Amazon, eBay, Facebook, iTunes und viele andere Anbieter: Wir müssen uns zahlreiche Passwörter merken, die dabei möglichst sicher sein sollen. Extrem einfach zu merken und dabei so sicher wie möglich – das widerspricht sich doch. Wie kriegen wir den Spagat trotzdem hin? Eine Anleitung.
Wie kommen Hacker an unsere Passwörter?
Um zu verstehen, wie wir unser Passwort generieren sollten, muss man verstehen, wie diese gehackt werden. Es gibt grundsätzlich zwei Grundarten, wie man Passwörter knacken kann. Bei den sogenannten Wörterbuchattacken probieren die Hacker eine lange Liste der gängigsten Wörter und Wortkombinationen durch. Kaum zu glauben aber wahr: Letztes Jahr waren die beliebtesten Passwörter „123456“, „Passwort“ und „12345678“. Wörterbuchangriffe können von Programmen durchgeführt werden, die automatisch immer erst die beliebtesten Begriffe durchprobieren.
Bei der Brute-Force-Methode geht es um pure Rechenpower. Heutzutage werden solche Angriffe oftmals von den leistungsfähigen Prozessoren moderner Grafikkarten übernommen. Dabei probiert man einfach alle möglichen Kombinationen bestehend aus Klein- und Großbuchstaben, Ziffern und Sonderzeichen durch. Das Programm fängt also mit „aaa“ an, geht dann über zu „aab“, „aac“ etc. Eine aktuelle Grafikkarte ist dazu in der Lage, achtstellige Passwörter in rund 7,5 Stunden zu knacken. Umso länger das Passwort ist, umso länger dauert dieser Vorgang. Im Web müssen die Hacker bei ihrer Tätigkeit lange Pausen einlegen. Wer zu schnell zu viele falsche Passwörter eingibt, dessen Account wird gesperrt. Die Einhaltung der Pausen kann ebenfalls durch Programme automatisiert werden.
Absolut tabu sind Passwörter aus Ihrem privaten Umfeld. Wer unbedingt Ihre Zugangsdaten haben will, wird sich nicht scheuen, auch mal bei Facebook oder Xing nachzuschauen, wie der Name ihrer Mutter, Kinder, Ehefrau oder Haustiere lautet. Auch eine Kombinationen aus diesen Begriffen sollten zur Sicherheit unterlassen werden. Es nützt auch nichts, wenn Sie an den Namen des Hundes Ihr Geburtsdatum hängen – das ist schlechtweg zu unsicher, weil weit verbreitet.
Manche Nutzer glauben, sie wären besonders schlau und ersetzen ein O durch eine 0, ein i durch eine 1 etc. Doch auch die Passwortcracker verstehen die sogenannte Leetspeak. Ehrenamtliche Helfer der Wikipedia sollten folglich keinesfalls „w!k!p3d!4“ als Passwort verwenden, das wäre grob fahrlässig. Wichtig: Verwenden Sie niemals Ihre Kennwörter doppelt. Bei einigen Hacks wurden die Zugangsdaten von unzähligen Personen veröffentlicht. Der Hacker müsste lediglich ausprobieren, ob eines Ihrer sonst üblichen Passwörter auch bei anderen Diensten verwendet wird.
Das Schema von Bruce Schneier
Bruce Schneier ist ein anerkannter Experte für Verschlüsselungstechnologie und IT-Sicherheit. Er rät allen Nutzern auf seinem Blog dazu, sich einen möglichst langen Satz auszudenken. So zum Beispiel: „Ich geh ums Haus der Mickey Mouse und mir macht das gar nichts aus.“ Dann nehmen wir nur die klein- bzw. groß geschriebenen Anfangsbuchstaben eines jeden Wortes: „IguHdMMummdgna“. Im Idealfall binden Sie noch ein paar Sonderzeichen und Ziffern mit ein. Aber bitte so, dass Sie sich das Passwort trotzdem gut merken können. Das sicherste Kennwort ist nutzlos, wenn Sie es ständig vergessen oder Sie dafür einen Zetteln am Monitor befestigen müssen. Denken Sie sich den Satz selbst aus. Populäre Zitate werden ebenfalls als Abkürzung mit der Wörterbuchattacke ausprobiert.
XKCD-Methode
XKCD ist eigentlich ein englischsprachiger Webcomic von Randall Munroe. Bei dieser Methode wählt man durch Zufall aus seinem Wörterbuch mindestens vier Wörter aus, die man hintereinander schreibt. Umso mehr Wörter, umso besser. Dabei ist extrem wichtig, dass die Begriffe vollkommen zufällig ausgewählt werden. Sie können sich natürlich auch auf einem der zahlreichen kostenlosen Webseiten ein Passwort generieren lassen. Das Problem ist nur, dass man sich die wirre Mischung aus unterschiedlichen Zeichen unmöglich merken kann.
Endung abhängig vom Anbieter
Im Idealfall sollte man das Passwort je nach Anbieter anders enden lassen. Wenn Sie also „IguHdMMummdgna“ nach dem Scheier-Schema gewählt haben, dann lautet Ihr Passwort bei Google Mail folglich „IguHdMMummdgnaGoogleMail“. Kommen Sie bitte nicht auf die Idee, dieses Passwort mehrfach zu verwenden, indem Sie lediglich die Endung verändern. Dann würde das PW bei Twitter „IguHdMMummdgnaTwitter“ lauten. Machen Sie es den Hackern bitte nicht zu einfach!
Achten Sie bei Ihren Anbietern darauf, dass die Länge des Passworts nicht begrenzt ist. Ansonsten sollte man sich lieber einen anderen Anbieter suchen. Ideal sind Dienste, wo eine zusätzliche Absicherung möglich ist. Viele Unternehmen bieten an, dass man bei besonderen Aktionen eine SMS mit einem zusätzlichen Kennwort erhält. Kann jemand Ihr Kennwort knacken so kann er kaum etwas damit anfangen, weil er nicht im Besitz Ihres Handys ist.
Passwort Generatoren
Das ist Ihnen alles viel zu kompliziert? Okay, kein Problem! Installieren Sie sich einen Passwort Generator. Diese Software braucht von Ihnen nur ein Masterkennwort, welches Sie beim Start der Software eingeben müssen. Das Programm verwaltet die Passwörter aller Dienste automatisch und verwendet lange und zudem sichere Passwörter. Für Windows gibt es mehrere kostenlose Varianten. Daneben werden für jedes Betriebssystem auch kostenpflichtige Versionen für 30 bis etwa 50 Euro angeboten. In OS X Mavericks und iOS 7 hat Apple vor etwa einem Jahr einen eigenen Passwort-Manager integriert, der nichts extra kostet.
Bildquellen: Pexels & Pixabay, thx! (CC0 1.0).