Sicheres Passwort erstellen und generieren – und auch merken

Ein sicheres Passwort erstellen ist gar nicht so einfach – solange man nicht ein paar Grundregeln kennt. Die folgenden Tipps zeigen, wie man ein sicheres Passwort generieren – und sich dann auch merken kann.

Als Zugangsschutz (beispielsweise zum E-Mail-Postfach, zum Internet- oder Netzwerkzugang) und als Schutz beim Verschlüsseln von Dateien dient in der Regel ein Kennwort oder Passwort. Mit diesem weisen Sie sich dem System gegenüber als autorisierter Benutzer aus.

Das funktioniert natürlich nur dann, wenn nur Sie das Kennwort kennen. Und es ist natürlich nur dann sicher, wenn man ein sicheres Passwort erstellen konnte. Sicher ist ein Kennwort dann, wenn ein Angreifer es nicht herausfinden kann. Für die Wahl eines Kennworts ist es deshalb hilfreich zu wissen, wie Angreifer vorgehen.

Typischerweise und vereinfacht gesagt verwenden Hacker zwei Methoden, um Kennwörter zu knacken: Brute-Force-Angriffe und Social Engineering.

  • Beim brachialen Raten (Brute Force) probiert der Angreifer schlicht und einfach alle denkbaren Kombinationen durch, wie beim alten Fahrrad-Zahlenschloss: von 000 bis 999. Alles, was dazu nötig ist, ist Rechenkraft – und die gibt es reichlich. Weil aber außer Sicherheitsbewussten niemand apwmndz293nh und ähnliche Passwörter verwendet, sondern “merkbare Wörter”, braucht man das gar nicht. Es gibt es eine Reihe von Tools, die auf elektronische Wörterbücher zurückgreifen und sämtliche Wörter ausprobieren (dictionary attack). Bei dieser “Wörterbuchattacke” geben sie die Wörter auch rückwärts (zum Beispiel “Cäsar” und “rasäC”) und in mit variierender Groß- und Kleinschreibung ein und kombinieren mehrere Wörter. Die dabei verwendeten Wortlisten enthalten in der Regel neben den Wörtern aus den gängigen Sprachen auch Eigennamen, Namen aus Filmen, Büchern, Spielen und anderer Populärkultur (wie “R2D2”, “Babylon5”, “SG1”), auch Abkürzungen etc.

Hier eine Google-Suche und eine Bing-Suche, die Sie zu Passwort-Listen führen, die im Internet frei erhältlich sind. Sozusagen “_die_ *nicht*”-Listen.

  • Beim gezielten Raten (Social Engineering) versucht der Angreifer, möglichst viele Informationen über den Angegriffenen herauszufinden, zum Beispiel den Geburtstag und -ort, Name des Partners, der Kinder, der Eltern, des Haustiers, Hobbies, etc. Diese Informationen werden dann bei einem eher handgemachten Brute-Force-Angriff durchprobiert.
    Nicht selten versucht ein Angreifer auch, das Kennwort direkt vom Betroffenen zu erfahren: Besonders dreiste Angreifer rufen den Betroffenen an und geben sich beispielsweise als Administrator oder Support-Mitarbeiter der Firma aus, der wegen irgendwelcher technischer Probleme unbedingt das Kennwort erfahren muss. Sonst – so die oft unterschwellige Drohung – liege das gesamte Netzwerk lahm oder es geschehe sonst etwas schlimmes (Merke: Wenn Ihr Gegenüber es mit einer Forderung an Sie eilig hat, führt er nichts Gutes im Schulde.).

Sie sehen: “Hacken” ist in erster Linie “raten”.

Wenn man erst einmal die Methoden kennt, mit denen Angreifer Kennwörter, Passwörter, Zugangscodes in Erfahrung bringen, ist klar, was man nicht tun sollte:

  • Wählen Sie als sicheres Passwort kein zu kurzes: Je länger, desto besser. Besuchen Sie howsecureismypassword.net, um den Zusammenhang zwischen Passwortlänge und Sicherheit vorgeführt zu bekommen.
  • Wählen Sie keine offensichtlichen Kennwörter: Verwenden Sie also weder Ihren Namen noch den Ihres Partners, Ihrer Kinder oder sonst irgendeinen Namen, auch nicht wenn Sie ihn rückwärts schreiben. Auch ein Geburtsdatum, Ihr Hochzeitstag oder ein anderes Datum, das mit Ihnen in Verbindung gebracht werden kann, ist nicht geeignet.
  • Vermeiden Sie triviale Kennwörter wie “Kennwort”, “Password”, “Keins”, “sesam”, “sesamöffnedich” oder auch “admin” und “Administrator” (Klassiker!). Selbst in TV-Serien werden diese angeblich “cleveren” Codes inzwischen verwendet. Ha ha ha.
  • Vermeiden Sie fortlaufende Buchstaben- und Ziffern-Reihen wie “abcdefg” oder “012345”, auch Muster auf der Tastatur wie “asdfgh”. Das Tool auf passwortcheck.datenschutz.ch kann Ihnen helfen, solchen Zeichenfolgen zu erkennen.
  • Ein sicheres Passwort darf grundsätzlich nicht aus Wörtern bestehen, die in einem Wörterbuch vorkommen; auch Wortkombinationen oder rückwärts geschriebene Wörter sind zu leicht zu knacken.
  • Meiden Sie Kennwörter mit Kultcharakter wie “rosebud” (Citizen Kane), “joshua” (War Games), “swordfish” (“Horse Feathers” von den Marx Brothers).
  • Speichern Sie Zugangsdaten und Passwörter möglichst nicht auf Ihrem PC. Oder wenigstens verschlüsselt (siehe unten).

Sicheres Passwort erstellen – Tipps

Ein sicheres Passwort erstellen Sie, indem Sie eine zufälligen Abfolge von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen wählen.

  • Verwenden Sie für Ihr sicheres Passwort den gesamten Zeichenvorrat. Also nicht nur Kleinbuchstaben, sondern auch Großbuchstaben. Nicht nur Buchstaben, sondern auch Ziffern. Nicht nur Buchstaben und Ziffern, sondern auch Sonderzeichen. Also stand iwanttobelieve lieber Majestic12!RULEZ.
    Hinweis: Nicht alle Dienste verwenden wirklich Groß- und Kleinschreibung intern, auch wenn Sie als User sie verwenden. Sie geben also PAHsanz als Passwort ein, intern wird aber nur pahsanz verarbeitet. Das ist natürlich schlecht. Aber nicht zu ändern, und als User weiß man es nicht. Es folgt daraus aber: PAHsanz23 ist ein besseres Passwort als PAHsanzAH. (Das gilt aber ohnehin.)
  • “Ein sicheres Kennwort sollte mindestens acht Zeichen haben”, heißt es gelegentlich. Nein! Das gilt nur online, wo Kennwörter-Knackprogramme nicht schnell arbeiten können, weil die Verzögerung zwischen Eingabe eines geratenen Kennworts und Information der Ablehnung (“Access Denied”) mehr Zeit verschlingt als das eigentliche Durchprobieren der geratenen Kennwörter.
  • Wer lokal auf Passwortgeschütztes zugreifen kann, für den sind acht Zeichen keine Hürde mehr. Allgemein: Je kürzer die Zeitdauer bei Kennworteingabe und -überprüfung, desto länger muss das Passwort sein, um sicher zu sein. Die Fritz!Box zum Beispiel sperrt nach der Eingabe eines Passworts die Möglichkeit zur erneuten Eingabe um einige Sekunden – das zieht eine Brute-Force-Attacke so sehr in die Länge, dass ein Angriff nur geringe Aussicht auf Erfolg hat – hier reichen auch sechs Zeichen.Bei einem passwortgeschützten ZIP-File oder einem geklauten Notebook mit zu knackendem Windows sieht das anders aus: Der Angriff kann Tausende von Kombinationen pro Sekunde durchspielen, daher reichen acht  Zeichen nicht mehr. Bei verschlüsselten Dateien, Festplatten, Dokumenten gilt daher:
  • Verwenden Sie für Ihr sicheres Passwort mindestens zwölfstellige, warum nicht vierzehnstellige, noch besser zwanzigstellige Passwörter. Je länger das Kennwort ist, desto höher ist der Aufwand, sämtliche möglichen Kombinationen durchzuprobieren. Mit heutigen PCs und üblicher Software sind Kennwörter mit weniger als zehn Stellen innerhalb weniger Stunden knackbar – und die NSA hat garantiert was besseres. Und: Dieser Absatz könnte schon nächstes Jahr falsch sein, denn neue Hardware (Multicore-CPUs, Grafikkarten, SSD-Festplatten) sorgt für immer mehr Rechenkraft.
  • Außerdem sollten Sie jedes Kennwort immer nur für einen ganz bestimmten Zweck einsetzen. Das bedeutet umgekehrt: Verwenden Sie auf keinen Fall ein Kennwort für mehrere Dienste.
    Warum nicht? Ein Beispiel: Angenommen, Sie verwenden für Ihr E-Mail-Konto bei Hotmail das gleiche Kennwort wie im Online-Shop, in dem Sie regelmäßig Bücher kaufen. Plötzlich wird Hotmail “geknackt”, soll ja vorkommen, und irgendwo kursiert eine Liste mit Zugangsdaten. Wer nun Ihr Passwort hat, wird es auch bei anderen Diensten ausprobieren. Und hat dann auch vollen Zugriff auf den Shop.
  • Oft erhöhen Sie schon die Sicherheit, wenn Sie ein bestehendes, schlechtes Passwort mit einer Zahl verknüpfen (“ichbins2707”), oder Buchstaben wie O oder S durch Zeichen wie 0 wie $ ersetzen (“P0rt0$”). Hüten Sie sich aber vor bekannten Ziffernfolgen (“sesam4711”), sie sind anfällig für Wörterbuchattacken, die zwei hinreichend bekannte Phrasen kombinieren (“sesam” und “4711”).
  • Eine andere Möglichkeit ist es, eine Kombination aus dem Dienstnamen (GMail) und einer Straße (die eines Freundes, eine frühere Adresse; nicht die, in der Sie jetzt wohnen) zu erzeugen, etwa “GMailLindenstrasse17” oder “GMXBakerStr221b”. Schlecht sind diese Kombinationen, wenn der persönliche Teil von einem “Freund” zu leicht zu erraten ist. Verboten ist, eigene Daten zu nehmen oder das Muster der Kombination bei anderem anderen Dienst zu wiederholen: Wenn jemand rauskriegt, dass Sie bei eBay eBayLindenstrasse17 verwenden und in der Lindenstrasse 17 wohnen, wird er natürlich auch AmazonLindenstrasse17 ausprobieren.
  • Meiden Sie allzu exotische Sonderzeichen. Die sind zwar sicherer, aber es kann zu unerwarteten Schwierigkeiten führen, wenn Sie sich zum Beispiel mit einem Smartphone anmelden müssen. Beschränken Sie sich auf ()!-+$@&%, das geht fast immer.
  • Meiden Sie “y” und “z” sowie Umlaute. Sie können zu Problemen führen, falls sich die Sprachversion Ihrer Computer-Umgebung ändert, etwa weil Sie sich in den USA anmelden.

Die einfachste Methode, ein hinreichend langes Kennwort aus einer – für andere – sinnfreien Kombination aus Buchstaben, Ziffern und Sonderzeichen zu wählen, das trotzdem leicht zu merken ist, ist die

Sicheres Passwort erstellen und merken: Akronymtechnik

  • Akronymtechnik: Sie denken sich einen Satz aus und nehmen zum Beispiel den Anfangsbuchstaben jedes Wortes (oder die ersten beiden Zeichen) und kombinieren diese mit Satzzeichen und Ziffern.
  • Aus dem Satz “Das ist 1 Kennwort, das ich mir garantiert merken kann!” könnte man das Kennwort “Di1KW,dimgmk!” bilden. Es weist Ziffern (1 für “ein”), Sonderzeichen (= und zwei Satzzeichen) sowie Groß- und Kleinbuchstaben auf.

Heissa, sicherer gehts kaum.

  • Anderes Beispiel: “Ich habe 2 Arme und bin 28!” – fertig ist das Passwort “Ih2Aub28!” – so gewöhnen Sie sich an, Buchstaben und Zahlen in gemischter Schreibung zu verwenden.
  • Eine Variation der Akronymtechnik lässt einfach alle Selbstlaute aus: Aus “Ich bin Amazon-Kunde” wird dann “chbnmzn-Knd”. Wahlweise lässt man die Umlaute weg und kriegt ein “IiAaoue”, allerdings dürfte das vor der ersten Tasse Kaffee am Morgen im Büro doch zur Denksportarbeit ausarten. (Sehen Sie den Vorteil: Das hält Ihr Gehirn jung!)
  • Da die Akronymmethode inzwischen sehr weit verbreitet ist, sollten Sie auch hier keinen Satz verwenden, der sehr leicht mit Ihnen in Verbindung gebracht werden kann (“Ich heisse Müller im Jahr 2009.”). Auch bekannte Aussprüche sollten Sie nach Möglichkeit vermeiden – Kürzel wie “2b,on2b” oder “2bo!2b” – für “To be or not to be” – dürften inzwischen in den meisten Wörterbüchern von Kennwort-Crackern stehen.

Selbst mit der Akronymtechnik ist es schwierig, sich Kennwörter für zehn oder mehr Dienste bzw. Benutzerkonten zu merken. Noch dazu, da in vielen Firmennetzwerken oder auch bei Freemail-Anbietern verlangt oder zumindest empfohlen wird, das Kennwort alle paar Wochen zu wechseln*. Wenn Sie also nicht unbedingt ein Gehirnakrobat sind, werden Sie auf Dauer nicht umhin kommen, eine der beiden oben aufgestellten Regeln zu brechen:

  • Notieren Sie sich alle oder zumindest einige Kennwörter. Auf good old Papier.
  • Dann sollten Sie den Zettel aber nicht in Reichweite zu Ihrem Computerarbeitsplatz deponieren – jemand, der bei Ihnen einbricht, um das Notebook mitzunehmen, wird sich auch noch nach wichtigen Infos wie Kennwörtern, eventuell sogar noch nach der Rechnung des Geräts umsehen.
  • Ideal finde ich persönlich ein unauffälliges Adressbuch, das nicht beim Rechner liegt.

Man kann übrigens die Passwörter im Notizbuch ein bisschen sicherer machen:

  • Im Notizbuch sollten Sie die Passwörter nicht offensichtlich notieren. Alle Ihre Passwörter könnten die ersten zwei Ziffern gemeinsam haben, und diese zwei Ziffern lassen Sie im Buch weg. Damit sind alle Passwörter im Buch “falsch”.
  • Nicht immer muss man wissen, für welchen Dienst das Passwort gilt. Diese Umstand im Buch enfach nicht zu notieren kann Passwörter ebenfalls verschleiern.

Anti-Keylogger-Trick

Informieren Sie sich besser nicht über Hardware-Keylogger, denn sonst läuft es Ihnen kalt den Rücken herunter. Für 25 Euro erhalten Sie Geräte, die ein Angreifer oder Ihr Boss einfach zwischen USB oder PS/2 und Keyboard stecken und die dann wochenlang Ihre Tastatureingaben aufzeichnen. 60 Euro kostet ein Bausatz, den man in eine Tastatur einbauen kann. Für 150 Euro kriegt man Hardware-Keylogger, die mit dem WLAN-Router Verbindung aufnehmen und einmal täglich per E-Mail Ihre Eingaben vermailen, ohne dass Sie es mitkriegen. Virenscanner sind machtlos, weil sich das Gerät “außerhalb” des Systems befindet.

Dieser Tipp hilft:

  • Geben Sie einige Zeichen des Passworts per Cut&Paste ein, damit Hardware-Keylogger es nicht aufzeichnen können. Die Hardware-Keylogger können zwar die Tastenkombination sehen, die Cut&Paste initiieren, aber nicht, was gecuttet und gepastet wurde, denn die Zwischenablage ist eine Funktion des Betriebssystems.

Funktioniert aber nur bei reinen Tastatur-Hardware-Keyloggern, also kleinen Geräten zwischen Ihrer Tastatur und Ihrem PC (oder gleich in Ihrer Tastatur). Fast alle Software-Keylogger, die ich kenne, zeichnen aber auch die Zwischenablage auf. Der Angreifer muss sich das Passwort dann etwas aufwändiger zusammenbasteln, ja, aber der Aufwand bei der Passworteingabe steht in keinem Verhältnis zum Sicherheitsgewinn.

Mehr über Keylogger, Anti-Software-Keylogger-Tools, Anti-Keylogger-Tricks.

Spezial-Sonderzeichen

  • Sonderzeichen sind sicherer: öäü,.-_!?=()/&%$§” und so weiter
  • Spezial-Sonderzeichen sind noch sicherer: Das Zeichen ® werden Sie auf einer Tastatur nicht finden, daher wird ein Brute-Force-Angreifer eher nicht danach suchen. Aber wie kriegen Sie es her? So: Stellen Sie sicher, das Numlock aktiviert ist. Drücken Sie dann die Taste [Alt], halten Sie diese Taste gedrückt und geben Sie am Zehnerblock der Tastatur 0174 ein – das ergibt ®.
  • Eine Übersicht über solche Sonderzeichen in Wikipedia.
  • Ausführlichere Infos im Beitrag sichere Passwörter mit Sonderzeichen.
  • Hinweis: Nicht jeder Dienst kann Passwörter mit solchen Sonderzeichen verarbeiten. Dort kann es passieren, dass das Sonderzeichen durch zum Beispiel ein Leerzeichen ersetzt wird – intern. Das ist natürlich schlecht. Aber nicht zu ändern, und als User weiß man es nicht. Es folgt daraus aber: karndipurz23 ist ein besseres Passwort als !$%&.

Was Sie niemals tun dürfen

Jemanden Ihr Passwort verraten. Auch nicht, wenn derjenige sagt, es sei wichtig, um ein neues Passwort einzurichten, oder um zu sehen, dass Sie der richtige sind, oder sonst was.

  • Alle Systeme, die etwas auf sich halten, speichern nicht Ihr Passwort sondern einen Code, der ihr Passwort repräsentiert, aber erst dann weiß, dass das Passwort, dass Sie eingeben, das richtige ist, wenn Sie es eingegeben haben. Die Theorie ist kompliziert, aber vereinfacht gesagt befinden sich in einer guten Passwortdatenbank keine Passwörter, die man “auslesen” könnte. (In schlechten sehr wohl.)
  • Alle Systeme, die etwas auf sich halten, verfügen über ein System, bei dem Sie dass Passwort NEU DEFINIEREN müssen, wenn Sie das alte verloren haben. Auch in einer Firma sollte das der Standard sein. Wenn Ihnen der Admin ein neues Passwort mitteilt, fragen Sie ihn, wie Sie es selbst ändern können. Und ändern Sie es asap.

Wie sicher sind Sicherheitsabfragen?

Die so genannten “Sicherheitsabfragen” bei vielen Webdiensten sind eine ernsthafte Sicherheitslücke, denn sie sind viel leichter zu knacken als die eigentlichen Passwörter. Persönliche Daten zum Beispiel (Namen von Partnern, Haustieren, Eltern, Lieblings-Stars und Filme etc.) sind für das so genannte “social hacking” anfällig: Wer Sie auch nur im geringsten persönlich kennt, kann diese Daten im Zweifel problemlos ermitteln. Wer Sie nicht kennt, es aber drauf anlegt, ebenfalls.

Allerdings dienen diese Abfragen in der Regel nur dazu, Ihnen auf Ihre primäre E-Mail-Adresse einen Link zu schicken, um Ihr Passwort – falls vergessen – zurückzusetzen oder ähnliches. Als halb so schlimm, je nachdem, wie das System implementiert ist.

Dennoch würde ich persönlich raten, sinnvolle Angaben bei den so genannten “Sicherheitsabfragen” zu *vermeiden*. Der Paranoide verwendet dort stattdessen “irgendeine Frage” und als Antwort dasselbe Verfahren wie bei den Passwörtern, um eine Antwort zu geben, die nich tzur Frage passt.

Es ist umso wichtiger, die Passwörter und Sicherheitsabfragen zu notieren und an einem sicheren Ort zu verwahren, bei Ihrer Lebenversicherungspolice, Ihren Arbeitszeugnissen, o.ä.

Jedenfalls nicht im Notizbuch in der Aktentasche.

Passwort alle 3 Monate wechseln?

Immer wieder liest man, man solle sein “Passwort regelmässig ändern”. Warum?

Darum: Ein Angreifer, der Ihr Passwort gestohlen oder erraten hat, kann ihr Konto benutzen. Wenn er schlau ist, wird er nichts anstellen, was seine “Anwesenheit” verrät. Statt dessen wird er die gestohlene Identität zunächst nur dazu nutzen, um mehr über Sie erfahren und so zum Beispiel weitere Bestandteile Ihrer digitalen Identität zu sammeln.

Zum Beispiel E-Mail-Konten: An die verschicken andere Dienste Ihr Passwort, falls Sie es vergessen haben. Der Angreifer probiert also aus, ob Sie ein Konto hier und dort haben, indem er sich “anmeldet”, sein Kennwort als “vergessen” meldet und es zurücksetzen läßt. So erlangt er Zugriff auf weitere Konten. Indem er die Bestätigungsmails sofort löscht, verwischt er seine Spur. Er braucht auch nur mitlesen, was Sie so treiben: Aus Ihren Interessen lassen sich unter Umständen ebenfalls weitere Passwörter von Ihnen erraten.

Ich persönlich halte das ständige Neusetzen von Passwörtern für übertrieben. Ich denke eher, es macht Passwörter unsicher, weil man sich ständig neue ausdenken und merken muss – und welcher Verstand würde hier nicht den einfachsten Weg gehen? – Ändern Sie ihr Passwort vielleicht jährlich – sowie dringend immer dann, wenn Sie den Verdacht haben, etwas könnte passiert sein. Freemail-Dienste zeigen Ihnen zum Beispiel an, wann Sie das letzte Mal angemeldet waren – wenn die Anzeige Sie misstrauisch stimmt, dann ändern Sie Ihr Passwort. Oder: Sie hatten einen Virus, Wurm, Trojaner? Sofort alle Passwörter ändern!

Wichtig: Nach einem Viren-Crash ist großangelegtes Ändern aller Kennwörter angesagt.

Der Paranoide ändert sein Passwort natürlich täglich.

Kennwort-Muster & Mustersperren?

Weil Passwörter schwer zu merken sind, bieten einige Systeme sogenannte Mustersperren an. Das ist neu bei Smartphones mit viel Display und ohne Tastenfeld, das gab es aber schon als Login-Erweitering zu Novell-Netware-Zeiten. Bei diesem Verfahren sehen Sie ein geometrisches Feld vor sich, in das Sie einfach mit der Maus oder mit dem Finger am Touchscreen ein Muster einzeichnen.

Klingt super. Es dürfte aber hoffentlich klar sein, dass das nur von begrenzter Sicherheit ist, vor allem bei Smartphones. Denn das Muster malt man immer wieder auf einem verschmierten Display, es wird in jedem Fall Spuren hinterlassen. Schon okay, um neugierige Freundinnen abzuhalten, aber einen echten Schutz bietet das eher nicht. Probieren Sie es aus: Machen Sie das Display sauber, halten Sie es eine Minute ans Ohr, geben Sie dann das Muster ein, halten Sie die Displayfläche so gegen das Licht, dass Sie den Schmutz auf dem Display sehen können.

Abhilfe schafft bedingt, regelmäßig das Muster zu ändern.

Kennwort-Safe benutzen?

Eine Möglichkeit, eine Liste der Kennwörter immer auf dem PC oder Netbook parat zu haben, ist, sie in einem Dokument oder einer Tabelle zu speichern. Die eingebauten Verschlüsselungsfunktionen von Office-Programmen bieten sich an, um diese Passwörter zu verschlüsseln, aber sie haben sich in der Vergangenheit nicht immer als sicher erwiesen. Besser verschlüsselt Sie mit einem Tool wie 7zip, PGP oder TrueCrypt. Im Ergebnis müssen Sie sich dann nur noch die Passphrase für das verschlüsselte Archiv merken.

Kaspersky Password Manager
Können helfen: Password Manager wie der von Kaspersky

Es gibt auch eine Reihe von Programmen, die als digitaler Tresor für Kennwörter, PINs, TANs, etc. angeboten werden, zum Beispiel Steganos Passwort Manager oder Kaspersky Passwort Manager. Ich würde hier tatsächlich eher zu kostenpflichtiger Software greifen als zu Freeware, denn mal angenommen, Sie wären ein Hacker – also ein richtiger, nicht bloß ein Script-Kid, das Tools aufrufen und Buttons anklicken kann. Was würden Sie tun, um Passwörter einzusammeln? Natürlich einen einen Freeware-Passwortsafe schreiben, der gelegentlich “nach Hause telefoniert”. Oder? – Andererseits kann man auch zu paranoid sein…

Ganz nett finde ich Steganos Locknote, Tool und Dokument zugleich: Starten Sie locknote.exe durch einen Doppelklick und passen Sie den Text beliebig an. Speichern Sie über Datei, Speichern unter und wählen Sie einen Ort und einen Dateinamen wie notiz. Locknote fragt nach einem Passwort und verschlüsselt die Textdaten. Das Ergebnis ist die Datei notiz.exe. Ein Doppelklick auf diese Datei öffnet ein neues Locknote, die Eingabe des Passworts macht den Inhalt zugänglich. Mit Locknote können Sie Zugangsdaten und Passwörter einigermaßen sicher speichern – das erlaubt es Ihnen, Zugangsdaten einigermaßen unbesorgt per USB-Stick zu transportieren. Baupläne für die Herstellung von Erdöl aus Meereswasser würde ich allerdings auch darin nicht speichern…

Kennwörter im Browser speichern oder nicht?

So verlockend die Möglichkeit ist: Lassen Sie Kennwörter, die Sie auf Web-Seiten eingeben, nicht von Ihrem Browser speichern! Denn dann muss jemand, der sich Zugriff auf Ihr Notebook verschafft, das Kennwort ebenfalls nicht eintippen und kann so auf Ihre Kosten zum Beispiel einkaufen, Dienstleistungen nutzen oder auch in Ihrem Namen E-Mails verschicken.

Oder: Ein Trojaner könnte Ihren Browser kapern und die Passwortliste komplett abgreifen und per Mail verschicken. Dauert keine Sekunde.

Wenn Sie trotzdem Passwörter im Browser speichern wollen, dann rate ich wenigstens zu Firefox und dazu, in den Sicherheitseinstellungen ein Master-Passwort zu definieren.

Initalpasswörter?

Ein Initialpasswort ist ein Kennwort,

  • das Ihnen nach der ersten Registrierung oder
  • das Ihnen nach einem “vergessenen Passwort” zur Wiederherstellung des Passworts

zugeteilt wurde. Sie sollten es so schnell wie möglich ändern.

Wo findet man das Initialpasswort?
Im Posteingang.
Bei der Routine “Passwort vergessen” geben viele Webseiten an, die E-Mail-Adresse anzugeben, an die das Passwort verschickt werden soll. Das ist sinnvoll, denn wenn wer hier die falsche Adresse angibt, der ist gewiss nicht der richtige Nutzer und hat daher auch nichts dort zu suchen. Wer die richtige Mail-Adresse angibt, findet sein Passwort im dortigen Posteingang.
Gelegentlich fragt ein Service nicht nach der Mail-Adresse, dann schickt es einfach die Info an die im Service gespeicherte Mail-Adresse. Schlecht für einen Nutzer, der nicht mehr weiss, mit welcher seiner vielen Mail-Adressen er sich dort registriert hat. Es lohnt sich, in seinem Passwortnotizbuch auch einen Code für die korrespondierende Mail-Adresse anzulegen.

Initialpasswörter, vor allem solche, die per E-Mail verschickt wurden, sind als unsicher zu betrachten und sollten daher direkt nach dem Einloggen geändert werden! (Sie erinnern sich: E-Mail, das sind Postkarten, die jeder lesen kann.)

 

Passwort: Swordfish?

Hier zur allgemeinen Erheiterung ein Video eines der ältesten filmischen Passwort-Hack-Versuche: