Sicheres Passwort erstellen

Ein sicheres Passwort ist nicht leicht zu knacken.

Vergessene Passwörter sind meist nicht ganz so witzig, deswegen sollte man sie sich gut merken. Quelle: http://farm4.static.flickr.com/3738/9415848746_b33a9831d7.jpg

Dieser Artikel ist leider veraltet und wird überarbeitet ...

 

Hier ein paar Infos und Tipps um ein sicheres Passwort zu erstellen. Dabei gehe ich ein wenig auf theoretische Aspekte ein und zeige, worauf es ankommt, wenn man sich ein neues Passwort erstellen möchte.

Passwörter knacken: Size matters

Dies gilt nicht überall, aber bei Passwörtern schon: Je länger, desto sicherer!

Vorweg sei gesagt, dass Passwörter natürlich nicht einfach als Klartext auf einem Server liegen, sondern mittels kryptographischer Verfahren wird aus einem Passwort ein Hash-Wert gebildet. Hash-Werte sind Zeichen- oder Zahlenkombinationen und dienen z.B. zum überprüfen ob eine Datei oder eine Nachricht vollständig ist, da bei gleichem Verfahren immer der gleiche Hash-Wert herauskommt.

Generell gibt es zwei Methoden mit denen man Passwörter knacken kann: Zum einen kann man alle Kombinationen an Buchstaben, Zahlen und ggf. Sonderzeichen (mit Sonderzeichen dauert diese Methode seeeehr lange) durchgehen, Hash-Wert bilden und prüfen ob dieser dem auf dem Server entspricht (Brute-Force-Methode).

Neben dieser gibt es noch die der Wortlisten. Man lädt oder erstellt sich einfach eine Liste aller Wörter einer Sprache und hofft darauf, dass das Passwort ein normales Wort dieser Liste ist.

Häufigstes Passwort: 123456

Das am häufigsten verwendete Passwort ist „123456„. Wer sich da noch wundert, dass im Laufenden Band Passwörter geknackt werden, dem ist nicht mehr zu helfen.
Man sollte daher ein Passwort wählen, das nicht aus einer einfachen Zahlenfolge besteht.

Generell besitzt ein Standarddeutscher ca. 9 verschiedene Passwörter … für all seine Accounts …

Länge des Passwortes

Zunächst – wie oben schon gesagt – ist die Länge eines Passwortes ein wichtiger Faktor. Im allgemeinen wird empfohlen Passwörter ab 8 Zeichen zu wählen, doch mittlerweile dürfte das auch überholt sein, man sollte also Passwörter mit einer Länge von 10 oder mehr Zeichen wählen. Vor allem behält man meistens ein Passwort nicht nur einige Wochen, sondern meist mehr als ein Jahr und auch die Rechner der NSA werden schneller 😉

Bestandteile eines Passwortes

Neben vielen Zeichen sollte man auch eine möglichst hohe Anzahl an unterschiedlichen Zeichen benutzen. Dabei sollte unbedingt auf Sonderzeichen, Zahlen, Umlaute, sowie Groß- und Kleinbuchstaben zurückgegriffen werden. Wenn sie also ein zehn Zeichen langes Passwort erstellen möchten, sollten die im Idealfall eine sinnlose Kombination aus eben den Bestandteilen wählen (z.B.: Np_7N(iä%K ).

Alltagstaugliches Passwort erstellen

Für den Standardbenutzer, der nicht jeden Tag Hackerangriffe auf seine Accounts und Server abwehren muss, reicht ein einfaches, leicht zu merkendes Passwort aus Sonderzeichen, Zahlen, Buchstaben und Umlauten.

Man kann am besten Passphrasen, also sinnlos Sätze, bilden. Als Beispiel: AffenIstSpielen (Affen ist spielen). Dieses Passwort hat 15 Zeichen (also etwas länger als die empfohlene Mindestlänge) und ist relativ leicht zu merken (man kann natürlich auch Sprüche von Meister Yoda oder ähnliches nehmen). Da die Bestandteile des Passwortes normale Wörter sind, findet man sie in Wortlisten, daher sollte man Teile der Wörter durch Sonderzeichen oder Zahlen ersetzen, zum Beispiel so: 4ffen1stSp|elen (A -> 4, I (großes i) -> 1, i -> | (senkrechter Strich)). Dadurch wird das Passwort sicher und man kann es sich leicht merken.

Beim ersetzen von Buchstaben in Zahlen und umgekehrt darf man ruhig die Phantasie spielen lassen, da auch die NSA diesen Trick kennt 😉

Seeeehr Sicheres Passwort erstellen

Damit man sich selbst kryptische Passwörter gut merken kann, gibt es die Möglichkeit des „Verschlüsselns“. Dabei werden nach eigener Logik Buchstaben durch z.B. Zahlen ersetzt und an bestimmte Stellen Sonderzeichen eingesetzt.

Hier ein Beispiel anhand von !1nF“0Rm§4t1$k … schwer zu merken? Nein 😉

Man muss sich zunächst ein Grundwort ausdenken (Informatik), dieses schreibt man dann etwas anders auf (InFoRmAtIk, also abwechselnd groß und KLEIN geschrieben).
Nun ersetzt man jedes i durch eine 1, jedes a durch eine 4 und jedes o durch eine 0 (man könnte auch jedes g durch eine 9 ersetzen oder jedes a durch ein ä, usw.). Daraus wird dann 1nF0Rm4t1k. Im Prinzip ist das schon ein Passwort, das schon mal nicht sooo einfach zu knacken ist. Wir wollen aber mehr …
Als nächstes fügen wir an jede dritte Stelle ein Sonderzeichen ein (rot markiert): !1nF0§Rm$4t%1k&. Dabei habe ich hier die „große“ 1 (also ! ) als erstes gewählt, dann die „große“ 2 (also “ ), usw.

Wir erhalten also das 16 stellige Passwort !1n“F0§Rm$4t%1k&, welches man sich nun – mit den obigen Tricks – relativ leicht merken kann. Klar dauert es länge das Passwort ein zu geben als „Informatik123“ aber man kann sich ja mal überlegen wie sehr ein gelöschter E-Mail Account schmerzt.

Alle Regeln (also das mit „jede 1 durch ein ! ersetzen“, etc.) kann (und sollte) man natürlich beliebig wählen und selbst ausdenken, das hier war nur ein Beispiel. Es gibt noch viele weitere Möglichkeiten Passwörter auf diese Weise zu finden (z.B. Anfangsbuchstaben eines Spruchs, Erste Wörter aus den Versen eines Gedichts, etc.).

Aufpassen bei „Passworttestern“/“Password-Metern“

Es gibt im Internet diverse Seiten auf denen man testen kann wie sicher ein Passwort ist, in dem man es eingibt und die Seite prüft das Passwort auf Sicherheit. Auch gibt es Anbieter die im Internet Sicher ist dabei nur, dass der Anbieter nun ihr Passwort und ihr IP hat, damit kann man durchaus einiges anstellen, vor allem, wenn man Zugriff auf die Browser-History mit allen besuchten Websites hat …

Man sollte daher vorsichtig mit solchen Seiten sein!

Keine Passwörter wiederverwenden!

Generell gilt: Für jede Registrierung ein eigenes Passwort. Immer wenn sie sich irgendwo registrieren, sollten sie sich für diesen neuen Account ein eigenes Passwort ausdenken. Klar wird das ab 24 Accounts (der durchschnittlichen Anzahl in Deutschland) schwer sich alle zu merken, dennoch ist das die sicherste Lösung. Alternativ kann man bereits vorhandene Passwörter auch leicht abändern, doch sicherer ist ein komplett neues Passwort.

Passwortmanager vermeiden (IMHO)

Das tolle an Passwortmanagern ist: Sie behalten das Passwort für einen und man muss sich nicht alle merken. Man wählt ein „Master-Passwort“, also ein Passwort für den Passwortmanager, dieser verschlüsselt die eingegebenen Passwörter und sie sind sicher … fast, denn der Nachteil: Wenn ein Hacker an das Passwort für den Manager kommt, hat er gleich alle gespeicherten Passwörter zur Verfügung. Teilweise besteht dieses Masterpasswort auch nur aus einer 4-Stelligen PIN, bei der selbst ein Heimrechner aus den 90ern weniger als eine Sekunde braucht.

Ich persönlich empfehle ein Büchlein in dem man die Passwörter einträgt und es dann an einem sicheren Ort verwahrt (unterste Schublade im Schreibtisch ganz hinten o.Ä.). Zettel gehen auch, man muss nur aufpassen, dass Besucher oder Teilnehmer einer Videokonferenz diese nicht sehen/finden können.

Es gibt neben dem Benutzername-Passwort Prinzip noch weitere Möglichkeiten sich ein zu loggen. Quelle: http://upload.wikimedia.org/wikipedia/commons/6/67/Fingerprint_scanner_identification.jpg

Es gibt neben dem Benutzername-Passwort Prinzip noch weitere Möglichkeiten sich ein zu loggen. Quelle: http://upload.wikimedia.org/wikipedia/commons/6/67/Fingerprint_scanner_identification.jpg

Alternativen zu Passwörtern

Ein Schutz mit einem Passwort ist zwar normal, aber nicht alternativlos.

Zwei-Faktor-Schutz

Man hat nicht ein Passwort, sondern zwei Faktoren/Teile, die der Benutzer wissen/haben muss. Ein Beispiel: Haustürschlüssel und Adresse. Ich muss wissen wo ich wohne und ich muss meinen Schlüssel haben, erst dann kann ich in die Wohnung. Gleiches gilt für Einbrecher. Hat ein Einbrecher nur den Schlüssel ist der wertlos, da das passende Schloss unbekannt ist. Hat er nur die Adresse, kann er nicht in die Wohnung, da der Schlüssel fehlt.

Praktiziert wird das zum Beispiel bei EC-Karten (Karte und PIN), oder auch Firmen internen Bereichen (Schlüssel/Karte/Chip und PIN/Passwort/Fingerabdruck).

Biometrie

Biometrische Scanner sind z.B. Fingerabdruckscanner, wie sie in Laptops oder Handys verbaut sind. Dies ist eine sehr sichere Methode um sich z.B. irgendwo ein zu loggen. Nachteil: Wenn man Kinder hat, können die sich z.T. auch einloggen. Ist eine einfache und nette Sache, vor allem, da man nichts verlieren kann … außer seinen Finger … und im Normalfall auch sehr sicher.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.