Ende Januar veröffentlichte das US-Unternehmen SplashData eine Liste der 25 schlechtesten Passwörter des vergangenen Jahres. Das gibt doch Anlass dazu, auch die eigenen Kennwörter in puncto Sicherheit etwas genauer unter die Lupe zu nehmen. Allerspätestens wenn sich eines der eigenen Zugangswörter in dieser Liste wiederfindet, ist es höchste Zeit sich einen sicheren Ersatz zu überlegen. Welche Kriterien muss ein sicheres Passwort erfüllen? Wie sich die komplexe Kombination aus Zahlen, Ziffern und Sonderzeichen merken? Wir zeigen euch, wie ihr in wenigen Schritten ein Passwort erstellen könnt, das keine unerwünschte Software und kein Hacker so schnell durchschauen. Neben Tipps und Tricks stellen wir euch verschiedene Software und Apps vor, die euch gute Dienste leisten werden, wenn es darum geht die neuen, bombensicheren Geheimcodes im Gedächtnis zu behalten.

 

Warum diese Passwörter schlecht sind

Auffällig bei allen Kennwörtern, die in der Liste der schlechtesten Passwörter genannt werden, ist, dass sie ausschließlich aus einer Aneinanderreihung von entweder Ziffern oder Buchstaben bestehen und oft auch zu kurz sind. Erst die Kombination aus Ziffern, Buchstaben und Sonderzeichen verhindert ein schnelles Durchleuchten eures Passworts. Zudem gibt es mittlerweile diverse Listen, in denen genau diese sehr einfachen, aber häufig verwendeten Passwort-Varianten aufgezählt sind. Die Programme, die zum Ausspionieren von Kennwörtern verwendet werden, stürzen sich natürlich als erstes auf diese Listen. Der folgende Auszug soll euch zeigen, welche Passwörter ihr also auf keinen Fall verwenden solltet:

 

Die Top 5 der schlechtesten Passwörter 2014

    • Platz 1: 123456
    • Platz 2: password
    • Platz 3: 12345
    • Platz 4: 12345678
    • Platz 5: qwerty

 

Eine Frage der Zeit

Grundsätzlich ist festzuhalten: Jedes Passwort, das leicht zu merken ist, ist auch leicht zu knacken. Es gibt eine Vielzahl von Programmen und Tools, die dafür verwendet werden, zuerst mittels der so genannten Wörterbuchattacke eure Passwörter herauszufinden. Dabei wird eine schier endlos lange Liste an Wörtern vom Programm durchprobiert. Unsere Top fünf der schlechtesten Passwörter sind hier natürlich mit dabei. Ist diese Methode nicht erfolgreich, gibt es noch eine zweite, sehr gängige Möglichkeit, den Schlüssel zu eurem digitalen Schloss zu finden. Bei der „Brute-Force-Methode“ werden alle möglichen Zahlen- und Ziffernkombinationen nacheinander getestet. Dabei gilt: Je länger und komplizierter das Passwort ist, desto länger braucht das Programm um das Rätsel zu lösen. Auf How Secure Is My Password könnt ihr errechnen lassen, wie lange ein Hacker braucht, um ein konkretes Passwort zu knacken. Diese Web-App belegt Platz 24 bei den Top 100 Sicherheit-Downloads des Computermagazins CHIP. WICHTIG: Gebt hier NIEMALS euer echtes Passwort an, sondern benutzt ähnliche Kombinationen. Bei einem Passwort bestehend aus sechs klein geschriebenen Buchstaben braucht der Rechner nicht einmal eine Sekunde um das Passwort zu knacken. Bei acht klein geschriebenen Buchstaben kann es schon 52 Sekunden dauern, bis der Hacker oder die Software euer Passwort geknackt haben. Bei zwölf klein geschriebenen Buchstaben dauert es bis zu 276 Tage. Bei 16 klein geschriebenen Buchstaben dauert es im besten Fall 345 Tausend Jahre. Groß- und Kleinschreibung kombiniert verlängert die maximale Dauer auf 22 Billionen Jahre. Kombiniert man das nun noch mit einer Ziffer kann es schon 377 Billionen Jahre dauern um das Passwort zu knacken. Und noch ein Sonderzeichen dazu macht zwölf Trillionen Jahre. Allerdings muss dazugesagt werden, dass How Secure Is My Password für die Berechnung einen normaler Desktop PC verwendet. Je nachdem wie viele Schlüssel der Hacker mit seiner Software pro Sekunde probieren kann, desto kürzer oder länger werden die Zeiten. Je nach Stärke des Rechners variieren die Möglichkeiten hier zwischen 1000 und einer Milliarde Schlüssel pro Sekunde. Natürlich sind nicht alle Hacker böse und versuchen euch auszuspionieren. Wau Holland, der Gründer des größten deutschen Hacker Vereins, des Chaos Computer Clubs, beschreibt einen Hacker „als jemanden, der versucht einen Weg zu finden, wie man mit einer Kaffeemaschine Toast zubereitet.“ Also ein experimentierfreudiger Tüftler mit einer großen Leidenschaft für Technik.
Mit dem Brute Force Calculator können ähnliche Berechnungen gemacht werden. Hier könnt ihr zusätzlich den Zeichenraum festlegen und welche Anzahl an Kennwörtern pro Sekunde durchprobiert werden sollen.

 

Kryptische Passwörter

Die Kryptografie befasst sich unter anderem mit der Verschlüsselung von Informationen. Ziel dabei ist es, Daten so zu verändern und unleserlich zu machen, dass sie nur derjenige entschlüsseln kann, der den geheimen Schlüssel kennt. Der US-Amerikaner Bruce Schneier machte sich diese Technik zu Nutze und entwickelte 2008 eine Methode, ein sicheres Passwort zu erstellen. Das so genannte Schneier Scheme funktioniert folgendermaßen: Denken wir beispielsweise an ein Kinderlied oder Merksätze, die wir in- und auswendig kennen – Hauptsache eine Wortkombination, die uns fix im Gedächtnis verankert ist. Nehmen wir an, es handelt sich bei unserem Lied um „Alle meine Entlein schwimmen auf dem See. Köpfchen unters Wasser, Schwänzchen in die Höh “. Jetzt verwenden wir nur noch die Anfangsbuchstaben eines jeden Wortes, also A M E S A D S K U W S I D H. Diese ersetzen wir nun zum Teil mit Zahlen und Sonderzeichen. Das A ersetzen wir jeweils mit einer 4, weil sich das durch die Ähnlichkeit gut merken lässt. Das gleiche machen wir mit dem Buchstaben E, nur dass wir diesen aufgrund der Ähnlichkeit mit einer 3 ersetzen. Anstatt des Buchstaben S verwenden wir Rufzeichen. Unser Kennwort sieht dann so aus: 4M3!4D!KUW!IDH Jetzt können wir noch in der Groß- und Kleinschreibweise variieren: 4m3!4d!kUW!iDH Et voilà, schon haben wir unseren eigenen geheimen „Schlüssel“ den wir zur Erzeugung sicherer Passwörter benutzen! Für dieses Passwort brauchen der Hacker oder die Software, wenn sie die Brute Force Methode anwenden laut How Secure Is My Password zwei Billionen Jahre. Eine weitere Methode, ein sicheres Passwort zu generieren, ist die so genannte Diceware-Methode. Hierbei wird mittels eines Würfels eine fünfstellige Zahlenkombination ermittelt. Fünf Ziffern ergeben dabei immer ein eigenständiges Wort. In der deutschen Wortliste findet ihr dann das für diese Zahlenfolge vorgesehene Wort. Ihr könnt diesen Vorgang beliebig oft wiederholen und die der Zahlenkombination entsprechenden Worte dann einfach aneinanderreihen. Diese Wortfolge nennt man Passphrase. Eine mögliche Passphrase könnte so entstehen: Fünfmal Würfeln ergibt die Zahlenfolge 24333. Das passende Wort in der Liste lautet film. Wir wiederholen den Vorgang weitere drei Mal und erhalten dabei:

32142 herd
56345 stroh
32132 henne

Um die Passphrase filmherdstrohhenne herauszufinden braucht der Hacker oder die Software laut How Secure Is My Password 233 Millionen Jahre. Sollte ein Onlinedienst allerdings eine Passwortkombination aus Zahlen, Ziffern und Buchstaben von euch verlangen, funktioniert die Diceware Methode leider nicht.

 

Backe, backe Esel

Sollten euch die Kinderlieder irgendwann ausgehen oder ihr nicht mehr wissen ob ihr nun „Der Kuckuck und der Esel“ oder doch „Backe, backe Kuchen“ für euren Facebook Login gewählt habt,  bedient ihr euch im Idealfall eines sehr nützlichen Helferleins. Mit einem Passwortmanager könnt ihr all eure Passwörter sicher am PC oder Smartphone speichern. Dazu müsst ihr euch einmal ein Programm herunterladen und ein „Masterpasswort“ festlegen. Dieses Passwort zu eurem geschützten Bereich sollte wirklich sicher sein und nicht in Vergessenheit geraten. Denkt bei der Wahl des Masterpassworts unbedingt daran, Groß- und Kleinschreibung sowie Zahlen und Sonderzeichen zu verwenden. Denn: Findet jemand dieses Kennwort heraus, hat er Zugang zu allen Daten die ihr gespeichert habt. Im Manager selbst könnt ihr die Zugangsdaten aller Seiten, die ihr verwendet, anlegen. Wenn ihr euch dann bei Instagram oder Amazon anmeldet möchtet, könnt ihr euer Passwort ganz einfach nachschlagen, oder euch direkt über den Passwortmanager anmelden. Viele Programme sind kostenlos und ihr müsst euch nur noch ein Hauptpasswort merken. Kostenlos, bzw. open source bedeutet in diesem Zusammenhang nicht gleich unsicher denn: Bei so genannter open source Software ist der Quellcode der Software einsehbar. Ganz nach dem Prinzip „viele Augen sehen mehr“ werden so Fehler und Sicherheitslücken schnell entdeckt. Es gibt mittlerweile eine Vielzahl an Programmen, die sich zum sicheren Verwahren eurer virtuellen Schlüssel anbieten. Bruce Schneier hat einen Passwortmanager für Windows geschrieben, der kostenlos zum Download bereit steht. Für die Betriebssysteme Linux, Windows, iOS und Android wird von IT-Spezialisten auch der KeePass Password Safe empfohlen. Die Firma Soft-o bietet für das Betriebssystem Windows den kostenlosen Passwortmanager Crypt-o zum Download an. Für Unternehmen ist die Software des deutschen Anbieters Passwortsafe eine kostenpflichtige Möglichkeit. Last Pass bietet eine kostenlose Basisversion, und die Möglichkeit eines kostenpflichtigen Upgrades. Eine kostenlose App von LastPass gibt es im App Store für mobile Geräte mit den Betriebssystemen Android und iOS. Für Smartphones und Tablets bieten die jeweiligen App Stores Passwortmanager sowohl kostenpflichtig als auch kostenlos an. CloudySafe ist für 2,99 € im App Store für iPhone, iPad und iPod touch erhältlich. Eine kostenlose Alternative für iPhone und Co ist PasswordBox. Natürlich gibt es auch für das Betriebssystem Android Passwortmanager. Das Computermagazin CHIP empfiehlt den kostenlosen Passwort Tresor. AndroidPIT, das sich selbst als „weltgrößte Android-Website“ bezeichnet, nennen als erstes den, für eine App eher teuren mSecure Passwort-Manager. Das gute Stück kostet im App Store 7,99 €. Ihr seht also, die Bandbreite ist groß.

 

Der sicherste Safe der Welt

Der eigene Kopf ist und bleibt der sicherste Ort, um geheime Daten aufzubewahren. Denn mit dem nötigen Wissen kann schlussendlich in jeden Computer und jedes Smartphone „eingebrochen“ werden. Das Problem dabei, sich sämtliche persönliche Passwörter einfach zu merken besteht jedoch darin, dass der Einfachheit halber meist ein und derselbe Login für alle Dienste im Internet verwendet wird. Das Online Magazin Lifehacker hat dafür folgende Lösung parat: Zuerst wird ein sicheres Grundpasswort erstellt. Dabei gehen wir so vor, wie wir es mit unserem Kinderlied gemacht haben. Bei jedem Internetdienst könnt ihr nun ein paar Buchstaben anhängen. Für Facebook könnte das so aussehen: Grundpasswort, also Kinderlied + face = 4m3!4d!kUW!iDHface. Bringt ihr zusätzlich eine Zahl ins Spiel, wird das Ganze noch undurchschaubarer. Bleiben wir bei unserem Beispiel: 4m3!4d!kUW!iDHface1 Um dieses Passwort herauszufinden kann es bis zu fünf Quintillionen Jahre dauern. Euren Ideen sind hier keine Grenzen gesetzt. Die einzige Regel lautet: vergessen dürft ihr euer Passwort trotzdem nicht!

 

Checkliste für ein sicheres Passwort:

Die folgende Checkliste soll euch bei der Wahl eurer zukünftigen Passwörter unterstützen. Wenn ihr euch an die Punkte haltet, seid ihr auf jeden Fall auf der sicheren Seite.

  • Das Passwort sollte mindestens aus acht Zeichen bestehen. Je mehr Zeichen desto besser.
  • Namen und Geburtsdaten solltet ihr insgesamt tunlichst vermeiden
  • Geht bei der Erstellung nach der Anleitung von Bruce Schneier vor
  • Groß- und Kleinschreibung sowie Sonderzeichen und Ziffern verwenden
  • Dasselbe Passwort nicht länger als sechs Monate verwenden
  • Passwörter nicht einfach am Smartphone oder PC notieren, sondern einen Passwortmanager verwenden
  • Kein Passwort zweimal verwenden
  • Bei vielen Diensten sind Passwörter voreingestellt, oder ihr bekommt eines per Mail zugesandt. Dieses voreingestellte Passwort solltet ihr direkt nach der ersten Anmeldung ändern
  • Computer immer sperren wenn ihr ihn für einige Zeit aus den Augen lassen müssen. Das funktioniert bei PCs, indem ihr die Windows-Taste und die Taste L (steht hier für Lock) gleichzeitig drückt. Am Mac verwendet ihr dazu die Tastenkombinationen Control+Shift+Eject

 

Habt ihr noch weitere Tipps für sichere Passwörter? Verratet sie uns doch in den Kommentaren!

5.0510

geschrieben von

Carolina

Caro ist bei gesagt.getan. für den Bereich Online-Kommunikation zuständig. Sie bloggt, postet, fotografiert, konzipiert und erdenkt so ziemlich alles, was mit digitalen Medien zu tun hat. Und genau darüber schreibt sie hier auch.

Ihre Meinung dazu?

Ihre Daten

*

Kommentare

bei einer sicheren passwortwahl sehe ich keinen grund dieses zu ändern; im gegenteil. durch häufige wechsel werden passwörter meist nicht nur schwächer sondern es können u.u. auch muster in der passworterstellung erkannt werden… > lieber eines mit dicewords erstellen.

Hallo Michael,

in jedem Fall ist die Häufigkeit der Änderung abhängig von den Informationen, die durch ein Passwort geschützt werden sollen. Da selbst bei verantwortungsvoller Nutzung von IT und Internet nicht ausgeschlossen werden kann, dass ein Passwort in falsche Hände gerät, ist es durchaus sinnvoll dieses von Zeit zu Zeit zu ändern. Malware, Phishing und Social Engineering sind nur drei Möglichkeiten, wie Passwörter abhandenkommen können. Immer wieder werden Onlineshops oder andere Angebote im Web gehackt und auch von dort Kennwörter entwendet. Oft genug ohne, dass dies dem Betreiber oder den Kunden gleich auffällt. Angreifer haben dann unter Umständen Zeit, die erbeuteten Kennwörter, die hoffentlich durch eine kryptologische Einwegfunktion (Hashfunktion) geschützt gespeichert wurden, mit viel Rechenaufwand und ein wenig Glück in das tatsächliche Passwort zurückzuwandeln. Oftmals werden die gehashten Kennwörter auch im Internet veröffentlicht, sodass sich jeder daran versuchen kann, diese zurückzurechnen. In Zeiten diverser Cloudanwendungen ist das mit wesentlich weniger Aufwand und in kürzerer Zeit möglich als früher. Passwörter sollten also spätestens nach einem erfolgreichen Angriff auf den dadurch geschützten Dienst geändert werden. Die angesprochenen Passwortmanager können dabei helfen, unsichere Passwörter und Muster in der Erstellung zu vermeiden. Die Diceware-Methode ist eine sinnvolle Alternative, wenn auf einen Wortpool zurückgegriffen wird, der groß genug ist.

Liebe Grüße, Melanie