Passwort-Sicherheit: Seien Sie kreativ!

Mindestens acht Zeichen, besser mehr

Aber was sind sichere Zugangscodes? „Grundsätzlich gilt: Je länger, desto besser. Ein gutes Passwort sollte mindestens acht Zeichen lang sein“, schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Starke Passwörter von mindestens 16 Zeichen mit Groß- und Kleinschreibung, Zahlen und Sonderzeichen empfiehlt Christian Funk, Leiter des deutschsprachigen Forschungs- und Analyseteams des IT-Sicherheitsunternehmens Kaspersky Lab in einem Interview mit der Süddeutschen Zeitung. Die Integration von Sonderzeichen impliziert, dass Wörter, die im Lexikon stehen, als Passwort ausscheiden. Sie sind nämlich mit Brute-Force-Attacken, bei denen Zeichenfolgen automatisiert ausprobiert werden, relativ einfach zu knacken.

Sätze statt Wörter

Je länger das Passwort ist, desto größer ist aber die Gefahr, es zu vergessen. Deshalb ist die früher häufig gegebene Empfehlung, für die Zugangswörter möglichst komplexe Zeichenfolgen zu nützen, heute nicht mehr üblich. Sinnvoller sind Passphrasen. Das sind Wortfolgen, an die man sich leicht erinnern kann und die bestenfalls einige Ziffern enthalten. „MeinHaushat2Eingangs-TürenundistimJahr2001erbautworden!“ könnte so eine Phrase sein. Sind solch lange Sicherheitswörter nicht erlaubt, dann kann man sich behelfen, in dem man beispielweise die ersten Buchstaben jedes Wortes nimmt und diese aneinander reiht. Aus dem obigen Satz wird dann: MHh2E-TuiiJ2001ew!. Wer es noch komplexer machen möchte, kann überdies einzelne Buchstaben durch Zahlen oder Sonderzeichen ersetzen. Nimmt man statt einem e ein Fragezeichen, dann erhält man: MHh2?-TuiiJ2001?w!.

Für jeden Zugang ein eigenes Passwort

Um den Schaden gering zu halten, falls ein Passwort einmal geknackt wird, sollte man sich für jeden Zugang ein eigenes Passwort ausdenken. Bei 16 oder mehr Diensten – jeder Dritte nutzt so viele passwortgeschützte Angebote – ist das aber eine Herausforderung für das Gedächtnis.

Passwort-Manager als Identitätstresor

Weil handschriftliche Notizen und ungeschützte Excel-Listen als Gedächtnisstützen eine schlechte Idee sind, bleibt die Nutzung von Passwort-Managern als Ausweg. Software-Tresore wie beispielsweise Keepass und McAfee True Key speichern die persönliche Passwort-Liste verschlüsselt auf dem PC, Smartphone oder in der Cloud und helfen sogar bei der Schaffung starker Passwörter. Überdies warnen einige, falls ein Passwort bereits als gehackt bekannt ist.

Mit einem Passwort-Manager muss man sich nur noch einen Master-Zugangscode merken, der als Sesam-öffne-dich für den virtuellen Tresor dient. Noch besser ist, wenn der Zugang zum Manager über eine Zweifaktor-Authentisierung geschützt ist. Dabei erfordert der Identitätsnachweis neben der Passwort-Eingabe eine zweite Methode wie beispielswiese die Identifikation per Fingerabdruck oder Gesichtserkennung.

Doppelt gesichert hält besser

Die Zweifaktor-Authentisierung ist übrigens auch als Schutz der wichtigsten Konten wie E-Mail und Online-Banking empfehlenswert. Viele Dienstleister bieten den doppelten Identitätsnachweis als Option an.

Wer sich Hoffnung macht, dass rein biometrische Verfahren wie Fingerabdruck-, Gesichts- und Iriserkennung Passwörter bald überflüssig machen werden, könnte enttäuscht werden. Kaspersky-Experte Christian Funk gibt zu bedenken: „Wenn ein Passwort in die falschen Hände gerät, können Sie es ändern. Wenn Ihr Fingerabdruck im Netz landet, dann ist er für alle Zeiten verbrannt.“ Und weil niemand mehr als 10 Finger hat, ist es besser, sich bis auf weiteres damit zu beschäftigen, wie man den passwortgeschützten Zugang zu Online-Diensten sicher macht.