummer verraten? Mit Sicherheit nicht. Doch genau das tut man, wenn man Online-Banking oder Amazon-Zugänge mit Passwörtern sichert, die einem einfachen Hackerangriff nicht einmal wenige Sekunden standhalten können. Um wirklich sichere Kennwörter zu kreieren und auch verwalten zu können, lohnt sich der Einsatz eines Passwort Managers.
Rainbow Tables: Was so unschuldig klingt, ist in Wirklichkeit eine starke Angriffsmethode von Cyberkriminellen. Mithilfe der Regenbogentabellen kann man es schaffen, bestimmte Passwörter in nur wenigen Sekunden herauszufinden. Damit Sie sich und Ihre Nutzer vor solchen Angriffen schützen können, sollten Sie verstehen, wie die Tabellen funktionieren. Wir erklären Ihnen Rainbow Tables mit einem...
