Der beste Weg zum sicheren Passwort im Internet

Berlin. Diese Verfahren machen Kennwörter sicher, ohne dass man sie aufschreiben muss, um sie sich zu merken.

„!cDif80fjFs5Gxn=ssk“. So sähe ein garantiert sicheres Passwort aus, das sich garantiert niemand merken könnte. Mit diesem Problem müssen sich Betreiber von Webseiten zunehmend herumschlagen. Und während der Ruf nach mehr Datensicherheit immer lauter wird, sind Nutzer von den steigenden Kennwortanforderungen zunehmend überfordert. Wohl auch deshalb appellierte der britische Geheimdienst GCHQ an Website-Anbieter, einfachere Kennwörter zuzulassen, statt immer kompliziertere zu fordern und sich stattdessen auf die Sicherheitsmechanismen ihrer Services zu konzentrieren.

Wie Passwörter im Internetabgegriffen werden

Oftmals reichen Kriminellen schon kurze, gängige Zeichenfolgen, um Zugang zu Portalen zu erhalten: Erschreckend viele Nutzer glauben, ihre Daten mit Kennwörtern wie „123456“ oder „Passwort“ zu schützen. Gefährlicher ist aber Software, die schlicht alle Begriffe aus Wörterbüchern durchprobiert. Ein Verfahren, das auf pure Rechenkraft setzt und deshalb auch „Brute-Force-Attacke“ oder „Wörterbuch-Angriff“ genannt wird.

Die können nur durch sicherere, nicht durch längere Passwörter abgewehrt werden, wie Ruben Wolf, IT-Sicherheitsforscher am Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt, erläutert: „Tatsächlich ist es so, dass ein Internetportal nicht zwangsläufig sicherer wird, nur weil die Betreiber von ihren Kunden fordern, nun ein 12-stelliges statt eines 6-stelligen Passwortes einzugeben. Manche Nutzer schreiben das alte Passwort dann einfach zweimal hintereinander, was natürlich überhaupt nicht sicherer ist.“

Mehrere kürzere Kennwörter wären dabei deutlich sinnvoller als ein immer gleiches langes. Denn ein erheblicher Teil der Angriffe zielt auf die Server, auf denen die Zeichenfolgen gespeichert sind. Liegen die Daten hier nach einem Hackereinbruch erst einmal offen, ist selbst das sicherste Kennwort nutzlos. Wenn man es nun außerdem noch für etliche Dienste verwendet hat, kann der Schaden groß sein.

Wie ein sicheres Passwort aussehen muss

„Daraus nun abzuleiten, dass Nutzer generell kürzere Passwörter verwenden sollen, wäre aber falsch“, sagt IT-Sicherheitsforscher Wolf. Tatsächlich müsse man zwischen Passwörtern für Onlinedienste und denen für lokale Dienste auf dem Computer oder Smartphone unterscheiden. Während Wörterbuch-Angriffe auf Websites meist unterbunden werden, gelte das für lokal auf einem Computer gespeicherte Inhalte nicht: „Hier können Programme mehrere Millionen Kombinationen pro Sekunde durchprobieren, ein unsicheres Passwort hält da nur wenige Sekunden stand“, sagt Wolf. „Ein halbwegs sicheres Passwort sollte deshalb mindestens aus 12 bis 16 Zeichen bestehen und Sonderzeichen sowie Ziffern enthalten.“ Auch auf Namen und Daten aus dem persönlichen Umfeld sollte verzichtet werden. „Auf keinen Fall sollte man ein Passwort für mehrere oder gar für alle Zwecke verwenden. Da muss nur ein Server gehackt werden und schon liegen Angreifern alle Daten offen“, warnt Wolf.

Welche Programme bei der Verwaltung helfen

Ein beliebter Weg, um mit der Vielzahl von komplizierten Kennworten umzugehen, sind Passwortmanager-Programme. Sie sind vereinfacht gesagt ein sicherer Softwaresafe, in dem alle Zugangscodes für Websites und andere Onlinedienste gespeichert werden. Darüber hinaus erstellen sie auf Wunsch auch absolut sichere, hoch komplexe Passwörter für jeden Dienst. Der große Vorteil dabei ist, dass sich der Nutzer nur ein Master-Kennwort merken muss, das den Softwaresafe entsperrt.

Passwortmanager wie etwa LastPass (lastpass.com, 12 US-Dollar pro Jahr) oder 1Password (1password.com, 50 US-Dollar) sind bequem und funktionieren sowohl auf Desktop-PCs wie auch auf Tablets und Smartphones. Auf Wunsch synchronisiert die Software auch automatisch die Daten zwischen den Geräten. Genauso sicher und kostenlos, dafür aber etwas weniger bequem zu bedienen, ist das Open-Source-Programm KeePass (keepass.info), außerdem hat das Fraunhofer SIT auch einen eigenen Passwortmanager für Android und iOS entwickelt, der noch besser gegen Hackerangriffe geschützt sein soll
(mobilesitter.de, ab 5,49 Euro).

„Passwortmanager sind ein guter und durchaus empfehlenswerter Weg um Kennwörter zu erstellen und sie zu verwalten“, sagt Wolf, „aber das Master-Kennwort sollte hier wirklich sicher gewählt sein“.

Wie Sie einen Code erstellen, den Sie sich merken können

Wer seine Zugangsschlüssel nicht in fremde Hände geben will, muss sie sich schlicht selbst merken. Das gelingt am besten mit Passwortsystemen, aus denen sich für jeden Dienst ein Passwort ableiten lässt. „Ein beliebtes Verfahren ist, sich einen einfachen Satz zu nehmen und aus den Anfangsbuchstaben des Satzes einen Code zu bilden. Also aus „Immer Sonntags gehe ich 99 Luftballons bei Amazon einkaufen“, würde dann „ISgi9LbAe“, sagt Wolf. So kann man sich für jeden Dienst einen eigenen Satz überlegen und das Passwort ableiten.

„Verzichten sollte man bei der Wahl des Satzes auf bekannte Lied- oder Gedichtphrasen. Das können Hacker mittlerweile auch knacken. Denken Sie sich einen eigenen, möglichst langen Satz aus – und der wird dann die Grundlage für Ihr neues, sicheres Passwort.“