Wie muss ein gutes Passwort aussehen?

Bei der Fülle an Passwörtern, die wir heutzutage Wissen müssen, ist die Versuchung groß, etwas einfaches und bequemes zu verwenden. Viele Anwender haben nicht nur die Passwörter für private E-Mails, Online-Banking, Facebook und Co im Kopf, sondern zusätzlich auch noch Passwörter bei der Arbeit. Wie verlockend ist da die Idee, das selbe Passwort bei möglichst vielen Diensten zu verwenden. 

Je einfacher desto besser. Dabei wird eine große Gefahr unterschätzt. Gerade wenn Server gehackt werden, gelangen oft nicht nur die Passwörter in die Hände der Angreifer, sondern oft auch die E-Mail Adressen zum Passwort. Wird dann die gleiche E-Mail-Passwort-Kombination bei anderen Diensten verwendet, ist es für Angreifer ein Leichtes, sich Zugang bei weiteren Diensten zu verschaffen.

Was geht nicht als Passwort?

Ein guter Anhaltspunkt für ungeeignete Passwörter ist die Liste der beliebtesten Passwörter. Dazu gehören 123456 und Passwort oder qwertz im Deutschen. Aber auch Geburtsdaten sind ungeeignet sowie Namen wie beispielsweise michael, jennifer, thomas oder jordan. Aber auch Sportarten sollten nicht verwendet werden oder alles, was einen persönlichen Bezug zum Benutzer herstellt. Generell kann davon ausgegangen werden, steht das Wort im Duden, taugt es nichts als Passwort, denn Wörterbücher werden beispielsweise für Brute-Force Attacken verwendet.

Ein sicheres Passwort zeichnet sich durch seine Komplexität aus (Bild: Benjamin Blessing).
Ein sicheres Passwort zeichnet sich durch seine Komplexität aus (Bild: Benjamin Blessing).

Wie muss ein gutes Passwort aussehen?

Die Wichtigkeit eines sicheren Passworts erhöht sich durch die Tatsache, dass Benutzer generell für jeden Online-Dienst die gleiche E-Mail Adresse verwenden. Das heißt nur das Passwort schützt vor Angreifern, da der Benutzername in der Regel bekannt ist. Folgender 5-Punkte Plan hilft bei der Erstellung sicherer Passwörter:

Schritt 1: Satz oder Redewendung

Passwörter, zu denen ein Bezug hergestellt werden kann, lassen sich leichter merken als eine beliebige Buchstaben-Zahlenkombination. So kann beispielsweise ein Satz oder eine Redewendung verwendet werden (wobei bekannte Redewendungen eher ungeeignet sind). Trotzdem wird beispielhaft folgende Redewendung verwendet: Rosen sind rot, Veilchen sind blau! 

Durch die Verwendung der Anfangsbuchstaben sowie Sonderzeichen der Redewendung lässt sich folgendes Passwort erstellen: Rsr,Vsb!

Das ist leicht zu merken, schwer zu erraten und die Wahrscheinlichkeit gering, dass weitere Personen die selbe Idee haben. Trotzdem, die Redewendung ist bekannt, weshalb es empfehlenswert ist, einen individuellen Satz zu verwenden.

Schritt 2: Verschiedene Passwörter

Ja das nervt, ist aber unumgänglich. Es müssen zwingend verschiedene Passwörter für unterschiedliche Dienste wie E-Mail, Online-Banking, Facebook & Co verwendet werden. Sollte ein Dienst durch einen Hackerangriff fallen, sind alle anderen weiterhin sicher. Wie kann ein sicheres Passwort erstellt werden, dass eine Eselsbrücke zum verwendeten Dienst herstellt?

Wieder am Beispiel von Rosen sind rot, Veilchen sind blau! soll gezeigt werden, wie leicht sich eine gute Eselsbrücke für ein sicheres Passwort erstellen lässt. Dazu wird der Satz entsprechend angepasst: Rosen sind rot, Facebook ist blau!

Das ergibt das Passwort: Rsr,Fib!

Das Passwort hat jetzt 8 Zeichen, das genügt für die meisten Dienste. Es soll noch sicherer werden? Wie wäre es mit Rosen sind rot, Facebook ist blau und weiß! wodurch sich das Passwort Rsr,Fibuw! ergibt. Sicher? Auf jeden Fall! Zudem leicht zu merken und individuell passend für den jeweiligen Dienst.

Sollte das Passwort Rsr,Fibuw! einem Angreifer in die Hände fallen, ist es so gut wie ausgeschlossen, dass beispielsweise das Xing-Passwort Rsr,Xigug! (Rosen sind rot, Xing ist grün und grau!) erraten werden kann.

Schritt 3: Zahlen hinzufügen

Für extra Pfeffer (Sicherheit) können Zahlen dem Passwort hinzugefügt werden. Beispielsweise können die Teilsätze mit Zahlen beginnen: 1 Rosen sind rot, 2 Facebook ist blau!

Das Passwort 1Rsr,2Fib! kann nur mit viel viel Glück erraten werden. Selbst wenn dem Angreifer bekannt sein sollte, dass der Satz Rosen sind rot, Veilchen sind blau verwendet wird, die eingebaute Eselsbrücke durch die Individualisierung auf den verwendeten Dienst machen in diesem Fall das Passwort sicherer als die reine Redewendung. Verwendete Sonderzeichen und Zahlen erhöhen die Sicherheit zusätzlich.

Schritt 4: Passwörter ändern

Das tut weh und kostet Zeit, erhöht jedoch die Sicherheit und fördert die grauen Zellen. Passwörter sollten wenigstens jährlich geändert werden, zwingend jedoch, sobald der verwendete Online-Dienst durch einen Hackerangriff in den Nachrichten auftaucht. Dabei müssen nicht die Passwörter bei allen Diensten auf einmal geändert werden. Das kann schrittweise erfolgen in dem jede Woche fünf Dienste auf das neue Passwort-System umgestellt werden.

Schritt 5: Passwörter werden nicht geteilt!

So einfach ist das. Ist es euer Dienst, ist es euer Passwort! Muss ein Passwort an eine dritte Person weitergegeben werden, dann mündlich und nicht per SMS, E-Mail oder WhatsApp. Passwörter werden auch nicht aufgeschrieben, insbesondere nicht in eine Datei mit dem Namen Passwörter die im Ordner Privat liegt!!

Pro-Tipp

Bietet der Online-Dienst eine Zwei-Faktor-Authentifizierung an, sollte diese aktiviert werden. Dabei erfolgt der Login des Benutzers über zwei, voneinander unabhängige, Komponenten. Beispielsweise Browser und Bestätigungscode auf dem Smartphone. Das erhöht die Sicherheit extrem, kostet aber Bequemlichkeit bei jedem Login (insbesondere, wenn der Benutzer nach jeder Session automatisch ausgeloggt wird).

Was taugen Passwort-Manager?

Schwer zu sagen! Hier sollte vorher analysiert werden, wie die Passwörter übertragen werden sowie wie und wo die Passwörter gespeichert werden. Hat der Anbieter Zugriff auf die Passwörter im Klartext? Kann der Anbieter möglicherweise per Gerichtsbeschluss zur Herausgabe der Passwörter verpflichtet werden? Was passiert, wenn der Dienst gehackt wird?

Persönliche Meinung

Passwörter nerven, sind aber bis dato die sicherste und einfachste Lösung. Fingerabdruck-Scanner haben sich oft als wenig zuverlässig erwiesen, zudem kann auch Apples Fingerabdruck-Scanner einfach umgangen werden. Persönlich habe ich erst vor wenigen Monaten alle Passwörter geändert. Das war zeitintensiv, da durch jeden Dienst manuell bis zur Passwort-Seite geklickt werden musste und anschließend die Änderung per E-Mail eine Bestätigung verlangte. Zudem war es anfänglich anstrengend für die grauen Zellen, denn für etwa 20 regelmäßig verwendete Dienste mussten die neuen Passwörter im Kopf bleiben.

Quelle: SplashData, Passwordday.org