Fast alle Artikel zur Computersicherheit, egal ob es sich um Hilfeseiten bei Facebook, Firmenrichtlinien oder ein „…für-Dummies“-Buch handelt, empfehlen eindringlich, immer starke Passwörter zu verwenden. Mit der Zeit wurde diese Empfehlung zum Standard, obwohl sich die Meinung, was ein „gutes“ Passwort ist, laufend geändert hat. Es bringt nichts mehr, die Passwort-Empfehlungen der 1990er Jahre zu wiederholen – also sollten wir erneut darüber nachdenken, wie wir starke, zuverlässige Passwörter erzeugen können!
Warum braucht man das überhaupt?
Passwörter, die Buchstaben, Zahlen und Sonderzeichen kombinieren, werden überall verwendet. Und das seit der Zeit, als sie vor allem genutzt wurden, um Computerkonten oder lokale Dokumente und Archive zu schützen. Selbst wenn sie verschlüsselt sind, kann ein Einbrecher immer noch physikalisch darauf zugreifen – das birgt die Gefahr, dass jemand einfach so lange Passwörter eingibt, bis er den richtigen „Schlüssel“ findet. Diese Methode, das so genannte Bruteforcing, war vor allem bei kürzeren Passwörtern äußerst erfolgreich. Je komplizierter und länger ein Passwort ist, desto länger dauert es, das Passwort damit herauszufinden. Passwörter mit 4-5 Zeichen können innerhalb weniger Sekunden geknackt werden, jedes weitere Zeichen erhöht die benötigte Zeit um das Zehnfache. Das gleiche gilt für eine Kombination aus Buchstaben, Symbolen und Zahlen – damit verringern sich auch die Möglichkeiten, ein Passwort per Bruteforcing zu knacken.
Aber natürlich gibt es auch hier eine Falle: Wenn ein Passwort ein einfaches Wort ist, selbst ein langes und exotisches, kann man es einfach herausfinden. Man muss nur jedes Wort aus Wörterbüchern ausprobieren – so viele Wörter gibt es weltweit nicht. Eine zusätzliche Zahl im Passwort erhöhrt seine Komplexität enorm. Deshalb empfehlen Experten seit Langem, Kombinationen aus Buchstaben, Zahlen und Sonderzeichen. Damit ist es zwar schwerer zu knacken, aber auch schwerer zu merken.
Mittlerweile hat sich das Ganze aber etwas geändert: Viele Online-Services blockieren Bruteforce-Attacken zwar, aber dennoch ist dies bei manchen immer noch möglich. Zudem geben Botnetze mit infizierten Computern den Hackern enorm viel Rechenleistung, mit der Passwörter schneller geknackt werden können.
Die Realität des neuen Zeitalters
Heute verwendet fast jeder Dutzende verschiedener Online-Services, und jeder davon verlangt ein Passwort. Einfach überall das gleiche Passwort zu nutzen ist gefährlich, denn wenn das Passwort bei einem Dienst geknackt wurde, sind auch die anderen Türen für den Hacker geöffnet. Allerdings können sich nur sehr talentierte Menschen einzigartige Kombinationen wie Xp89$ABG-faw?6 für jede besuchte Seite merken. Doch wie können wir ein Passwort wählen, das gleichzeitig sicher und praktisch ist?
Rezept für das perfekte Passwort
Die wichtigste Regel ist heute, dass ein Passwort lang sein muss. Sie können weitere Zeichen hinzufügen, müssen das Passwort aber nicht zu einem unverständlichen Kauderwelsch machen. Verwenden Sie eine eindeutige Phrase, die Sie sich gut merken können, und nehmen Sie daran ein paar Änderungen vor, so dass das Knacken über eine einfache Wörterbuch-Attacke nicht funktioniert. AnSichIstNichtsWederGut0Böse – Das ist wiedererkennbar, richtig? So eine Passwort-Phrase mit ein paar Anpassungen kann man sich leichter merken als sinnlos zusammengewürfelte Zeichen. Allerdings sollten Sie vorsichtig sein, denn Shakespeare und andere Klassiker sind nicht die beste Wahl für eine Passwort-Phrase. Besser ist, Sie denken sich eine eigene Phrase aus, die Sie sich gut merken können. Nutzen Sie für jeden Service eine eigene Phrase.
Wenn es um die Länge und Komplexität Ihrer Phrase geht, sollten Sie an folgendes denken: Den Wert der Daten, die damit geschützt werden, wie oft das Passwort eingegeben wird, und ob es nötig ist, das Passwort auf einem mobilen Gerät einzugeben. Diese Faktoren beeinflussen die Komplexität der Anpassungen. Zum Beispiel ist WederGut0Böse für einen Musikdienst ideal, doch für Ihre E-Mail-Konto oder das Online-Banking sollten Sie besser etwas wie AnSich1stNichtsWederGut0BöseDasDenkenMachtE5ErstDazu1603 verwenden. Wir weisen nochmal darauf hin, dass Passwörter für verschiedene Services unterschiedlich sein müssen, basierend auf verschiedenen Passwort-Phrasen.
Damit steht man vor einer anderen Herausforderung – manche Services limitieren die Passwortlänge, deshalb ist es besser, solche Services nicht zu nutzen.
Bitte beachten:
Wenn Sie ein Passwort mit 10 Zeichen erstellen, und dafür normale Buchstaben, Zahlen und Sonderzeichen verwenden, liegt die Anzahl der möglichen Kombinationen für eine Bruteforce-Attacke bei 2,8*1018. Ein Passwort mit nur vier üblichen englischen Worten dagegen bietet 1,6*1017 Variationen – nicht viel weniger. Und wenn Sie fünf Worte verwenden, kann die Zahl der Kombinationen leicht auf 3,2*1021 erhöht werden. Übliche Wörter sind in diesem Fall also effektiver als nicht zu merkendes Kauderwelsch.
Eine moderne Methode
Obwohl Passwort-Phrasen viel einfacher für den Anwender sind als eine bunte Zeichenmischung, so muss man dennoch jedes Passwort einzigartig halten. Laut einer Umfrage nutzt der durchschnittliche Internet-Anwender fünf verschiedene Dienste. Jedes dieser Online-Konten sollte sein eigenes Passwort haben. Damit wird das Gedächtnis ganz schön auf die Probe gestellt. Und natürlich haben viele Anwender mehr als fünf Online-Konten – dann wird es zu einer echten Herausforderung, sich alle Passwörter zu merken. Für solche Fälle gibt es Abhilfe – Passwort-Management-Programme. In Kaspersky Premium bietet auch Kaspersky Lab so ein Modul, das die Logins und Passwörter des Anwenders in einer geschützten Datenbank speichert. Die Datenbank ist mit einem starken Algorithmus verschlüsselt, der Anwender muss sich nur das eine Passwort für den Manager merken. Wenn Sie dieses Passwort im Kopf haben, übernimmt der Passwort-Manager den Rest.