IT-Sicherheit

Nur ein starkes Passwort ist ein gutes Passwort

NEUER KOMMENTAR
Beitrag teilen

Nur komplexe Kombinationen aus Ziffern, Buchstaben und Sonderzeichen verwehren Hackern den Zugang zu Online-Accounts. Solche Passworte zu finden und sich zu merken, ist ziemlich einfach.

Rosenmontag, Valentinstag, Murmeltier-Tag – der Februar bietet wahrlich einige feier- und bedenkenswerte Tage. Los geht es aber schon heute mit einem Thema, das jeder Unternehmer sehr ernst nehmen sollte, in seiner Funktion als Firmenchef ebenso wie als Privatperson: Der 1. Februar ist der „Ändere-dein-Passwort-Tag“. 2012 riefen die Technik-Blogs „Gizmodo“ und „Lifehacker“ den „Change Your Password Day“ ins Leben, um darauf aufmerksam zu machen, dass viele Onlinekonten nur mit schwachen Passworten geschützt und deshalb einfach zu knacken sind – beliebte Zeichenkombinationen wie „master“, „superman“ oder „password“ in den USA sowie „hallo“, „passwort“ oder „hallo123“ in Deutschland lassen tatsächlich daran zweifeln, ob die Nutzer je über IT-Sicherheit nachgedacht haben. Das hierzulande beliebteste Passwort ist laut Hasso-Plattner-Institut (HPI) übrigens „123456“. Solche Zeichenkombinationen ermittelt ein leistungsstarker Rechner in kürzester Zeit, sie sollten darum umgehend gegen einen stärkeren Zugangscode ausgetauscht werden. Möglichst noch heute, am „Change Your Password Day“.

Passwort auf dem Post-It am Bildschirm ist immer unsicher

Generell bietet der „Ändere-dein-Passwort-Tag“ einen guten Anlass, um über Passwortauswahl und -management nachzudenken. Natürlich ist „123456“ nie ein starkes Passwort, das liegt auf der Hand. Viele Anbieter von Dienstleistungen im Internet zwingen Kunden deshalb schon beim Anlegen eines Accounts durch bestimmte Vorgaben, komplexe Kombinationen aus Ziffern sowie Groß- und Kleinbuchstaben oder mit Sonderzeichen als Zugangscode zu wählen. In diesen Fällen sorgt sanfter Druck also zunächst für mehr Sicherheit. Die ist aber schnell wieder dahin, wenn jemand das eigentlich sichere Passwort dann – weil es so schlecht zu merken ist – mit einem Post-It an den Computerbildschirm klebt oder Unbefugten auf andere Weise leichtsinnig zugänglich macht. Dies ist keine neue Erkenntnis, aber eben auch immer noch keine Seltenheit. Überlegenswert ist daher, einen elektronischen Passwort-Manager zu nutzen, statt sich die unterschiedlichen Zugangsdaten zu den diversen Diensten zu merken und schließlich doch genervt irgendwo zu notieren. Die Stiftung Warentest hat mehrere Produkte geprüft und vier empfohlen.

Stärke eines Passwortes lässt sich im Internet leicht prüfen

Jeder vierte vom Forschungsinstitut YouGov befragte Deutsche ändert seine Passworte übrigens nie. Das ist nicht per se schlecht. Der „Ändere-dein-Passwort-Tag“ soll vor allem auf schwache Zeichenkombinationen aufmerksam machen. Das laufende Ändern an sich starker Passworte kann nach Ansicht von IT-Experten sogar kontraproduktiv sein – müssen komplexe Kombinationen zum Beispiel auf Anweisung des IT-Administrators im Betrieb alle paar Monate gewechselt werden, neigen die Betroffenen dazu, den neuen Code irgendwo zu notieren, wo er abgegriffen werden könnte. Besser wäre es, für jeden Account ein wirklich starkes Passwort zu wählen und dabei von einem Konto zum anderen deutlich unterschiedliche Zugangscodes zu nutzen. Wird dann ein Account gehackt, hofft der Angreifer vergeblich auf Varianten eines Standard-Passwortes für andere Konten. Die Passwortstärke lässt sich übrigens leicht beim Datenschutzbeauftragten für den Kanton Zürich testen.

Persönliche Daten und Namen als Zugangscode ungeeignet

Tipps für ein starkes Passwort liefert das Bundesamt für Sicherheit in der Informationstechnik (BSI).

  • Ein gutes Passwort hat mindestens acht Zeichen. Bei Verschlüsselungsverfahren für WLAN wie etwa WPA und WPA2 sollte das Passwort mindestens 20 Zeichen lang sei, denn hier sind sogenannte Offline-Attacken möglich, die auch ohne stehende Netzverbindung funktionieren. Beim Hacken von Online-Accounts ist eine solche andauernde Attacke nicht möglich.
  • Für ein Passwort sollten alle verfügbaren Zeichen genutzt werden. In der Regel lassen sich Groß- und Kleinbuchstaben, Ziffern und auch Sonderzeichen wie + oder ? oder % verwenden. Manche Anbieter von Onlinediensten machen technische Vorgaben für verwendbare oder zu verwendende Zeichen. Umlaute sollten vermieden werden – sie erschweren den Zugriff aus Ländern, wo sich diese Zeichen nicht eingegeben lassen.
  • Als Passworte ungeeignet sind persönliche Begriffe oder Zahlen. Das gilt etwa für die Namen von Familienmitgliedern, von Haustieren, vom besten Freund oder von einem beliebten Sänger oder Autor. Auch Geburtsdaten verbieten sich.
  • Das Passworte sollte nicht einfach zu testen sein. Ungeeignet als Passwort sind Begriffe, die so in Wörterbüchern vorkommen und bei einem Angriff leicht abgefragt werden können. Gleiches gilt für gängige Tastaturmuster wie „asdfgh“. Manche Anbieter gleichen Passworte mit Listen ab, wo solche nicht geeigneten Kombinationen hinterlegt sind, und lassen sie dann nicht zu.
  • Simple Modifikationen von Begriffen reichen nicht aus. Wer nur eine Ziffer an ein Wort anhängt oder eines der üblichen Sonderzeichen an den Anfang oder ans Ende stellt, bereitet Hackern keine großen Schwierigkeiten.
  • Sie müssen sich das Passwort gut merken können. Wenn die Hilfsstrategie stimmt, sind der Kreativität keine Grenzen gesetzt. Man kann sich etwa einen Satz merken und von jedem Wort den Buchstaben an derselben Stelle nutzen. Man kann zusätzlich bestimmte Buchstaben in Zahlen oder Sonderzeichen ändern. Oder man kann einen ganzen Satz als Passwort nutzen, bei dem die Wörter durch Sonderzeichen verbunden sind.

Sollten Sie sich übrigens besser fühlen, wenn Sie Passworte regelmäßig wechseln, können Sie sich dabei von einer App des Vereins „Deutschland sicher im Netz“ (DsiN) unterstützen lassen. Die kostenlose Passwort-Wechsel-App für iPhone und Android-Smartphones erinnert in selbst gewählten Intervallen daran, dass es wieder einmal Zeit für eine Änderung wäre, und erklärt für viele wichtige Online-Accounts, wie das schnell und einfach geht.

  • Spannendes Thema? Werden Sie Fan und kommen Sie zu unserer Facebookseite!