15. Türchen
Dieser Artikel stammt aus dem Jahr 2014 und ist daher potentiell veraltet. Schauen Sie doch mal in unseren aktuelleren Adventskalender oder bei der digitalen Selbstverteidigung.
Alle Jahre wieder …: Passwortsicherheit
Verlässlich wie der Weihnachtsmann taucht alle Jahre wieder die Frage auf, was ein sicheres Passwort ist, wie man es schafft, sich ein sicheres Passwort auszudenken und es sich auch zu merken. Und überhaupt: Wie sieht ein sicheres Passwort aus? Wir geben in unserem heutigen Türchen einige Tipps und Denkanstöße, wie man Passwörter erstellt und verwaltet.
Was ist ein sicheres Passwort?
Im November 2013 wurden aus einer Kundendatenbank der Firma Adobe Systems Inc. (zu deren Produkten der bekannte PDF-Reader Acrobat, der Flash Player und viele weitere Programme gehören) mindestens 38 Millionen Passwörter gestohlen und anschließend eine Liste der 100 beliebtesten Passwörter veröffentlicht. Beliebte Passwörter waren: „123456“ (Platz 1), „123456789“ (Platz 2), „password“ (Platz 3) und der „Fingerschwenk“ „asdfghjkl“ (Platz 56). Solche Passwörter werden von Millionen Nutzer.innen verwendet.
Angriffe mit dem Wörterbuch
Diese Passwörter sind nicht sicher, da sie mit sogenannten Wörterbuchangriffen in kürzester Zeit geknackt werden können. Im Gegensatz zur Brute-Force-Methode, bei der ein Angreifer „mit roher Gewalt“ (engl.: „brute force“) einfach alle möglichen Passwörter nacheinander durchprobiert, benutzen die Angreifer bei Wörterbuchangriffen eine Liste häufig benutzter Wörter und Passwörter. Die Zeiten, die ein Angreifer mit einer Brute-Force-Attacke benötigt, sind hier übersichtlich und mit Erklärungen dargestellt.
Gute Passwörter helfen
Gegen diese beiden Angriffe kann man sich durch die Wahl eines geeigneten Passwortes relativ gut absichern: Es sollte möglichst zufällig gewählte Kombinationen aus Buchstaben und Sonderzeichen beinhalten (gegen Wörterbuchangriffe) und möglichst lang sein (gegen Brute-Force-Angriffe).
Eigenschaften und Umgang mit sicheren Passwörtern
Hinweise und Anleitungen, wie ein sicheres Passwort auszusehen hat, geistern zu Tausenden durch das Internet. Für die meisten Anwendungen und Benutzerkonten sind die folgenden, vom Bundesamt für Sicherheit in der Informationstechnik empfohlenen Punkte weitestgehend unstrittig:
Passwörter sollten …
mindestens 12 Zeichen lang sein.
wenn möglich, Ziffern (0…9) und Sonderzeichen (?!%+…) enthalten. Bei Passwörtern ab etwa 14 Zeichen Länge ist aber schon eine Mischung aus Groß- und Kleinbuchstaben äußerst sicher (Stand: Dezember 2014)
nicht bestehen aus: Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter.
möglichst nicht in Wörterbüchern vorkommen und nicht die Anfängssätze von Büchern sein oder abkürzen
nicht bestehen aus: gängigen Varianten und Wiederholungs- oder Tastaturmustern (also nicht qwertz oder 1234abcd und so weiter).
einfache Ziffern und Zeichen angehängt bekommen. Ein simples Passwort mit Zeichen am Anfang oder Ende zu ergänzen (beliebt sind: $, !, ?, #) ist nicht empfehlenswert.
Richtig mit Passwörtern umgehen
Auch zum Umgang mit Passwörtern gibt es Regeln, die für die Sicherheit von grundlegender Wichtigkeit sind:
Für verschiedene Zugänge nicht das gleiche oder ähnliche Passwort verwenden. Damit wird verhindert, dass ein.e Angreifer.in ein erbeutetes Passwort bei einem anderen Zugang wieder nutzen kann
Verschieden sichere Passwörter für verschiedene Zwecke: Für Zugänge, die absolut unkritisch sind, kann „passwort83“ ausreichend sicher sein. Für wichtige Zugänge wie denen zum Mail-Postfach, zum Online-Banking oder zum Sozialen Netzwerk, sollten die Passwörter unbedingt den Regeln oben entsprechen – oder noch länger sein. Bedenken Sie, dass wer das Passwort zum Mail-Postfach hat, auch fast alle anderen Passwörter bekommen kann, wenn er oder sie jeweils die „Passwort vergessen“-Funktion benutzt. Ihre Passwörter für Online-Zugänge sollten sich deutlich unterscheiden von „lokalen“ Passwörtern, mit denen Sie Passwortdatenbanken (siehe unten) oder verschlüsselte Datenträger sichern.
Passwörter regelmäßig ändern. Das Änderungsinterval je nach Sensibilität des Zugangs wählen und eine Erinnerung z.B. in den Kalender (oder einem Passwortverwaltungsprogram, siehe weiter unten) eintragen. Hilfreich kann auch sein, die Jahreszahl der Erstellung ins Passwort einzuarbeiten.
Passwörter niemals weitergeben oder im Klartext (unverschlüsselt) versenden!
Passwörter nicht notieren und (noch schlimmer) direkt neben dem Gerät lagern (!). Aber: Es ist besser, ein sicheres Passwort zu verwenden und aufzuschreiben, als ein unsicheres Passwort. Denn letzteres kann eine.e Angreifer.in erraten. Um an ersteres zu kommen braucht er/sie den Zettel. Und der ist im Portemonnaie passabel sicher verstaut – wenn nicht dabei steht, für welchen Zugang es ist.
Wie generiert man ein sicheres Passwort?
Passwortgeneratoren erstellen die besten Passwörter. Denn Passwortgeneratoren wählen und kombinieren zufällig eine ausreichende Anzahl an Zahlen, Buchstaben und Sonderzeichen. Der Nachteil ist: Ein solches Passwort ist sehr schwer zu merken und verleitet dazu, nach fünf falschen Eingaben entnervt auf den Namen des Haustiers zu wechseln. Deshalb zeigen wir zwei Alternativen, ein längeres, nicht gänzlich zufälliges Passwort zu erstellen, das besser zu merken ist und trotzdem nicht unsicherer sein muss.
Merksätze und Eselsbrücken
Eine Methode ist, eine Eselsbrücke durch einen langen Satz zu bilden und die jeweiligen Anfangsbuchstaben der Wörter als Passwort zu benutzen. Zum Beispiel „Digitalcourage kämpft für Datenschutz und Grundrechte, uns findet man in der Bielefelder Innenstadt.“ = DkfDuG,ufmidBI. Zusätzlich kann man dann noch einzelne Buchstaben durch Zahlen ersetzen, z.B. I=1, S=5, B=8, etc.: DkfDuG,ufmid81. Der Effekt einer solchen Merkregel ist umstritten, denn natürlich wissen auch Passwortdiebe von solchen Methoden. Durch die Verwendung der Anfangsbuchstaben sind die Zeichen nicht mehr gleichwahrscheinlich und Ersetzungen sind ebenfalls leicht reproduzierbar. Dies erleichtert das Knacken von Passwörtern. Und darum sollten die Merksätze auch nicht die Änfänge bekannter Bücher sein.
„Diceware“ und Passphrases – bekannte Worte verwenden, aber richtig!
Wählen Sie beliebige Wörter! Der Vorteil dieser interessanten Alternative wird in diesem Comic erklärt: anstatt ein Passwort mit beispielsweise zwölf beliebigen Zeichen zu benutzen, das schwer zu merken ist, ist eine Passphrase aus sechs oder mehr beliebigen Wörtern sogar sicherer und deutlich einfacher zu merken. Bei Wikipedia gibt es eine Anleitung inklusive deutscher Wortliste, wie man mit einem Würfel ein solches Passwort generieren kann. Da in der Wortliste einige sehr kurze Wörter gelistet sind, sollte ein Passwort nur verwendet werden, wenn es mehr als 17 Zeichen lang ist. Ein Problem bleibt: Viele Onlineformulare begrenzen die Passwortlänge. Zudem soll mindestens ein Groß-, ein Kleinbuchstabe und ein Sonderzeichen plus Zahl vorhanden sein. Wie man dieses Problem lösen kann, zeigen wir weiter unten.
Smartphones sichern
Natürlich sollten Sie auch ihr Smartphone mit einem Passwort vor unbefugtem Zugriff schützen. Bedenken Sie, dass ein Smartphone mehr Informationen über Sie enthält als ein Tagebuch. Viele benutzen die „Pattern“-Funktion, bei der man ein Muster auf einem Karosystem zieht. Das ist allerdings unsicher, da man ein Muster bei der Eingabe durch einen Blick über die Schulter sehr leicht erfassen kann. Außerdem ist es hinterher perfekt auf dem Display zu sehen, da Ihr Finger eine Fettspur hinterlässt. Besser ist, sie wählen eine Zahlenkombination, bei der manche Zahlen mehrfach vorkommen. Dann sind die Spuren auf dem Display schwerer zu deuten.
Wie bewahrt man Passwörter auf?
Wie oben geschrieben, ist ein Zettel selten das geignete Aufbewahrungsmittel. Aber nur etwa ein Viertel der deutschen Nutzer.innen benutzt ein Passwort-Verwaltungsprogramm. Dabei ist dies eine gute Methode, Zugangsdaten z.B. für verschiedene Webdienste zu verwalten. Die Passwörter für verschiedene Zugänge werden durch ein einziges Master-Passwort geschützt und verschlüsselt auf der Festplatte gespeichert. Die Passwörter für die einzelnen Zugänge können dann vom Passwort-Verwaltungsprogramm zufällig generiert werden, da man sie sich ja nicht zu merken braucht. Das animiert dazu, auch wirklich für jeden Zugang ein anderes Passwort anzulegen. Zwei Beispiele sind KeePass, von dem es eine deutsche Version gibt, oder KeePassX, ebenfalls in Deutsch installierbar. Im Download-Bereich von KeePass findet sich außerdem eine Auflistung kompatibler Smartphone-Apps. Mit einer Synchronisierung können also auf mehreren Geräten die gleichen Passwörter genutzt werden. Bedenken Sie jedoch, dass die Sicherheit Ihrer Passwortdatenbank bei Verlust des Mobilgeräts möglicherweise beeinträchtigt ist.
Der Nachteil eines Passwort-Schlüsselbunds liegt auf der Hand: Ist das Masterpasswort nicht stark genug und es gerät in die falschen Hände, sind all Ihre Passwörter ungeschützt. Hier hilft nur, eine sehr starke, lange Passphrase zu benutzen, wie weiter oben gezeigt. Aber wenn Sie sich einen Trojaner und andere Schadsoftware eingefangen haben, hilft auch das nicht mehr. Darum: weiterhin Vorsicht beim Surfen! Auf einem fremden Gerät sollten Sie Ihren Passwort-Schlüsselbund nicht einsetzen, vielleicht ist das Gerät infiziert. Beachten Sie an fremden Geräten auch, dass Passwörter oft automatisch vom Browser gespeichert werden. Ein weiterer Punkt, den Sie beachten müssen: Wenn Sie eine Passwortdatenbank benutzen, merken Sie sich wahrscheinlich Ihre Passwörter nicht mehr im Kopf. Wenn nun die Datenbank zum Beispiel durch Diebstahl oder Festplattenschaden verloren gehen sollte, ist der Schaden entsprechend größer. Sorgen Sie deshalb dafür, dass Sie regelmäßig Datensicherungen Ihrer Passwortdatenbank erstellen. Weil auch Backups in fremde Hände geraten könnten, ist es wieder wichtig, dass die Datenbank durch ein gutes Master-Passwort geschützt ist.
Sie können Passwörter auch im Browser verwalten. Da Sie sich dabei die Passwörter aber immer noch selbst überlegen müssen und nur innerhalb des Browsers sinnvoll verwenden können, empfehlen wir Ihnen, besser ein eigenständiges Passwort-Verwaltungsprogramm zu verwenden. Sie können aber auch zweigleisig fahren: unkritischere Passwörter wie die für Foren speichern Sie im Browser, andere im Passwort-Verwaltungsprogramm. Sie müssen sich selbst die Frage beantworten, ob Ihnen der Zuwachs an Sicherheit diese kleinen Komforteinbußen ausgleicht.
Links:
Wikipedia: Passwort
Bundesamt für Sicherheit in der Informationstechnik (BSI): Passwörter
KeePass
KeePassX
deutsche Anleitung für KeePassX
Brutforce Attacken auf Passwörter
Bild:
Flickr unter Lizenz CC BY-2.0, Autor: marc falardeau
Digitalcourage setzt sich für digitale Selbstbestimmung ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.
Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 12.12.2014. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.