Geheim sollte das Passwort sein, „geheim“ dagegen besser nicht. Diese Variante ist (Achtung, Spoiler!) aus Umberto Ecos Roman „Das Foucaultsche Pendel“ nun wirklich zu bekannt. Außerdem ist dieses Wort sehr kurz, und es steht im Wörterbuch. Deshalb wird es bei einem Hackerangriff relativ schnell im Zufallsverfahren gefunden. Längere Passwörter, die aus beliebig aneinandergereihten Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen bestehen, sind dagegen auf diese Weise kaum zu knacken. Eine weitere Grundregel ist, für verschiedene Dienste jeweils eigene Passwörter zu nutzen. Passwortmanager helfen dem Anwender dabei, viele komplexe Passwörter zu behalten und zudem noch komfortabel einfügen zu können.
Die Hitliste der unsichersten Passwörter
Der IT Security Analyst und Autor Mark Burnett hat bereits im Jahr 2005 eine Liste der weltweit häufigsten Passwörter zusammengestellt. „password“ ist der Spitzenreiter, dicht gefolgt von „123456“, „12345678“ und „1234“. Sie fragen sich, woher Burnett das weiß? Ganz einfach, er hat damals zehntausend gehackte Accounts ausgewertet und einige Jahre später das Experiment mit zehn Millionen Datensätzen wiederholt. Material dazu gibt es reichlich durch immer wieder auftretende Datenlecks. Gleiches gilt übrigens auch für vierstellige PIN, die aufgrund ihrer Kürze ohnehin schon wenig Sicherheit bieten – 1234 und 0000 sind hier sicher nicht die beste Wahl, wenn es darum geht, Hacker, den Chef oder den (die) eifersüchtige Ex-Freund(in) vom eigenen E-Mail-Account oder der Bestellübersicht bei Amazon fernzuhalten. In Deutschland sind übrigens „hallo“, „passwort“ und „hallo123“ die Top drei der Passwort-Liste.
Am schnellsten sind Passwörter aus dem Wörterbuch herauszufinden. Ein handelsüblicher PC braucht nur wenige Sekunden dafür, selbst wenn er mehrere Sprachen durchprobieren muss. Aber auch sinnfreie Kombinationen sind kaum besser, wenn sie zu kurz sind und zudem nur einen eingeschränkten Zeichensatz verwenden. Die Angriffsform, die als Brut Force bezeichnet wird, probiert einfach alle möglichen Werte durch, eventuell mit Priorität auf richtigen Wörtern. Ein sechsstelliges Passwort, das nur aus Kleinbuchstaben besteht, „errät“ ein einigermaßen leistungsfähiger Heimcomputer in weniger als sieben Sekunden. Kommen Großbuchstaben und Zahlen hinzu, steigt die benötigte Zeit exponentiell auf maximal 21 Minuten, und schon bei einer Stelle mehr sind es knapp 22 Stunden. Für zehn Zeichen sind es dann schon sechshundert Jahre – aber eben immer nur als Maximalwert, wenn erst das letzte Passwort korrekt ist. Der entscheidende Treffer kann auch schon mit der ersten Kombination erreicht werden. Außerdem bedienen sich Hacker leistungsfähiger Hardware. Schon gewöhnliche Grafikkarten sind für diese Aufgabe geeignet.
So geht es besser
Die wichtigsten Tipps für ein sicheres Passwort haben Sie damit schon parat:
- Das Passwort soll möglichst lang sein.
- Es soll verschiedene Arten von Zeichen enthalten, also Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen.
- Es sollte eine zufällige oder zumindest zufällig wirkende Kombination darstellen, die nicht im Wörterbuch zu finden ist.
Zufällig scheinen auch Passwörter, die sich aus Merksätzen bilden lassen. „Ich wohne im drittletzten Haus am Ende der Straße auf der linken Seite im zweiten Stock“ kann als Passwort ergeben: Iwi3lHaEdSadlSi2.S.
Textdateien sind schnell zu knacken
Das beste Passwort nutzt nichts, wenn es auf einem Post-it notiert am Bildschirm klebt. Ebenso tabu ist die Weitergabe eines Passworts, zum Beispiel an den Kollegen, der in Ihrem Urlaub „nur mal schnell etwas nachschauen muss“ auf Ihrem Arbeitsplatzrechner. Seriöse Unternehmen werden sie am Telefon oder per E-Mail niemals nach Passwörtern fragen. Eine unverschlüsselte Textdatei auf Ihrer Festplatte ist genauso schlecht wie der Notizzettel, selbst dann, wenn Sie den Rechner allein benutzen. Geöffnete Textdateien liegen im Arbeitsspeicher und können dort ausgelesen werden. Unbefugten Zugang zu Ihrem Rechner können Sie nie ausschließen – sei es in einem kurzen, unbeobachteten Moment, wenn Sie den Bildschirm nicht gesperrt haben, sei es durch Diebstahl oder durch Eindringen von außen mittels eines Schadprogramms. Aus diesen Gründen ist auch das Speichern von Passwörtern direkt im Browser nicht ohne Risiko. Immerhin sind sie dort verschlüsselt. Auch in Firmennetzen speichern verantwortungsvolle Administratoren Passwörter erst, nachdem sie mit einer sogenannten Hashfunktion verschlüsselt wurden. Hashfunktionen sind wie eine Einbahnstraße. Der Klartext wird mit einem Hashwert verschlüsselt, aber eine Rückberechnung ist nicht möglich. Dass aber selbst verschlüsselt abgelegte Zugangsdaten nicht sicher sind, musste die Seitensprung-Agentur Ashley Madison im Jahr 2015 erfahren. Zunächst gingen IT-Experten davon aus, dass Entschlüsseln der 36 Millionen gestohlenen Datensätze würde Jahrhunderte dauern, aber durch einen Programmierfehler in den Krypto-Systemen konnten die Hobby-Hacker schon nach zehn Tagen auf 11 Millionen Passwörter zugreifen – peinlich und sogar gefährlich für die Kunden, falls der delikate Kundendienst in ihrer Heimat strafbar sein sollte.
Passwortmanager sind unverzichtbar
Nun haben Passwörter wie das oben gebildete Iwi3lHaEdSadlSi2.S drei entscheidende Nachteile: Erstens sind sie immer noch nicht wirklich gut zu behalten. Zweitens müssten Sie eine ganze Reihe von Merksätzen bilden, wenn Sie jedem Dienst ein eigenes Passwort zuordnen wollen. Außerdem müssen Sie sich daran erinnern, welcher Satz zu welchem Dienst gehört. Und drittens sind Merksätze nicht dazu geeignet, das Passwort regelmäßig zu wechseln. Warum das Gedächtnis anstrengen, wenn eine Software Ihnen diese Arbeit abnehmen kann? Moderne Passwortmanager wie Dashlane (hier sind die Gründe, warum es sich lohnt, dieses Tool auszuprobieren) sind mehr als bloße Listen, die verschlüsselt gespeichert werden. Mit ihnen lassen sich – oft wie bei Dashlane bereits in einer kostenlosen Basis-Version – sichere Passwörter direkt im Browser in die Anmeldeformulare einfügen. Sinnvolle Zusatzfunktionen sind das Generieren von echten Zufalls-Passwörtern, Warnungen für mehrfach oder über zu lange Zeit unverändert genutzte Zugangsdaten und Hinweise auf bekannt gewordene Sicherheitsprobleme von Webseiten, für die Passwörter gespeichert wurden. Eine Synchronisation über mehrere Geräte ist je nach Programm einer kostenpflichtigen Premium-Version vorbehalten.
Ein einziges, wirklich sicheres Passwort sollten Sie sich aber wirklich gut merken. Und zwar das Passwort, mit dem Sie auf Ihren Passwortmanager zugreifen. Dieses Passwort ist sozusagen der Generalschlüssel und verdient entsprechende Aufmerksamkeit und Sorgfalt. Mit ihm werden üblicherweise auch Ihre beim Anbieter des Passwortmanagers gespeicherten Daten verschlüsselt. Das Master-Passwort sollte übrigens auch der Zugang zu Ihrem digitalen Erbe sein. Niemand weiß, wann seine Stunde geschlagen hat. Angesichts der rasant zunehmenden Digitalisierung unseres Alltags ist es wichtig, in diesem Bereich Regelungen ähnlich einer Bankvollmacht und einer Patientenverfügung für den Fall zu treffen, dass Sie sich selbst nicht mehr um Ihre Accounts kümmern können. Ein Master-Passwort im Testament hat keinen Sinn, weil es dort nur schwer zu ändern ist, es Monate dauern kann bis zur Testamentseröffnung und weil ein Zugriff durch Dritte auch schon bei schwerer Krankheit erforderlich sein kann. Besser ist ein verschlossener Umschlag, der zusammen mit anderen Vollmachten und Verfügungen an einem Ort aufbewahrt wird, der Ihren nahen Angehörigen bekannt ist.
Bild: Bigstockphoto.com / nd3000
