Sichere Passwörter sind die Grundlage jeder sicheren, digitalen Identität. Wichtig ist daher, mit Kennwörtern richtig umzugehen – zum Beispiel mit diesen 10 Tipps.
Wer unseren Benutzernamen und unser Passwort bei einem Dienst kennt, kann in der virtuellen Welt „wir“ sein – ohne dass dort jemand den Unterschied bemerkt. Daher sollte man sich genau überlegen, wie man mit seinen Passwörtern sicher umgeht.
Passwörter-Tipp #1: Nutzen Sie ein Passwort pro Konto
Sichere Passwörter sind wie Schlüssel: Mal angenommen, wir hätten den gleichen Schlüssel für Büro, Wohnung und Bankschließfach. Wer uns diesen einen Schlüssel stiehlt, hätte dann auch Zugang zu unserem Büro, unserer Wohnung, dem Bankschließfach.
Bei Passwörtern ist es noch schlimmer: Denn wann immer die Passwortdatenbank eines Anbieters geknackt wird, gelangen die so gehackten Zugangsdaten in die Öffentlichkeit – E-Mail-Adresse und Passwort gleichermaßen (Beispiel-Download hier).
Automatische Hackprogramme rattern dann einfach diese geraubten Zugangsdaten bei verschiedenen Diensten von Amazon über Facebook bis Paypal durch – irgendwann wird irgendwo schon ein „Schlüssel“ passen.
Für die Passwortsicherheit bedeutet das: Sie sollten kein Passwort bei zwei Diensten benutzen. Jeder Dienst braucht sein eigenes Passwort.
Passwörter-Tipp #2: Phishing-Angriffe vermeiden
„Phishing“ ist ein Kofferwort aus „Passwort“ und „Fishing“: Mit dieser Methode werfen Cyberkriminelle virtuelle Netze aus, um unsere Passwörter einzufangen.
Das Schema ist immer das Gleiche: Eine E-Mail von einem Web-Dienst benachrichtigt den Kunden / das Opfer der Phishing-Attacke über ein angeblich Problem: Eine hohe Rechnung ist zu zahlen, eine angebliche Systemänderung steht bevor … meist alles verbunden mit einem zeitlichen Limit. Die E-Mail verführt den Nutzer auf diese Weise, auf einen mitgelieferten Link zu klicken und sich anzumelden.
Der Link der Mail führt aber nicht zur Seite des Dienstes, der sich vorgeblich hinter der Mail verbirgt. Sondern auf gefälschte Webseiten, deren einzige Funktion es ist, die bei der „Anmeldung“ eingegebenen Zugangsdaten abzugreifen. Analogie: Sie stecken Ihren Schlüssel in ein Schloss, aber es ist kein Schloss, es ist eine Schlüssel-Kopier-Maschine.
Auf diese Weise gelangen Ihre Zugangsdaten in die falschen Hände. Schutz bietet nur, die psychologischen Tricks zu ignorieren, Dienste nur manuell aufzurufen und nur dann Zugangsdaten einzugeben. Beispiel für ein ganz klassisches PayPal-Phishing hier.
Passwörter-Tipp #3: unsichere Passwörter kennenlernen
Auswertungen zeigen, dass die meisten Menschen viel zu simple Kennwörter benutzen. Diese Auswertungen sind nicht theoretisch, sie basieren meist auf gehackten Passwortdatenbanken und damit auf realen Passwörtern.
Selbst wenn man über mehrere Jahre hinweg die beliebtesten Passwörter vergleicht, belegen Kennwörter wie „123456“, „password“, „12345“, „12345678“, „qwerty“ und „123456789“ unverändert Spitzenplätze.
Daraus folgt: Diese Passwörter sind absolute No-Gos!
Passwörter-Tipp #4. Machen Sie Ihr Passwort lang
Passwörter zu knacken ist keine Magie, sondern Mathematik: Man probiert einfach alle möglichen Passwörter durch. Je länger ein Passwort ist, desto länger dauert das natürlich.
Nehmen Sie das Zahlenschloss eines Reisekoffers. Bei drei Stellen zu je zehn Ziffern 0 bis 9 gibt einfach nur die 1.000 (=10^3) Kombinationen von 000 bis 999. Diese tausend Kombinationen kann jeder mit etwas Geduld manuell durchprobieren, und so das Schloss knacken.
Hätte das Kofferschloss jedoch 4 Stellen, bräuchte man schon 10.000 (10^4) Versuche. Kurzum: Der Koffer wird mit jeder zusätzlichen Ziffernstelle zehn Mal sicherer (Stellenzahl hoch Möglichkeiten).
Beim Computer ist das ähnlich. Ein Passwort sollte daher 12 oder mehr Zeichen haben (sicher gehen Sie mit 20), wobei Sie mit gemischter Groß- und Kleinschreibung, Ziffern, Sonderzeichen wie >!§+-<$%#,&/.()= oder gar Emojis den Möglichkeitsraum noch vergrößern können.
Beim Dienst How Secure is my Password? können Sie Passwörter eingeben (nie echte verwenden, sondern nur „so ähnliche“!) und sehen, wie schon der Austausch eines einzigen Buchstabens durch ein Sonderzeichen sich positiv auf die Schwierigkeit auswirkt, es durch reine Rechenkraft erraten zu können.
Passwörter-Tipp #5: einzelne Wörter sind verboten!
Untersuchungen zeigen, dass viele Nutzer einfach irgendwelche Namen verwenden: den eigenen, den von Ehepartner, Hund, Katze oder Filmhelden („Batman“), Bezeichnungen von Interessen, Büchern, Musiktitel, oft auch den Namen der Firma, in der man arbeitet, oder das Geburtsdatum.
All diese Informationen sind leicht zu erraten, weil es eben nur eine begrenzte Zahl von Helden, Büchern, Medien-Hits gibt. Sogenannte „Wörterbuch-Attacken“ hacken sich daher automatisch in Konten, indem sie Listen populärer Begriffe abarbeiten.
Will man gezielt jemanden hacken, kann man dessen Interessen via Social Media ermitteln und für den Angriff ein eigenes Wörterbuch anlegen. Für Sie bedeutet das: Ein einzelnes Wort ist verboten, auch in Kombination mit Zahlen (Batman69…).
Viele Wörter hingegen sind erlaubt. <- Das wäre daher ein ganz anständiges Passwort.
Passwörter-Tipp #6: Passphrasen sind gut
Sind also „8S6Sx6tr5334+g3tj479“ und „4mP6t3k4n9Sx352s9t%5“ die idealen Passwörter?
Jain. Denn ja, sie sind als Passwörter hervorragend; aber auch nein, denn wer diese irgendwo eintippen muss, vertippt sich garantiert. Und zwar nicht einmal, sondern mehrfach, und womöglich würde man sich selbst aus seinem Konto aussperren.
Besser sind daher Passphrasen aus mindestens vier, besser fünf oder mehr Wörtern, die man relativ leicht eingeben kann – die aber dennoch sehr lang sind.
„Kommando-einreichen-ohne-Bleistift-telefonieren“ darf als sehr sicheres Passwort gelten, dessen Eingabe selbst auf Mobilgeräten nur mühsam, nicht jedoch fehleranfällig ist. Mathematisch gesehen erhöht man hier nicht die Zahl der Stellen sondern die Zahl der Möglichkeiten einer Stelle.
(Im Beispiel fünf Wörter = fünf Stellen. Aus dem Wortschatz des Deutschen, ca. 100.000 Wörter, ergeben sich 5^100.000 Kombinationen ergeben.) Gemischtsprachige Phrasen sind folglich noch besser. Die Webseite Gute Passwörter hilft Fantasielosen, schnell vier oder mehr Wörter zu finden.
Passwörter-Tipp #7: Verwende einen Passwort-Manager
So oder so wird es schwer, sich all diese sicheren Passwörter zu merken. Denn es muss ja jeder Dienst sein eigenes Kennwort haben (siehe 1.), alle Passwörter müssen kompliziert und lang sein und so weiter. Man müsste schon ein eidetisches Gedächtnis besitzen, um das in der Praxis handhaben zu können.
Ein Passwort-Manager kann Ihnen diese Arbeit abnehmen. Er ist nichts anderes als ein Datenbankprogramm, bei dem man die Datenbank nur mit Hilfe eines „Master-Passworts“ auslesen und beschreiben kann.
Die Datenbank ist mit dem Master-Kennwort verschlüsselt und enthält zum Beispiel zu jeder Website einen oder mehrere Benutzernamen, E-Mail-Adressen und natürlich die Passwörter. Je nach System kann der Passwort-Manager Zugangsdaten, die du im Browser irgendwo eingibst, automatisch speichern und später automatisch auch in das Login-Formular eingeben.
Mit einem Passwort-Manager können Sie beliebig lange Kennwörter nutzen und müssen sich dennoch nur eines merken: das Kennwort des Passwort-Managers.
Manche Passwort-Datenbanken lassen sich per Cloud synchronisieren, was natürlich erfordert, dass das Master-Passwort ganz besonders lang und komplex ist. Per Cloud hat man dann aber auf allen Geräten stets alle seine aktuellen Passwörter dabei.
Passwörter-Tipp #8: kostenlose Passwort-Manager
Freie Tools reichen eigentlich völlig aus, um damit gut arbeiten zu können, sind allerdings in der Bedienung oft etwas spröde.
Ein Klassiker unter den freien Passwort-Managern ist KeePass (keepass.info). Die Software ist quelloffen und kostenlos und für Windows (auch portable), Mac und Linux ebenso zu haben wie für Android und iOS. Workshop hier: KeePass 2. Mit einigen Erweiterungen lässt sich KeePass problemlos auch mit Browsern verbinden.
Wer eine Alternative sucht, nimmt Password Safe (pwsafe.org). Gibt’s ebenfalls für zahlreiche Plattformen, ist ebenfalls kostenlos und quelloffen. Workshop hier: Password Safe. Encryptr (encryptr.org) ist ein ganz neues quelloffenes, kostenloses und cloudbasiertes Passwort-System. Es befindet sich noch in der Entwicklung, ist aber schon für Windows, Mac, Android und Linux zu haben.
Passwörter-Tipp #9. kommerzielle Passwort-Manager
Kommerzielle Programme bieten interessante Zusatzfunktionen oder sind ganz einfach nur besser zu bedienen. Ihre Mobilgerät-Implementationen sind allerdings nicht immer das Gelbe vom Ei, gelegentlich fehlt Linux-Support.
Der Passwort-Manager 1Password (agilebits.com) kommt ursprünglich vom Mac und gilt dort als bestes Tool seiner Art. Es ist extrem nutzerfreundlich und bietet interessante Features wie Passwort-Datenbank-Backups, Passwort-Generator, Passwort-Stärke-Anzeige und vieles mehr, ist aber auch sehr teuer (50 USD pro Plattform). Cloud-Synchronisation ist optional. Für Mac, Windows, iOS, Android.
Ebenfalls kommerziell ist das Tool LastPass (lastpass.com), das es auch für Linux und Blackberry gibt und das auf Windows als Platzhirsch gelten darf. Cloud-Synchronisation ist aber hier ein Muss, weil es eine wesentliche Funktion des Tools ist. Das Erlösmodell ist entsprechend ein Abo für faire 12 Euro pro Jahr.
DashLane (dashlane.com) kann man kostenlos nutzen, erst erweiterte Features wie Cloud-Sync bitten zur Kasse, dafür gibt’s sogar die Möglichkeit, automatisch viele Passwörter auf einmal ändern zu lassen.
Passwort Depot (password-depot.de) ist extrem ausgefeilt und überzeugt mit vielen klugen Details – auf Windows und Max (mit Clients für iOS/Android).
Passwörter-Tipp #10: 2-Faktor-Authentifizierung
Die „Zwei-Faktor-Authentifizierung“ ersetzt Passwörter nicht, aber sie macht sie noch sicherer. Sie verwendet zwei Wege, um sicherzustellen, dass wir sind, wer zu sein wir vorgeben.
Das 2-Wege-Verfahren verbindet ganz wie die EC-Karte die Komponenten „Besitz“ (der Karte) und „Wissen“ (der PIN): Das „Wissen“ ist dabei das Passwort, der „Besitz“ zum Beispiel ein Smartphone. Nach der (halben) Anmeldung bei einem Dienst erhältst Du beispielsweise eine SMS an Dein Handy oder eine Nachricht an eine App wie „Google Authenticator“ oder „Authy“. Sie enthält einen Code, den Du zusätzlich eingeben musst, um Dich mit diesem zweiten Faktor vollständig zu authentifizieren.
Auf diese Weise kann sich niemand anmelden, wenn er nur die (möglicherweise gestohlenen) Zugangsdaten samt Passwort hat. Google, Microsoft, Facebook, Twitter, Dropbox und viele andere Dienste bieten bereits die 2-Faktor-Authentifizierung, manchmal auch „Anmeldebestätigung“, „Bestätigung in zwei Schritten“ oder anders genannt.
Wichtig: Man sollte es damit nicht übertreiben, denn es ist zwar sicherer, kann unter Umständen auch nervig sein. Es lohnt sich also nicht für jeden Ramsch-Account, aber für die wichtigen Konten (Mail, Facebook, Twitter, Shop) ist es ein Muß.