Passwörter sind in der heutigen Lebens- und Arbeitswelt allgegenwärtig. Sie sollen technische Geräte und Nutzerkonten vor dem Zugriff Krimineller schützen. Neben jenen Passwortnutzungen, die im Bewusstsein der meisten Menschen recht prominent sind, da man sie täglich einsetzt, schützen Passwörter aber auch andere Geräte des täglichen Gebrauchs, zum Beispiel Router.
Vielen Menschen haben Probleme damit, sich ein gutes Passwort zu merken und greifen daher auf leicht zu knackende Passwörter zurück. Dabei ist das Entwickeln eines guten Passwortes gar nicht so schwer. Man braucht dafür weder Fachkenntnisse noch eine spezielle Software (wobei beides natürlich hilft). Der folgende Artikel zeigt, was man bei Passörtern beachten sollte, um die Sicherheit der eigenen Daten oder auch die des Arbeitgebers zu gewährleisten.
Generell gilt: Egal wie hochkomplex die Kombination ist, je kürzer das Passwort ausfällt, desto weniger Varianten müssen getestet werden, um das Passwort zu knacken. Diese Regel galt früher und hat auch heute noch Bestand. Ansonsten halten sich immer noch einige veraltete Denkweisen in Bezug auf Passwörter.
Der Grund dafür ist vor allem eine Guideline zum Erstellen von Passwörtern die 2003 vom National Institute of Standards and Technology (NIST) entwickelt wurde. Sie galt lange als das ultimative Passwort-Regelwerk und enthält viele der bekannten Vorgaben: Ein gutes Passwort soll demnach eine zufällige Mischung aus Groß- und Kleinschreibung, Sonderzeichen und Zahlen aufweisen sowie alle 90 Tage gewechselt werden.
Heraus kamen oft komplexe Passwörter, die sich kein Mensch merken konnte, wie “L*!f7cTd^&83”. Der häufige Wechsel erleichterte das Merken solcher Kombination keineswegs. 2017 stellte das NIST eine neue Guideline vor, die mit einigen alten Regeln bricht.
Vor allem das häufige Wechseln der Passwörter erhöht nach heutigem Kenntnisstand nicht die Sicherheit. Denn um sich die immer neuen Passwörter leichter zu merken, neigen viele Nutzer dazu, unsichere Chiffren zu verwenden, die sich gut herleiten lassen. Das häufige Wechseln hat zudem wirtschaftliche Auswirkungen. Laut Experten kostet die Maßnahme Unternehmen oft mehr als potentielle Angriffe von IT-Kriminellen, vor allem durch die Verzögerung von Arbeitsabläufen und den erhöhten administrativen Aufwand.
Auch das Verwenden von möglichst vielen Sonderzeichen wird nicht mehr als förderlich angesehen, denn es bringt beim üblichen Vorgehen von Hackern wenig. Deren Software testet sowohl die gängigen Phrasen, die immer noch viele Menschen als Passwort nutzen, etwa “Passwort” oder “123456”, sowie Begriffe aus Wörterbüchern und Sonderzeichen.
Statt knappen komplexen Kombinationen sollten Passwörter heutzutage aus langen Phrasen von mehreren Wörtern bestehen. Als absolutes Minimum gelten acht Zeichen, bei 16-20 Zeichen erhöht sich die Sicherheit signifikant. Die Experten raten auch dazu, Leerzeichen zu verwenden.
Dabei müssen die Leerzeichen nicht immer am Wortende gesetzt sein. Denkbar ist es zum Beispiel auch, die Leerzeichen nach dem jeweils zweiten Buchstaben eines Wortes zu setzen. Leider ist die Nutzung von Leerzeichen noch nicht bei allen Konten möglich. Hier werden die Anbieter aufgefordert, nachzubessern. Auch bei der Begrenzung der Zeichenzahl sollten sie laut Expertenmeinung ihren Kunden mehr Spielraum einräumen, den je länger die Phrase, desto sicherer das Passwort.
Wichtig dabei ist, dass die verwendeten Phrasen Wörter nicht Zitate aus Büchern sind. Auch sollte man unbedingt auf persönliche Referenzen (Wohnort, Lieblingssong oder -sportverein, Name der Freundin/des Freundes/des Haustiers etc.) verzichten. Solche Informationen lassen sich häufig durch simple Recherche in den sozialen Medien herausfinden. Stattdessen sollten mehrere völlig zusammenhangslose Wörter kombiniert werden, zum Beispiel “kaffeesockebuchrahmenschere”.
Der Clou dabei: Auch lange Passwörter lassen sich auf diese Weise gut merken. Idealerweise sind die einzelnen Wörter einer solchen Phrase nicht im Wörterbuch zu finden, stattdessen kann man Dialekte oder auch Wortneuschöpfungen, sogenannte Neologismen verwenden. Das Passwort lässt sich zusätzlich erschweren, indem man eine Zahl an das Ende setzt. Über die Vorteile der Groß- oder Kleinschreibung gehen die Meinungen bei den Experten auseinander. Bei einem Punkt aber herrscht Einigkeit: Für jeden Account sollte ein anderes Passwort gewählt werden.
Wem das alles zu kompliziert ist, kann die Aufgabe, sich ein sicheres Passwort auszudenken, einfach auf Passwort-Manager abwälzen. Und wer sich unsicher ist, ob er ein gutes Passwort gewählt hat, kann dieses online prüfen: Der Dienst Pwned Passwords etwa zeigt schnell, ob das gewählte Passwort bereits bei einem Datenleck veröffentlicht wurde. Kriminelle nutzen solche Datenlecks und füttern ihre Systeme mit den dort befindlichen Passwörtern. Der Dienst zeigt auch, welche Mailadressen und Benutzernamen geknackt wurden.
Alternativ lässt sich das Passwort auch am Passwort-Hacker im Deutschen Spionagemuseum testen. Der Vorteil: Es gibt keine Verknüpfung zur eigenen IP-Adresse und es erfolgt keine Speicherung der Daten. Außerdem gibt es im Bereich „Gegenwart – Big Data“ des Musuems weitere spannende Einblicke, wie gegenwärtig Datenspionage im Alltag stattfindet.
Autor: Florian Schimikowski
Veröffentlicht am: 06.08.2020