IT Sicherheit

Passwörter: Sicher UND leicht zu merken

UrvsqhM1{bTmInoTAxR0

Das ist ein sehr schönes, sicheres Passwort mit 20 Zeichen, darunter Groß- und Kleinschreibung, Ziffern und Symbole. Also alles, was ein Passwort braucht.

Super!

Kann sich das irgendjemand merken?

Nö!

Daher ist“ UrvsqhM1{bTmInoTAxR0″ kein wirklich gutes Passwort.

Wie es besser geht, also wie Du zu einem sicheren, langen UND leicht merkbaren Passwort kommst, und warum Du Dir manche sichere Passwörter gut merken können musst und andere nicht, erfährst Du in diesem Beitrag.

Gegen welche beliebte Attacken soll Dich ein gutes Passwort schützen?

Die Brute Force Attacke: Mit roher Gewalt

Bei einer Rohe-Gewalt-Attacke probiert ein Angreiferprogramm so lange alle möglichen Zeichenkombinationen durch, bis es die richtige Kombination findet. Je länger Dein Passwort ist, desto mehr Kombinationsmöglichkeiten aller Zeichen gibt es, und desto länger dauert es, bis eine Brute-Force Attacke erfolgreich ist.

Wenn Du alle Groß-, Kleinbuchstaben und Ziffern in Deinem Passwort nutzt (62 verschiedene Zeichen) dauert die Entschlüsselung Deines sechsstelligen Passworts (z.B. „G1rten“) maximal 26 Sekunden. Verwendest Du 8 Zeichen (z.B. „Rasenw3g“, dauert es schon 1,18 Tage. Und verwendest Du 15 Zeichen für Dein Passwort, kann es bis zu 11,3 Milliarden Jahre dauern, bis es entschlüsselt ist. (Die Beispiele für Berechnungen stammen von hier.) Natürlich immer vorausgesetzt, dass erst der letzte Versuch Dein Passwort knackt.

Merke: Vermeide kurze Passwörter. Je mehr Zeichen Dein Passwort hat, desto besser.

Die Wörterbuchattacke: Kurz und prägnant ist ein mieses Passwort

Die Wörterbuchattacke nutzt Listen beliebter Wörter, die sich Kriminelle im sogenannten „Darknet“ (das ist die Dunkle Seite des Internet) herunterladen können. Also abgesehen von den leider immer noch extrem beliebten Passwörtern wie „Passwort“, „Admin“, „1234567“ usw. zählen dazu alle Wörter, die Du auch in einem Wörterbuch finden kannst. Diese Liste probiert ein Angreiferprogramm in wenigen Minuten durch. (Die beliebtesten – und deshalb unsichersten – Passwörter in Deutschland 2018 kannst Du in diesem Artikel nachlesen).

Merke: Vermeide einzelne kurze Wörter. Nimm stattdessen lieber eine Kombination aus mehreren Worten. Jedes einzelne Wort darf durchaus in einem Wörterbuch vorkommen. Also zum Beispiel wäre „HasenWaldPilzSchwein24“ (22 Zeichen) ein gutes Passwort.

Social Engineering: Was man über Dich herausfindet, kann gegen Dich verwendet werden

Beim Social Engineering (bedeutet frei übertragen „Soziales Ausspionieren“) bemüht sich ein Angreifer – diesmal durchaus eine reale Person und kein Programm – so viel wie möglich über Dich herauszufinden. In Zeiten von Social Media ist das ziemlich einfach. Der Name Deines Partners/ Deiner Partnerin, Deiner Kinder, Enkel, Katze, Hund, Pferd, Meerschwein; Geburtsdaten; Deine Urlaubsziele, Deine Hobbies, Sportarten, die Du betreibst… Viele Menschen nutzen diese vertrauten Namen und Begriffe als Passwörter, vielleicht auch Du? Wer Dir nachspioniert, hat auf diese Weise bald Dein Passwort herausgefunden.

Merke: Vermeide einzelne, kurze, vertraute Worte als Passwort. Längere Kombinationen aus vertrauten Worten kannst du aber ruhig verwenden.

Also „Gerhard“ (der Name meines Mannes) wäre bei mir ein ganz schlechtes Passwort, „Segeln“ (mein liebstes Hobby) auch, und „Zell am See“ (wo ich aufgewachsen bin) ebenfalls. „Gerhard segelt in Zell am See“ hingegen könnte eine gute Passphrase sein. Der Satz wäre mir zwar zu offensichtlich, aber er geht schon in Richtung der Passwort-Variante, die am besten gegen die letzte, sehr verbreitete „Attacke“ hilft. Eine Attacke, die diesmal nicht von außen sondern „von innen“ kommt.

Das Vergessen: Der Feind von Innen

„Wie war noch gleich das Passwort…? Irgendwo habe ich es doch aufgeschrieben…? Wo habe ich’s denn…?“

Kommt Dir das bekannt vor? Du hattest Dir ein bombensicheres Passwort ausgedacht. Hast zum Beispiel den häufig gehörten Rat befolgt, Dir jeweils die ersten Buchstaben aus einem Satz zu merken. So etwas wie „mVemjSu9P“ = „mein Vater erklärt mir jeden Sonntag unsere 9 Planeten.“ (Ich mag jetzt nicht darüber diskutieren, ob unser Sonnensystem 9 oder 8 Planeten hat.)

Ganz ehrlich? Ich kann diese Sorte Passwörter aus Abkürzungen nicht leiden. Ich frage mich immer: Warum nehmen die nicht gleich den ganzen Satz als Passwort? Den merkt man sich doch viel leichter.

Und am allerbesten ist es, wenn der Satz für Dich eine Bedeutung hat, die nicht allzu leicht herausgefunden werden kann, oder wenn Du ein Bild damit verbindest. Meine liebste Passphrase, die ich gerne in meinen Workshops zitiere, lautet:

„Das grüne Pferd springt über die blaue Wiese“

Dies sind die Gründe:

  • Mit roher Gewalt ist dieses Passwort (44 Zeichen) in mehreren Milliarden Jahren nicht zu knacken.
  • Gegen die Wörterbuchattacke ist es als Kombination aus mehreren Wörtern auch resistent.
  • Ich habe keine besondere Pferdeliebe – Ausspionieren greift nicht.
  • Und vergessen kann ich es auch nicht.

Das einzige mögliche Ärgernis mit diesem Passwort, dieser Pass-Phrase: Dass ich mich beim Eingeben häufig vertippe, wenn ich das Passwort nicht einblenden kann, sondern nur Sternchen oder Pünktchen sehe. Und fluchend von vorne anfangen muss. Könnte durchaus passieren. 😉

Soll ich meine Passwörter häufig wechseln?

NEIN! Der 1. Februar wurde zwar zum „Ändere-Dein-Passwort-Tag“ erklärt, aber das ist Schwachsinn! Sogar immer mehr Firmen gehen davon ab, ihre Mitarbeiter/innen zum häufigen Wechseln des Passworts zu zwingen.

Wenn Du ein sicheres, leicht merkbares Passwort gefunden hast, dann behalte es. Du solltest ein Passwort nur dann wechseln, wenn Du befürchtest, dass es bekannt geworden ist.

Auf der Webseite des Hasso Plattner Instituts kannst Du überprüfen, ob Deine Anmeldedaten schon einmal geklaut wurden.

Überprüfe das! Es dauert nicht lang. 

Falls Anmeldedaten von Dir dort auftauchen, solltest Du schleunigst das bekannt gewordene Passwort bei allen Diensten wechseln, bei denen Du es verwendest. (Hoffentlich weißt du, wo überall…)

Viele Menschen benutzen als Anmeldedaten die Kombination aus der immer gleichen E-Mail Adresse und dem immer gleichen Passwort. Geklaute Anmeldedaten (wenn z.B. ein Anbieter wie Yahoo gehackt wurde) werden im Darknet verkauft. Wenn Deine Daten unter diesen geklauten auftauchen kannst Du davon ausgehen, dass sich findige Köpfe hinsetzen und diese Kombination bei einigen Diensten ausprobieren: bei Banken, bei großen Online-Shops, bei E-Mail Anbietern wie G-Mail oder GMX…

Besonders schwierig wird es für Dich, wenn Dein E-Mail Zugang gehackt wurde, weil ja viele Passwörter von anderen Diensten über Dein E-Mail zurückgesetzt werden können!

Der beste Weg, von so einem Datenklau unbeeindruckt zu bleiben, ist, wenn Du für JEDES EINZELNE Online-Konto, das du besitzt, ein eigenes, sicheres Passwort vergibst. Wie soll das gehen?

Wann du Dir nur 1-2 gute Passwörter merken musst, obwohl alles sicher ist

„Für jedes Konto ein eigenes Passwort? So ein Blödsinn! Das kann sich doch niemand merken“, sagst Du?

Stimmt.

Aber die musst Du Dir auch nicht alle selbst merken. Hol Dir Hilfe durch ein Passwortsafe-Programm!

Ich selbst habe genau zwei leicht merkbare und sichere Passwortphrasen: Eine für den Zugang zur verschlüsselten Festplatte meines MacBook, und eine zweite zum Öffnen meines Passwort-Safes.

Wenn Du ein Passwortsafe-Programm einsetzt, brauchst du Dir nur EIN ganz sicheres „Master-Passwort“ zu merken. Im Passwort-Safe sind dann alle anderen Passwörter für alle Deine anderen Konten gesichert. Für jedes Konto ein anderes. Und diese Passwörter können dann ruhig „UrvsqhM1{bTmInoTAxR0“ heißen – du musst sie Dir eh nicht merken.

Ein benutzerfreundliches Passwortsafe-Programm

  • generiert ein sicheres Passwort für Dich, wenn Du irgendwo ein neues Kundenkonto eröffnest.
  • merkt sich neue Passwörter automatisch.
  • Und wenn Du ein Plugin in Deinem Browser (Chrome, Firefox,…) installiert hast, füllt das Programm die Zugangsdaten für Dich aus, wenn Du Dich irgendwo einloggst.

Drei bekannte und beliebte Passwortsafe-Programme sind LastPass, 1Password und Keepass.

Alle drei haben Vorteile und Nachteile – aber darüber erzähle ich Dir einem anderen Blogpost mehr.

Jetzt bin ich neugierig!

  • Wie viele verschiedene Passwörter hast Du?
  • Welches Passwortsafe-Programm verwendest du? (Wenn du eines verwendest.)
  • Hast Du Fragen, Anmerkungen?

Hinterlasse mir einen Kommentar, ich freue mich drüber!

7 Gedanken zu „Passwörter: Sicher UND leicht zu merken“

    1. Danke, Uli! Eine endgültige Empfehlung wird es wahrscheinlich nicht geben können, aber einen Vergleich der Vor- und Nachteile von ein paar Programmen werde ich erstellen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.