Die besten Tipps für ein sicheres Passwort
Denn in der Wirklichkeit sind die meisten Passwörter so schlecht gewählt, dass ein Computer sie innerhalb von wenigen Sekunden knacken kann. Nach wie vor stehen Kennwörter wie "123456", "hallo" und "passwort" ganz oben auf der Beliebtheitsskala. Das mag auch damit zusammenhängen, dass wir uns immer mehr Zugangskombinationen merken müssen. Deshalb geben wir dir in diesem Artikel nicht nur Tipps, wie sichere Passwörter auszusehen haben, sondern auch mit welchen Tricks und Hilfsmitteln du dir sie merken kannst.
Warum sichere Passwörter so wichtig sind
Die schlechte Nachricht gleich vorab: Ein Passwort ist umso besser, je schlechter man es sich merken kann. Auch das liegt am technischen Fortschritt. Hochleistungsrechner sind heute spielend in der Lage unglaubliche zwei Milliarden Passwörter pro Sekunde auszutesten. Je einfacher und kürzer das Passwort, desto schneller ist es geknackt.
Die meisten Hacks dieser Art werden als sogenannte Brute-Force-Angriffe durchgeführt. Dabei werden verschiedene Zeichenkombinationen in relativ schneller Abfolge ausprobiert. Der Algorithmus, der das steuert, bedarf keines Genies. Ein wenig Programmiererfahrung reicht vollkommen aus. Je schneller der Computer, auf dem der Algorithmus läuft, desto mehr Berechnungen pro Sekunden können durchgeführt werden. Die Leistungsfähigkeit ist deshalb nicht unwichtig, wenn es um den Erfolg des Hacker-Angriffs geht.
Passwort-Sicherheit lässt sich errechnen
Die Sicherheit eines Passworts lässt sich in zwei Schritten einfach berechnen. Zunächst muss man herausfinden, wie viele Kombination für ein Kennwort existieren. Das lässt sich mit einer einfachen Formel errechnen: Kombinationen = mögliche Zeichenzahl hoch Kennwortlänge. Die Zeichenzahl ist die Anzahl der möglichen Zeichen, also beispielsweise 26 Großbuchstaben, zehn Ziffern oder 32 Sonderzeichen.
Im zweiten Schritt wird lediglich die Anzahl der errechneten Passwortkombinationen durch zwei Milliarden dividiert. Das Ergebnis ist die Zeit in Sekunden, die ein Hochleistungsrechner benötigt um das Kennwort zu entschlüsseln.
Passwort
"123456"
6 Zeichen (6 Ziffern)
"simon1"
6 Zeichen (5 Kleinbuchstaben, 1 Ziffer)
"SiMoN1"
6 Zeichen (3 Großbuchstaben, 2 Kleinbuchstaben, 1 Ziffer)
"Gu7%e6?P*w)0"
12 Zeichen (2 Großbuchstaben, 3 Kleinbuchstaben, 3 Ziffern, 3 Sonderzeichen)
mögliche Kombinationen
106 = 1.000.000
366 = 2.176.782.336
626 = 56.800.235.584
9412 = 475.920.314.814.253.376.475.136
Entschlüsselungszeit
1.000.000 / 2.000.000.000
= 0,0005 Sekunden
2.176.782.336 / 2.000.000.000
= 1,09 Sekunden
56.800.235.584 / 2.000.000.000
= 28,4 Sekunden
475.920.314.814.253.376.475.136 / 2.000.000.000 = 237.960.157.407.127 Sekunden
= ca. 7,5 Millionen Jahre
Die wenigen Beispielrechnungen zeigen bereits sehr eindrucksvoll, wie mit der Länge des Kennworts und der Anzahl der verwendeten Zeichen die Sicherheit des Kennworts zunimmt, weil selbst Superrechner plötzlich Jahre benötigen, um ein einziges Passwort zu knacken. Und dabei sind zwölf verschiedene Zeichen noch nicht einmal besonders viel. Außerdem berücksichtigen die oberen Rechenbeispiele keinerlei Sonderfaktoren wie zum Beispiel Wörterbuchangriffe, die die Entschlüsselungszeit im Zweifel nochmals verringern.
Wer die Sicherheit seiner Passwörter nicht manuell berechnen will, kann auf Tools wie wiesicheristmeinpasswort.de zurückgreifen.
Regeln für ein sicheres Passwort
- Ausreichende Zeichenzahl
Das Passwort sollte mindestens zwischen acht und zwölf Zeichen umfassen, je mehr desto besser. Deshalb sollten vor allem sensible Bereiche mit Kennwörtern geschützt werden, die gern auch über 20 Zeichen lang sein dürfen. - Unterschiedliche Zeichen
Die Zahl der möglichen Kombinationen steigt mit der Anzahl der verwendeten Zeichen. Und das wiederrum macht es umso schwerer, ein Kennwort zu knacken. Deshalb besteht ein gutes Passwort immer aus Groß- und Kleinbuchstaben sowie aus Ziffern und Sonderzeichen. Letztere werden am besten innerhalb des Kennworts und nicht am Anfang oder Ende positioniert. - Keine Sinnhaftigkeit
Zwar liegt es nahe, als Passwort einfach einen Begriff aus dem Wörterbuch zu wählen, doch gerade solch sinnhafte Begriffe sollten nach Möglichkeit nicht oder zumindest nicht allein verwendet werden. Kluge Algorithmen checken zunächst alle Wörterbucheinträge, bevor sie Millionen sinnloser und damit unwahrscheinlichere Kombinationen ausprobieren. - Keinen Bezug
Noch riskanter als ein sinnhafter Begriff ist ein Passwort mit persönlichem Bezug. Namen oder Geburtstage des Partners, der Kinder oder des Haustiers sollten deshalb tunlichst vermieden werden. Sie erhöhen vor allem das Risiko, dass eine Person aus dem persönlichem Umfeld das Kennwort knackt. - Keine Muster
Wie beim Lotto sind Muster auch bei Passwörtern sehr beliebt. Wie bereits thematisiert, gehört "123456" zu den beliebtesten Kennwörtern überhaupt. Das wissen natürlich auch die Leute, die Passwörter knacken wollen. Deswegen sollten beispielsweise auch Kennwörter aus auf der Tastatur nebeneinanderliegenden Tasten vermieden werden.
- Jedes Passwort nur einmal nutzen
Ist es einem Hacker – auf welchem Wege auch immer – gelungen ein Passwort zu knacken, so ist es naheliegend dieses Kennwort auch auf anderen Accounts auszuprobieren. Viele Menschen nutzen ein und dasselbe Passwort für alle ihre Kundenkonten, weil sich ein Kennwort eben besser merken lässt als viele verschiedene. - Passwörter nicht notieren
Genau wie die PIN der Bankkarte sollten auch Passwörter nicht aufgeschrieben werden. Eine verlorene Brieftasche mit Passwortliste kann riesigen Schaden anrichten! - Passwörter regelmäßig wechseln
Zugegeben, es gibt wohl nichts Nervigeres, als regelmäßig massenhaft Passwörter zu ändern, vor allem wenn es keinen akuten Grund dafür gibt. Aber das regelmäßige Wechseln des Kennworts erhöht seine Sicherheit enorm. Auch das wird durch die obigen Beispielrechnungen bewiesen. Wer seine guten Passwörter beispielsweise einmal im Jahr ändert, der braucht keine Angst vor Algorithmen zu haben, die für die Entschlüsselung mehrere Jahre benötigen. Denn die müssen bei einem neuen Passwort theoretisch wieder von vorne beginnen. - Passwörter nicht weitergeben
Klingt logisch und selbstverständlich, wird aber trotzdem viel zu häufig falsch gemacht! Passwörter sollten nicht weitergegeben werden, egal wie sehr man der Person vertraut. Der beste Freund kann morgen schon ein erbitterter Feind sein, der sich mit einem fremden Passwort genüsslich rächen kann.
Komplexe Passwörter leicht merken
Komplexe, um nicht zu sagen komplizierte Passwörter schön und gut, aber wie um Himmels Willen soll man sich die bloß merken, wenn man sie sich schon nicht aufschreiben darf? Hierbei ist eine Eselsbrücke sehr hilfreich! Dafür denkt man sich einfach einen beliebigen Satz aus, der nach Möglichkeit auch noch eine oder mehrere Zahlen enthält. Von diesem Satz nimmt man jeweils die Anfangsbuchstaben und natürlich Zahlen, wobei selbstverständlich die Groß- und Kleinschreibung berücksichtigt wird. Wer eine Frage oder eine nachdrückliche Aussage wählt, der hat gleich auch ein Sonderzeichen im Passwort. Mit etwas Kreativität lassen sich auch weitere Sonderzeichen einarbeiten. Beispiel: "Ich habe mein Gewicht seit 2016 um 8 % reduziert!" = "IhmGs2016u8%r!".
Praktische Tools rund ums Passwort
Wem das Kreieren eigener Passwörter und auch das Merken dieser Zeichenkolonnen zu kompliziert ist, der findet im Netz diverse Tools, die bei der Passworterstellung und Kennwortverwaltung behilflich sind. Ein Klassiker ist zum Beispiel KeePass. Dabei handelt es sich um eine kostenlose Datenbank, die Ordnung in den Passwortdschungel bringt. Das einzige, was man sich hier noch merken muss, ist das Master-Passwort, das Zugang zur Datenbank gewährt. Alle anderen Kennwörter kann man dann problemlos aus der strukturierten und mit einer Suchfunktion ausgestatteten Datenbank ziehen.
Hier lassen sich auch gleich Zugangsnamen, URLs, verwendete E-Mailadressen und ähnliches festhalten. Bei Bedarf kann ein Passwortgenerator verwendet werden, der individuell eingestellt werden kann. Eine Farbskala zeigt zudem die Sicherheit des Kennworts an. Solche Passwortgeneratoren finden sich auch im Internet, wobei auch sie grundsätzlich mit Vorsicht zu genießen sind. Wer sich für einen Passwort-Manager entscheidet, der sollte auf einen renommierten und damit möglichst vertrauensvollen Anbieter setzen. Wer kein extra Programm dafür möchte, der kann seine Kennwörter auch im Browser speichern. Bei dieser Variante sollte man jedoch bedenken, dass jeder die dort gespeicherten Kennwörter nutzen kann, der Zugang zum Rechner bzw. Konto hat.