Gerade keine Zeit?

Für Eilige empfehlen wir das Video und den XKCD-Comic zum Thema.

Alle Jahre wieder … Passwortsicherheit

Verlässlich wie die Steuererklärung tauchen alle Jahre wieder die Fragen auf, wie man es schafft, sich ein sicheres Passwort auszudenken und es sich auch zu merken. Und überhaupt: Wie sieht ein sicheres Passwort aus? Wir geben im heutigen Artikel einige Tipps und Denkanstöße, wie Passwörter erstellt und verwaltet werden können.

Was ist ein sicheres Passwort?

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

Im Juli 2017 fand das Bundeskriminalamt eine Sammlung von 500 Millionen ausgespähter Zugangsdaten. Die Daten wurden dem Identity Leak Checker des Hasso-Plattner-Instituts (HPI) hinzugefügt. Mit diesem Tool können Sie leicht feststellen, ob auch Ihre Zugangsdaten von größeren Sicherheitslecks der Vergangenheit betroffen waren. Das HPI stellt statistische Auswertungen, darunter die beliebtesten Passwörter. zur Verfügung. Beliebte Passwörter waren: „123456“ (Platz 1), „123456789“ (Platz 2), der Fingerschwenk „qwerty“ (Platz 4) sowie „password“ (Platz 8). Solche Passwörter werden von Millionen Nutzer.innen verwendet.

Angriffe mit dem Wörterbuch

Diese Passwörter sind nicht sicher, da sie mit sogenannten Wörterbuchangriffen in kürzester Zeit geknackt werden können. Im Gegensatz zur Brute-Force-Methode, bei der ein Angreifer „mit roher Gewalt“ (engl.: brute force) einfach alle möglichen Zeichenkombinationen nacheinander durchprobiert, benutzen die Angreifer bei Wörterbuchangriffen eine Liste häufig benutzter Wörter und Passwörter. Die Zeiten, die ein Angreifer mit einer Brute-Force-Attacke benötigt, sind hier übersichtlich und mit Erklärungen dargestellt.

Gute Passwörter helfen

Gegen diese beiden Angriffe kann man sich durch die Wahl eines geeigneten Passwortes relativ gut absichern: Es sollte möglichst zufällig gewählte Kombinationen aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen beinhalten (gegen Wörterbuchangriffe) und möglichst lang sein (gegen Brute-Force-Angriffe und gegen Wörterbuchangriffe).

Eigenschaften und Umgang mit sicheren Passwörtern

Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.
Hinweise und Anleitungen, wie ein sicheres Passwort auszusehen hat, geistern zu Tausenden durch das Internet. Für die meisten Anwendungen und Benutzerkonten sind die folgenden, vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen Punkte weitestgehend unstrittig:

Passwörter sollten …

  • mindestens 14 Zeichen lang sein. (Das BSI sagt „mindestens 8“, aber das halten wir für nicht mehr zeitgemäß.)

  • möglichst auch Ziffern (0…9) und Sonderzeichen (?!%+…) enthalten. Bei Passwörtern ab etwa 16 Zeichen Länge sind aber selbst eine Mischung aus Groß- und Kleinbuchstaben schon äußerst sicher (Stand: Dezember 2016)

  • nicht bestehen aus: Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter

  • nicht in Wörterbüchern oder im Internet vorkommen und nicht die Anfängssätze von Büchern sein oder abkürzen

  • nicht bestehen aus: gängigen Varianten und Wiederholungs- oder Tastaturmustern (also nicht qwertz oder 1234abcd und so weiter).

  • einfache Ziffern und Zeichen angehängt bekommen. Ein simples Passwort mit Zeichen am Anfang oder Ende zu ergänzen (beliebt sind: $, !, ?, #), ist nicht empfehlenswert.

Richtig mit Passwörtern umgehen

Auch zum Umgang mit Passwörtern gibt es Regeln, die für die Sicherheit von grundlegender Wichtigkeit sind:

  • Für verschiedene Zugänge nicht das gleiche oder ähnliche Passwort verwenden. Damit wird verhindert, dass ein.e Angreifer.in ein erbeutetes Passwort bei einem anderen Zugang wieder nutzen kann. Ob eines Ihrer Passwörter bei einem der großen Datenlecks der letzten Jahre betroffen war, erfahren Sie auf der Seite Identity Leak Checker.

  • Verschieden sichere Passwörter für verschiedene Zwecke: Für Zugänge, die absolut unkritisch sind, kann „passwort83“ ausreichend sicher sein. Für wichtige Zugänge wie denen zum Mail-Postfach, zum Online-Banking oder zum Sozialen Netzwerk, sollten die Passwörter unbedingt den Regeln oben entsprechen – oder noch länger sein. Bedenken Sie, dass wer das Passwort zum Mail-Postfach hat, auch fast alle anderen Passwörter bekommen kann, wenn er oder sie jeweils die „Passwort vergessen“-Funktion benutzt.

  • Passwörter auch mal ändern. Das Änderungsintervall je nach Sensibilität des Zugangs wählen und eine Erinnerung z.B. in den Kalender (oder einem Passwortverwaltungsprogram, siehe weiter unten) eintragen. Hilfreich kann auch sein, zur eigenen Erinnerung die Jahreszahl, wann man sein Passwort erstellt hat, ins Passwort einzuarbeiten.

  • Passwörter niemals weitergeben oder im Klartext (= unverschlüsselt) versenden! Das bedeutet auch: benutzen Sie keine Passwort-Generatoren im Internet! Und schicken Sie ihre bestehenden Passwörter keinesfalls an Webseiten, die Ihnen versprechen, die Sicherheit ihres Passwortes zu überprüfen (sie können dazu z.B. den Identity Leak Checker verwenden, der nach Ihrer Email-Adresse fragt, aber nicht nach Ihrem Passwort).

  • Passwörter nicht direkt neben dem Gerät lagern. Aber: Es ist besser, ein sicheres Passwort zu verwenden und aufzuschreiben, als ein unsicheres Passwort zu benutzen. Denn letzteres kann eine Angreiferin oder Angreifer erraten. Um an ersteres zu kommen, braucht sie oder er den Zettel. Und der ist im Portemonnaie passabel sicher verstaut – wenn nicht dabei steht, für welchen Zugang es ist. Ein sicher verwahrtes Passwort (etwa in einem Safe oder Bankschließfach) ist sogar empfehlenswert, wenn Sie möchten, dass berechtigte Personen im Falle eines Unfalls Zugriff auf Ihre Daten bekommen können.

EnterPassword„123456“?

Wie erzeugt man ein sicheres Passwort?

Passwortgeneratoren erstellen die besten Passwörter. Punkt. Denn Passwortgeneratoren wählen und kombinieren zufällig eine ausreichende Anzahl an Zahlen, Buchstaben und Sonderzeichen. Der Nachteil ist: Ein solches Passwort ist sehr schwer zu merken und verleitet dazu, nach fünf falschen Eingaben entnervt auf den Namen des Haustiers zu wechseln. Deshalb zeigen wir zwei Alternativen, ein längeres, nicht gänzlich zufälliges Passwort zu erstellen, das besser zu merken ist und trotzdem nicht unsicherer sein muss.

Merksätze und Eselsbrücken

Eine Methode ist, eine Eselsbrücke durch einen langen Satz zu bilden und die jeweiligen Anfangsbuchstaben der Wörter als Passwort zu benutzen. Zum Beispiel „Digitalcourage kämpft für Datenschutz und Grundrechte; uns findet man in der Bielefelder Innenstadt.“ = DkfDuG;ufmidBI. Zusätzlich kann man dann noch einzelne Buchstaben durch Zahlen ersetzen, z.B. I=1, S=5, B=8, usw.: DkfDuG;ufmid81.

Der Effekt einer solchen Merkregel ist umstritten, denn natürlich wissen auch Passwortdiebe von solchen Methoden. Durch die Verwendung der Anfangsbuchstaben sind die Zeichen nicht mehr gleichwahrscheinlich und Ersetzungen sind ebenfalls leicht reproduzierbar. Diese Passwörter sehen so für uns Menschen zwar „zufällig“ aus, sind aber für Maschinen, die unsere typischen Satzmuster kennen, viel leichter zu erraten als wirkliche Zufallskombinationen.

„Diceware“ und Passphrases – bekannte Wörter verwenden, aber richtig!

Digitalcourage wirkt. Wirken Sie mit!

Wählen Sie beliebige Wörter! Der Vorteil dieser interessanten Alternative wird in diesem Comic erklärt: Anstatt ein Passwort mit beispielsweise zwölf beliebigen Zeichen zu benutzen, das schwer zu merken ist, ist eine Passphrase oder ein Passsatz aus sechs oder mehr beliebigen Wörtern sogar sicherer und deutlich einfacher zu merken.

Bei Wikipedia gibt es eine Anleitung inklusive deutscher Wortliste, wie man mit einem Würfel ein solches Passwort generieren kann. Da in der Wortliste einige sehr kurze Wörter gelistet sind, sollte ein Passwort nur verwendet werden, wenn es mehr als 17 Zeichen lang ist.

Ein Problem bleibt: Viele Onlineformulare begrenzen die Passwortlänge. Zudem soll mindestens ein Groß-, ein Kleinbuchstabe und ein Sonderzeichen plus Zahl vorhanden sein. Wie man dieses Problem lösen kann, zeigen wir weiter unten.

Smartphones sichern

Natürlich sollten Sie auch Ihr Smartphone mit einem Passwort vor unbefugtem Zugriff schützen. Bedenken Sie, dass ein Smartphone mehr Informationen über Sie enthält als ein Tagebuch. Viele benutzen ein Entsperrmuster, das man auf einem Gitter zeichnet. Das ist allerdings unsicher, da man ein Muster bei der Eingabe durch einen Blick über die Schulter sehr leicht erfassen kann. Außerdem ist es hinterher perfekt auf dem Display zu sehen, da Ihr Finger eine Fettspur hinterlässt. Besser ist, Sie wählen eine Zahlenkombination, in der manche Zahlen mehrfach vorkommen. Dann sind die Spuren auf dem Display schwerer zu deuten.

Mehr-Faktor-Authentifizierung: zusätzliche Sicherheit neben dem Passwort

Passwörter sind wichtig und werden dies auch auf absehbare Zeit bleiben. Immer mehr Dienstleister bieten aber zusätzliche Identifizierungsmöglichkeiten an. So können Sie ihre Banküberweisungen etwa per individueller SMS oder mit Hilfe eines kleinen Chipkartenlesers autorisieren. Diese Verfahren sollten Sie - zusätzlich zu einem starken Passwort - nutzen.

Wie bewahrt man Passwörter auf?

Digitalcourage arbeitet gemeinnützig und auf Basis von Spenden. Ihre Fördermitglied-schaft gibt uns Kraft und macht unabhängige Arbeit erst möglich. Werden Sie jetzt Fördermitglied bei Digitalcourage

Neben Bankschließfächern und Safes sind Passwort-Verwaltungsprogramme eine gute Methode, die Zugangsdaten zum Beispiel für verschiedene Webdienste zu verwalten. Die Passwörter für verschiedene Zugänge werden durch ein einziges Masterpasswort geschützt und verschlüsselt auf der Festplatte gespeichert. Die Passwörter für die einzelnen Zugänge können dann vom Passwort-Verwaltungsprogramm zufällig generiert werden, da man sie sich ja nicht merken braucht. Das animiert dazu, auch wirklich für jeden Zugang ein anderes Passwort anzulegen.

Zwei Beispiele sind KeePass, von dem es eine deutsche Version gibt, oder KeePassX, ebenfalls in Deutsch installierbar. Im Download-Bereich von KeePass findet sich außerdem eine Auflistung kompatibler Smartphone-Apps. Mit einer Synchronisierung können also auf mehreren Geräten die gleichen Passwörter genutzt werden. Bedenken Sie jedoch, dass ihre Passwortdatenbank bei Verlust des Mobilgeräts potentiell beeinträchtigt ist.

Vorsicht vor der Cloud und anderen Rechnern

Der Nachteil eines Passwort-Schlüsselbunds (so nennt man eine Sammlung von Passwörtern) liegt auf der Hand: Ist das Masterpasswort nicht stark genug, und es gerät in die falschen Hände, sind all Ihre Passwörter ungeschützt. Hier hilft nur, eine sehr starke, lange Passphrase zu benutzen, wie weiter oben gezeigt. Aber wenn Sie sich einen Trojaner und andere Schadsoftware eingefangen haben, hilft auch das nicht mehr. Darum: weiterhin Vorsicht beim Surfen! Auf einem fremden Gerät sollten Sie Ihren Passwort-Schlüsselbund nicht einsetzen, vielleicht ist das Gerät infiziert. Beachten Sie an fremden Geräten auch, dass Passwörter oft automatisch vom Browser gespeichert werden. Und vergessen Sie nicht: Auch eine Cloud besteht nur aus den Rechnern anderer Leute. Stellen Sie sich die Cloud als einen USB-Stick vor, den Sie danach einem wildfremden Menschen zur Verwahrung geben.

Sie können Passwörter auch im Browser verwalten. Da Sie sich dabei die Passwörter aber immer noch selbst überlegen müssen und nur innerhalb des Browsers sinnvoll verwenden können, empfehlen wir Ihnen, besser ein eigenständiges Passwort-Verwaltungsprogramm zu verwenden. Sie können aber auch zweigleisig fahren: unkritischere Passwörter wie die für Foren speichern Sie im Browser, andere im Passwort-Verwaltungsprogramm.

Die Frage allerdings, ob Ihnen der Zuwachs an Sicherheit diese kleinen Komforteinbußen ausgleicht, können nur Sie selbst beantworten.


Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Änderungen seit Dezember 2015:

  • 30.11.2016: empfohlene Passwortlänge von 12 auf 14 Zeichen erhöht

  • 30.11.2016: Website "Have i been pwned?" hinzugefügt

  • 24.11.2017: Update Leaks und Website „Have I been pwned“ durch HPI-Leak-Checker ersetzt. Hinweise zu Cloud, Multi-Faktor-Authentifizierung und Aufbewahrung im Banksafe ergänzt

Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 2.12.2017. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.

Links:
Wikipedia: Passwort
Bundesamt für Sicherheit in der Informationstechnik (BSI): Passwörter
KeePass
KeePassX
deutsche Anleitung für KeePassX
Brute-force-Attacken auf Passwörter

Bilder:
Authenticity required: Elias Bizannes auf Flickr CC BY-SA 2.0
Linux password file: Christiaan Colen auf Flickr CC BY-SA 2.0

Video:
Animation: Alexander Lehmann,
Illustration: Lena Schall,
Stimme: Florian Maerlender unter CC BY SA 3.0

Veröffentlicht am 01.01.2016

Marktstraße 18
33602 Bielefeld

Spendenkonto
IBAN: DE66 4805 0161 0002 1297 99
BIC: SPBIDE3BXXX
Sparkasse Bielefeld