Die besten Tipps für ein sicheres Passwort

|
Massives Schloss verriegelt Tür

Benutzer- und Kundenkonten im Internet werden durch Passwörter geschützt. So zumindest die Theorie. 

Denn in der Wirklichkeit sind die meisten Passwörter so schlecht gewählt, dass ein Computer sie innerhalb von wenigen Sekunden knacken kann. Nach wie vor stehen Kennwörter wie "123456", "hallo" und "passwort" ganz oben auf der Beliebtheitsskala. Das mag auch damit zusammenhängen, dass wir uns immer mehr Zugangskombinationen merken müssen. Deshalb geben wir dir in diesem Artikel nicht nur Tipps, wie sichere Passwörter auszusehen haben, sondern auch mit welchen Tricks und Hilfsmitteln du dir sie merken kannst.

Laptop

Warum sichere Passwörter so wichtig sind

Die schlechte Nachricht gleich vorab: Ein Passwort ist umso besser, je schlechter man es sich merken kann. Auch das liegt am technischen Fortschritt. Hochleistungsrechner sind heute spielend in der Lage unglaubliche zwei Milliarden Passwörter pro Sekunde auszutesten. Je einfacher und kürzer das Passwort, desto schneller ist es geknackt.

Die meisten Hacks dieser Art werden als sogenannte Brute-Force-Angriffe durchgeführt. Dabei werden verschiedene Zeichenkombinationen in relativ schneller Abfolge ausprobiert. Der Algorithmus, der das steuert, bedarf keines Genies. Ein wenig Programmiererfahrung reicht vollkommen aus. Je schneller der Computer, auf dem der Algorithmus läuft, desto mehr Berechnungen pro Sekunden können durchgeführt werden. Die Leistungsfähigkeit ist deshalb nicht unwichtig, wenn es um den Erfolg des Hacker-Angriffs geht.

Passwort-Sicherheit lässt sich errechnen

Die Sicherheit eines Passworts lässt sich in zwei Schritten einfach berechnen. Zunächst muss man herausfinden, wie viele Kombination für ein Kennwort existieren. Das lässt sich mit einer einfachen Formel errechnen: Kombinationen = mögliche Zeichenzahl hoch Kennwortlänge. Die Zeichenzahl ist die Anzahl der möglichen Zeichen, also beispielsweise 26 Großbuchstaben, zehn Ziffern oder 32 Sonderzeichen.

Im zweiten Schritt wird lediglich die Anzahl der errechneten Passwortkombinationen durch zwei Milliarden dividiert. Das Ergebnis ist die Zeit in Sekunden, die ein Hochleistungsrechner benötigt um das Kennwort zu entschlüsseln.

Passwort

"123456"

6 Zeichen (6 Ziffern)


"simon1"

6 Zeichen (5 Kleinbuchstaben, 1 Ziffer)


"SiMoN1"

6 Zeichen (3 Großbuchstaben, 2 Kleinbuchstaben, 1 Ziffer)


"Gu7%e6?P*w)0"

12 Zeichen (2 Großbuchstaben, 3 Kleinbuchstaben, 3 Ziffern, 3 Sonderzeichen)

mögliche Kombinationen

106 = 1.000.000



366 = 2.176.782.336



626 = 56.800.235.584




9412 = 475.920.314.814.253.376.475.136

Entschlüsselungszeit

1.000.000 / 2.000.000.000

0,0005 Sekunden


2.176.782.336 / 2.000.000.000

1,09 Sekunden


56.800.235.584 / 2.000.000.000

28,4 Sekunden



475.920.314.814.253.376.475.136 / 2.000.000.000 = 237.960.157.407.127 Sekunden

ca. 7,5 Millionen Jahre

passwortlänge sicherheit
Taschenrechner auf Tablet

Die wenigen Beispielrechnungen zeigen bereits sehr eindrucksvoll, wie mit der Länge des Kennworts und der Anzahl der verwendeten Zeichen die Sicherheit des Kennworts zunimmt, weil selbst Superrechner plötzlich Jahre benötigen, um ein einziges Passwort zu knacken. Und dabei sind zwölf verschiedene Zeichen noch nicht einmal besonders viel. Außerdem berücksichtigen die oberen Rechenbeispiele keinerlei Sonderfaktoren wie zum Beispiel Wörterbuchangriffe, die die Entschlüsselungszeit im Zweifel nochmals verringern.

Wer die Sicherheit seiner Passwörter nicht manuell berechnen will, kann auf Tools wie wiesicheristmeinpasswort.de zurückgreifen.

Regeln für ein sicheres Passwort

  • Ausreichende Zeichenzahl
    Das Passwort sollte mindestens zwischen acht und zwölf Zeichen umfassen, je mehr desto besser. Deshalb sollten vor allem sensible Bereiche mit Kennwörtern geschützt werden, die gern auch über 20 Zeichen lang sein dürfen.
  • Unterschiedliche Zeichen
    Die Zahl der möglichen Kombinationen steigt mit der Anzahl der verwendeten Zeichen. Und das wiederrum macht es umso schwerer, ein Kennwort zu knacken. Deshalb besteht ein gutes Passwort immer aus Groß- und Kleinbuchstaben sowie aus Ziffern und Sonderzeichen. Letztere werden am besten innerhalb des Kennworts und nicht am Anfang oder Ende positioniert.
  • Keine Sinnhaftigkeit
    Zwar liegt es nahe, als Passwort einfach einen Begriff aus dem Wörterbuch zu wählen, doch gerade solch sinnhafte Begriffe sollten nach Möglichkeit nicht oder zumindest nicht allein verwendet werden. Kluge Algorithmen checken zunächst alle Wörterbucheinträge, bevor sie Millionen sinnloser und damit unwahrscheinlichere Kombinationen ausprobieren.
  • Keinen Bezug
    Noch riskanter als ein sinnhafter Begriff ist ein Passwort mit persönlichem Bezug. Namen oder Geburtstage des Partners, der Kinder oder des Haustiers sollten deshalb tunlichst vermieden werden. Sie erhöhen vor allem das Risiko, dass eine Person aus dem persönlichem Umfeld das Kennwort knackt.
  • Keine Muster
    Wie beim Lotto sind Muster auch bei Passwörtern sehr beliebt. Wie bereits thematisiert, gehört "123456" zu den beliebtesten Kennwörtern überhaupt. Das wissen natürlich auch die Leute, die Passwörter knacken wollen. Deswegen sollten beispielsweise auch Kennwörter aus auf der Tastatur nebeneinanderliegenden Tasten vermieden werden.

  • Jedes Passwort nur einmal nutzen
    Ist es einem Hacker – auf welchem Wege auch immer – gelungen ein Passwort zu knacken, so ist es naheliegend dieses Kennwort auch auf anderen Accounts auszuprobieren. Viele Menschen nutzen ein und dasselbe Passwort für alle ihre Kundenkonten, weil sich ein Kennwort eben besser merken lässt als viele verschiedene.
  • Passwörter nicht notieren
    Genau wie die PIN der Bankkarte sollten auch Passwörter nicht aufgeschrieben werden. Eine verlorene Brieftasche mit Passwortliste kann riesigen Schaden anrichten!
  • Passwörter regelmäßig wechseln
    Zugegeben, es gibt wohl nichts Nervigeres, als regelmäßig massenhaft Passwörter zu ändern, vor allem wenn es keinen akuten Grund dafür gibt. Aber das regelmäßige Wechseln des Kennworts erhöht seine Sicherheit enorm. Auch das wird durch die obigen Beispielrechnungen bewiesen. Wer seine guten Passwörter beispielsweise einmal im Jahr ändert, der braucht keine Angst vor Algorithmen zu haben, die für die Entschlüsselung mehrere Jahre benötigen. Denn die müssen bei einem neuen Passwort theoretisch wieder von vorne beginnen.
  • Passwörter nicht weitergeben
    Klingt logisch und selbstverständlich, wird aber trotzdem viel zu häufig falsch gemacht! Passwörter sollten nicht weitergegeben werden, egal wie sehr man der Person vertraut. Der beste Freund kann morgen schon ein erbitterter Feind sein, der sich mit einem fremden Passwort genüsslich rächen kann.

Komplexe Passwörter leicht merken

Komplexe, um nicht zu sagen komplizierte Passwörter schön und gut, aber wie um Himmels Willen soll man sich die bloß merken, wenn man sie sich schon nicht aufschreiben darf? Hierbei ist eine Eselsbrücke sehr hilfreich! Dafür denkt man sich einfach einen beliebigen Satz aus, der nach Möglichkeit auch noch eine oder mehrere Zahlen enthält. Von diesem Satz nimmt man jeweils die Anfangsbuchstaben und natürlich Zahlen, wobei selbstverständlich die Groß- und Kleinschreibung berücksichtigt wird. Wer eine Frage oder eine nachdrückliche Aussage wählt, der hat gleich auch ein Sonderzeichen im Passwort. Mit etwas Kreativität lassen sich auch weitere Sonderzeichen einarbeiten. Beispiel: "Ich habe mein Gewicht seit 2016 um 8 % reduziert!" = "IhmGs2016u8%r!".

Praktische Tools rund ums Passwort

Wem das Kreieren eigener Passwörter und auch das Merken dieser Zeichenkolonnen zu kompliziert ist, der findet im Netz diverse Tools, die bei der Passworterstellung und Kennwortverwaltung behilflich sind. Ein Klassiker ist zum Beispiel KeePass. Dabei handelt es sich um eine kostenlose Datenbank, die Ordnung in den Passwortdschungel bringt. Das einzige, was man sich hier noch merken muss, ist das Master-Passwort, das Zugang zur Datenbank gewährt. Alle anderen Kennwörter kann man dann problemlos aus der strukturierten und mit einer Suchfunktion ausgestatteten Datenbank ziehen.

Hier lassen sich auch gleich Zugangsnamen, URLs, verwendete E-Mailadressen und ähnliches festhalten. Bei Bedarf kann ein Passwortgenerator verwendet werden, der individuell eingestellt werden kann. Eine Farbskala zeigt zudem die Sicherheit des Kennworts an. Solche Passwortgeneratoren finden sich auch im Internet, wobei auch sie grundsätzlich mit Vorsicht zu genießen sind. Wer sich für einen Passwort-Manager entscheidet, der sollte auf einen renommierten und damit möglichst vertrauensvollen Anbieter setzen. Wer kein extra Programm dafür möchte, der kann seine Kennwörter auch im Browser speichern. Bei dieser Variante sollte man jedoch bedenken, dass jeder die dort gespeicherten Kennwörter nutzen kann, der Zugang zum Rechner bzw. Konto hat.

Ähnliche Artikel:

Weiße Schrift auf blauem Hintergrund: Post Mortem  - Störung im Cloud Hosting Storage am 31. Oktober und 4. November
mittwald

Post Mortem: Störung im Cloud Hosting Storage

Infos zum zeitlichen Verlauf, der Ursache und den Optimierungen nach den Erreichbarkeitsproblemen am 31.10. und 4.11.

mittwald Mitarbeiter im Kreis von Agenturmitarbeitern. Dazu weißer Text Agenturen zu Gast bei mittwald
mittwald

Let’s talk – Agenturen zu Gast bei mittwald

Was muss Hosting in Zukunft können? Welche Features wünschen sich Agenturen? Darüber haben wir uns mit 30 Agenturen ausgetauscht.

Text vor blauem Hintergrund: Post Mortem - Störung im Cloud Hosting am 27. September 2024
mittwald

Post Mortem zur Störung im Cloud Hosting Stack infolge eines DDoS

Am 27. September kam es zu einer Störung im Cloud Hosting infolge einer DDos-Attacke. Hier findest du alle Hintergrundinfos.

Schrift auf blauem Hintergrund: Post Mortem - Störung im Cloud Hosting am 20. September 2024
mittwald

Post Mortem: Störung im Cloud Hosting Stack

Informationen zur Störung und den DDoS-Attacken vom 20. - 22. September.

Schriftzug "It's a wrap" auf dem Logo von Head in the Cloud
mittwald

So war Head in the Cloud 2024

It’s a wrap! Kluge und inspirierende Köpfe auf einem Haufen. Hier gibt's alle Infos zum Event, inkl. Fotos und Aufzeichnung des Livestreams.