Was denken Sie, wie schnell ein gewöhnlicher Heimcomputer ein Passwort wie „aachen“ geknackt hat? Vermutlich sind es weniger als sieben Sekunden. Denn erstens sind sechs Buchstaben per se schon kein besonders starkes Passwort, zweitens besteht es ausschließlich aus Kleinbuchstaben und drittens ist der Name der Stadt in einem Lexikon oder Wörterbuch zu finden – und dort auch noch alphabetisch sortiert ziemlich weit oben. Eine Brut-Force-Attacke, die einfach alle Möglichkeiten zunächst aus dem Wörterbuch und dann auch mit unsinnigen Kombinationen durchprobiert, käme also blitzschnell zum richtigen Ergebnis.
„Aachen1234“ ist bereits deutlich sicherer, denn es hat zehn Stellen mit Großbuchstaben und Zahlen. Bis zu sechshundert Jahre würde ein normaler PC daran herumrätseln, wenn er nicht wegen des Doppel-A zu Beginn und der wenig einfallsreichen Zahlenkombination früher fertig ist. Bei „sd*44ajf#239%(/kr8+ft“ hat er keine Chance mehr, allerdings würde auch der Benutzer sehr bald den Link „Passwort vergessen“ anklicken müssen, wenn er nicht einen unsicheren Notizzettel oder besser einen Passwort-Manager nutzt.
Gegen alle Regeln
Der beste Tipp für das Erstellen eines sicheren Passworts ist wohl, keinen Tipps zu folgen. Zumindest dann nicht, wenn die Tipps eine wie auch immer geartete Regel enthalten. Denn nur ein Passwort, das keiner Regel folgt, kann von keinem Algorithmus der Welt zurückgerechnet werden. Aus den einleitend erläuterten Beispielen ist schon klar geworden, dass ein starkes Passwort erstens möglichst lang sein und zweitens eine bunte Mischung von Klein- und Großbuchstaben, Ziffern und Sonderzeichen enthalten sollte.
Umlaute sind eine gute Idee, wenn das Passwort nicht zum Beispiel bei einem Auslandsaufenthalt auf einer Tastatur mit fremdem Sprachlayout eingegeben werden müssen. Gleiches gilt auch für andere sogenannten diakritische Zeichen, also die an Buchstaben angebrachten Punkte, Striche, Bögen und dergleichen. Bei deutschsprachigem Tastaturlayout bietet sich zum Beispiel der Zirkumflex an, das kleine „Dach“ (^) links oben auf der Tastatur. Wenn kein passender Vokal folgt, erscheint er als eigenes Zeichen. Wegen der unterschiedlichen Behandlung je nach folgender Eingabe wird der Zirkumflex selbst von manchen Keyloggern nicht erkannt. Das sind Programme, die jeden Tastendruck protokollieren und deshalb zum Ausspionieren von Passwörtern eingesetzt werden können.
Wie aber lassen sich nun alle diese Ratschläge beherzigen, ohne das eigene Gedächtnis zu überfordern? Das geht mit einem Merksatz, aus dem das Passwort abgeleitet wird. „Meine drei besten Freunde und ich sind im August 2019 nach Mallorca geflogen“ könnte auf diese Weise zu einem ziemlich guten Passwort „M3bF+isi08.2019nMg“ werden.
Jedem Dienst sein eigenes Passwort
Allerdings stößt diese auf den ersten Blick recht brauchbare Lösung an ihre Grenzen, wenn jedem Zugang ein eigenes Passwort zugeordnet wird. Das ist dringend zu empfehlen, denn sonst bedeutet eine einzige Sicherheitslücke in einem unbedeutenden Online-Shop gleich einen Generalschlüssel zu E-Mail-Postfach, Amazon-Konto und Onlinebanking, wobei zumindest letzteres mit einem zweiten Faktor gesichert sein muss. Wer es mit den getrennten Passwörtern ernst nimmt, muss also nicht nur die Überleitungsregel vom Merksatz in das Passwort behalten, sondern sich zudem noch daran erinnern, welcher Satz zu welcher Webseite gehört.
An dieser Stelle kommt der Passwort-Manager ins Spiel. Mit einem solchen Programm lassen sich selbst völlig zufällig gebildete Passwörter in nahezu beliebiger Zahl verwalten. Sie werden kombiniert mit den zugehörigen Benutzernamen, die ja auch leicht verwechselbar sind (zum Beispiel Nickname oder eine von mehreren E-Mail-Adressen). Online gespeichert stehen die Zugangsdaten auch am Arbeitsplatz oder auf Reisen zur Verfügung. Pflicht sind aber ein vertrauenswürdiger Anbieter und ein wirklich sicheres Masterpasswort, das den Zugang zum Manager absichert.
Bild: Bigstockphoto.com / TeroVesalainen