Sicherheit beginnt mit starken Passwörtern
Gerade keine Zeit?
Für Eilige empfehlen wir das Video und den XKCD-Comic zum Thema.
Alle Jahre wieder... Passwortsicherheit
Verlässlich wie die Steuererklärung tauchen alle Jahre wieder die Fragen auf, wie man es schafft, sich ein sicheres Passwort auszudenken und es sich auch zu merken. Und überhaupt: Wie sieht ein sicheres Passwort aus? Wir geben im heutigen Artikel einige Tipps und Denkanstöße, wie man Passwörter erstellt und verwaltet.
Was ist ein sicheres Passwort?
Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.
Im November 2013 wurden aus einer Kundendatenbank der Firma Adobe Systems Inc. (zu deren Produkten der bekannte PDF-Reader Acrobat, der Flash Player und viele weitere Programme gehören) mindestens 38 Millionen Passwörter gestohlen und anschließend eine Liste der 100 beliebtesten Passwörter veröffentlicht. Beliebte Passwörter waren: „123456“ (Platz 1), „123456789“ (Platz 2), „password“ (Platz 3) und der Fingerschwenk „asdfghjkl“ (Platz 56). Solche Passwörter werden von Millionen Nutzer.innen verwendet.
Angriffe mit dem Wörterbuch
Diese Passwörter sind nicht sicher, da sie mit sogenannten Wörterbuchangriffen in kürzester Zeit geknackt werden können. Im Gegensatz zur Brute-Force-Methode, bei der ein Angreifer „mit roher Gewalt“ (engl.: brute force) einfach alle möglichen Passwörter nacheinander durchprobiert, benutzen die Angreifer bei Wörterbuchangriffen eine Liste häufig benutzter Wörter und Passwörter. Die Zeiten, die ein Angreifer mit einer Brute-Force-Attacke benötigt, sind hier übersichtlich und mit Erklärungen dargestellt.
Gute Passwörter helfen
Gegen diese beiden Angriffe kann man sich durch die Wahl eines geeigneten Passwortes relativ gut absichern: Es sollte möglichst zufällig gewählte Kombinationen aus Buchstaben und Sonderzeichen beinhalten (gegen Wörterbuchangriffe) und möglichst lang sein (gegen Brute-Force-Angriffe).
Eigenschaften und Umgang mit sicheren Passwörtern
Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.
Hinweise und Anleitungen, wie ein sicheres Passwort auszusehen hat, geistern zu tausenden durch das Internet. Für die meisten Anwendungen und Benutzerkonten sind die folgenden, vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen Punkte weitestgehend unstrittig:
Passwörter sollten...
mindestens 14 Zeichen lang sein. (Das BSI sagt „mindestens 8“, aber das halten wir für nicht mehr zeitgemäß.)
möglichst auch Ziffern (0…9) und Sonderzeichen (?!%+…) enthalten. Bei Passwörtern ab etwa 16 Zeichen Länge sind aber selbst eine Mischung aus Groß- und Kleinbuchstaben schon äußerst sicher (Stand: Dezember 2016)
nicht bestehen aus: Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter
nicht in Wörterbüchern oder im Internet vorkommen und nicht die Anfängssätze von Büchern sein oder abkürzen
nicht bestehen aus: gängigen Varianten und Wiederholungs- oder Tastaturmustern (also nicht qwertz oder 1234abcd und so weiter).
einfache Ziffern und Zeichen angehängt bekommen. Ein simples Passwort mit Zeichen am Anfang oder Ende zu ergänzen (beliebt sind: $, !, ?, #), ist nicht empfehlenswert.
Richtig mit Passwörtern umgehen
Auch zum Umgang mit Passwörtern gibt es Regeln, die für die Sicherheit von grundlegender Wichtigkeit sind:
Für verschiedene Zugänge nicht das gleiche oder ähnliche Passwort verwenden. Damit wird verhindert, dass ein.e Angreifer.in ein erbeutetes Passwort bei einem anderen Zugang wieder nutzen kann. Ob eines Ihrer Passwörter bei einem der großen Datenlecks der letzten Jahre betroffen war, erfahren Sie auf der Seite "Have i been pwned?".
Verschieden sichere Passwörter für verschiedene Zwecke: Für Zugänge, die absolut unkritisch sind, kann „passwort83“ ausreichend sicher sein. Für wichtige Zugänge wie denen zum Mail-Postfach, zum Online-Banking oder zum Sozialen Netzwerk, sollten die Passwörter unbedingt den Regeln oben entsprechen – oder noch länger sein. Bedenken Sie, dass wer das Passwort zum Mail-Postfach hat, auch fast alle anderen Passwörter bekommen kann, wenn er oder sie jeweils die „Passwort vergessen“-Funktion benutzt.
Passwörter regelmäßig ändern. Das Änderungsintervall je nach Sensibilität des Zugangs wählen und eine Erinnerung z.B. in den Kalender (oder einem Passwortverwaltungsprogram, siehe weiter unten) eintragen. Hilfreich kann auch sein, die Jahreszahl der Erstellung ins Passwort einzuarbeiten.
Passwörter niemals weitergeben oder im Klartext (unverschlüsselt) versenden!
Passwörter nicht notieren und (noch schlimmer) direkt neben dem Gerät lagern. Aber: Es ist besser, ein sicheres Passwort zu verwenden und aufzuschreiben, als ein unsicheres Passwort zu benutzen. Denn letzteres kann eine.e Angreifer.in erraten. Um an ersteres zu kommen braucht er/sie den Zettel. Und der ist im Portemonnaie passabel sicher verstaut – wenn nicht dabei steht, für welchen Zugang es ist.
„123456“?
Wie generiert man ein sicheres Passwort?
Passwortgeneratoren erstellen die besten Passwörter. Punkt. Denn Passwortgeneratoren wählen und kombinieren zufällig eine ausreichende Anzahl an Zahlen, Buchstaben und Sonderzeichen. Der Nachteil ist: Ein solches Passwort ist sehr schwer zu merken und verleitet dazu, nach fünf falschen Eingaben entnervt auf den Namen des Haustiers zu wechseln. Deshalb zeigen wir zwei Alternativen, ein längeres, nicht gänzlich zufälliges Passwort zu erstellen, dass besser zu merken ist und trotzdem nicht unsicherer sein muss.
Merksätze und Eselsbrücken
Eine Methode ist eine Eselsbrücke durch einen langen Satz zu bilden und die jeweiligen Anfangsbuchstaben der Wörter als Passwort zu benutzen. Zum Beispiel „Digitalcourage kämpft für Datenschutz und Grundrechte, uns findet man in der Bielefelder Innenstadt.“ = DkfDuG,ufmidBI. Zusätzlich kann man dann noch einzelne Buchstaben durch Zahlen ersetzen, z.B. I=1, S=5, B=8, etc.: DkfDuG,ufmid81.
Der Effekt einer solchen Merkregel ist umstritten, denn natürlich wissen auch Passwortdiebe von solchen Methoden. Durch die Verwendung der Anfangsbuchstaben sind die Zeichen nicht mehr gleichwahrscheinlich und Ersetzungen sind ebenfalls leicht reproduzierbar. Dies erleichtert das Knacken von Passwörtern. Und darum sollten die Merksätze auch nicht die Anfänge bekannter Bücher sein.
„Diceware“ und Passphrases – bekannte Wörter verwenden, aber richtig!
Digitalcourage wirkt. Wirken Sie mit!
Wählen Sie beliebige Wörter! Der Vorteil dieser interessanten Alternative wird in diesem Comic erklärt: Anstatt ein Passwort mit beispielsweise zwölf beliebigen Zeichen zu benutzen, das schwer zu merken ist, ist eine Passphrase oder ein Passsatz aus sechs oder mehr beliebigen Wörtern sogar sicherer und deutlich einfacher zu merken.
Bei Wikipedia gibt es eine Anleitung inklusive deutscher Wortliste, wie man mit einem Würfel ein solches Passwort generieren kann. Da in der Wortliste einige sehr kurze Wörter gelistet sind, sollte ein Passwort nur verwendet werden, wenn es mehr als 17 Zeichen lang ist.
Ein Problem bleibt: Viele Onlineformulare begrenzen die Passwortlänge. Zudem soll mindestens ein Groß-, ein Kleinbuchstabe und ein Sonderzeichen plus Zahl vorhanden sein. Wie man dieses Problem lösen kann, zeigen wir weiter unten.
Smartphones sichern
Natürlich sollten Sie auch Ihr Smartphone mit einem Passwort vor unbefugtem Zugriff schützen. Bedenken Sie, dass ein Smartphone mehr Informationen über Sie enthält, als ein Tagebuch. Viele benutzen die „Swype“-Funktion, bei der man ein Muster auf einem Karosystem zieht. Das ist allerdings unsicher, da man ein Muster bei der Eingabe durch einen Blick über die Schulter sehr leicht erfassen kann. Außerdem ist es hinterher perfekt auf dem Display zu sehen, da Ihr Finger eine Fettspur hinterlässt. Besser ist, Sie wählen eine Zahlenkombination, in der manche Zahlen mehrfach vorkommen. Dann sind die Spuren auf dem Display schwerer zu deuten.
Wie bewahrt man Passwörter auf?
Digitalcourage arbeitet gemeinnützig und auf Basis von Spenden. Ihre Fördermitglied-schaft gibt uns Kraft und macht unabhängige Arbeit erst möglich. Werden Sie jetzt Fördermitglied bei Digitalcourage
Wie oben geschrieben, ist ein Zettel selten das geeignete Aufbewahrungsmittel. Aber nur etwa ein Viertel der deutschen Nutzer.innen benutzt ein Passwort-Verwaltungsprogramm. Dabei ist dies eine gute Methode, die Zugangsdaten zum Beispiel für verschiedene Webdienste zu verwalten. Die Passwörter für verschiedene Zugänge werden durch ein einziges Masterpasswort geschützt und verschlüsselt auf der Festplatte gespeichert. Die Passwörter für die einzelnen Zugänge können dann vom Passwort-Verwaltungsprogramm zufällig generiert werden, da man sie sich ja nicht merken braucht. Das animiert dazu, auch wirklich für jeden Zugang ein anderes Passwort anzulegen.
Zwei Beispiele sind KeePass, von dem es eine deutsche Version gibt, oder KeePassX, ebenfalls in Deutsch installierbar. Im Download-Bereich von KeePass findet sich außerdem eine Auflistung kompatibler Smartphone-Apps. Mit einer Synchronisierung können also auf mehreren Geräten die gleichen Passwörter genutzt werden. Bedenken Sie jedoch, dass ihre Passwortdatenbank bei Verlust des Mobilgeräts potentiell beeinträchtigt ist.
Der Nachteil eines Passwort-Schlüsselbunds liegt auf der Hand: Ist das Masterpasswort nicht stark genug und es gerät in die falschen Hände, sind all Ihre Passwörter ungeschützt. Hier hilft nur, eine sehr starke, lange Passphrase zu benutzen, wie weiter oben gezeigt. Aber wenn Sie sich einen Trojaner und andere Schadsoftware eingefangen haben, hilft auch das nicht mehr. Darum: weiterhin Vorsicht beim Surfen! Auf einem fremden Gerät sollten Sie Ihren Passwort-Schlüsselbund nicht einsetzen, vielleicht ist das Gerät infiziert. Beachten Sie an fremden Geräten auch, dass Passwörter oft automatisch vom Browser gespeichert werden.
Sie können Passwörter auch im Browser verwalten. Da Sie sich dabei die Passwörter aber immer noch selbst überlegen müssen und nur innerhalb des Browsers sinnvoll verwenden können, empfehlen wir Ihnen, besser ein eigenständiges Passwort-Verwaltungsprogramm zu verwenden. Sie können aber auch zweigleisig fahren: unkritischere Passwörter wie die für Foren speichern Sie im Browser, andere im Passwort-Verwaltungsprogramm.
Sie müssen sich selbst die Frage beantworten, ob Ihnen der Zuwachs an Sicherheit diese kleinen Komforteinbußen ausgleicht.
Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.
Änderungen seit Dezember 2015:
30.11.2016: empfohlene Passwortlänge von 12 auf 14 Zeichen erhöht
30.11.2016: Website "Have i been pwned?" hinzugefügt
Hinweis:
Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 30.11.2016. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.
Links:
Wikipedia: Passwort
Bundesamt für Sicherheit in der Informationstechnik (BSI): Passwörter
KeePass
KeePassX
deutsche Anleitung für KeePassX
Brute-force-Attacken auf Passwörter
Bilder:
Authenticity required: Elias Bizannes auf Flickr CC BY-SA 2.0
Linux password file: Christiaan Colen auf Flickr CC BY-SA 2.0
Video:
Animation: Alexander Lehmann,
Illustration: Lena Schall,
Stimme: Florian Maerlender unter CC BY SA 3.0