Sichere Passwörter

Vorab: Es gibt mehrere Möglichkeiten, die eigenen Online-Accounts vor dem Zugriff durch Dritte zu schützen: Wegwerfpasswörter, Passwörter und die Zwei-Faktor-Authentifizierung. Wegwerf- oder Einmalpasswörter sind einfach zu merkende (und knackende) Passwörter, die man durchaus verwenden kann, wenn mit dem Account keine persönlichen Daten und Zahlungsmethoden verknüpft sind, also zum Beispiel in Online-Foren. Die Zwei-Faktor-Authentifizierung hingegen wird von Sicherheitsexperten eher als Ergänzung zu einem sicheren Passwort betrachtet. Zudem wird sie nicht immer angeboten. Deshalb soll es hier vor allem um sichere Passwörter gehen.

Damit niemand außer euch selbst in eurem Namen postet, shoppt oder Geld transferiert, werdet ihr oft aufgefordert, euer Benutzerkonto mit einem Passwort zu versehen. Das ist so nützlich wie nervig und wird gerne mal etwas lax gehandhabt. Es ist nämlich weder leicht, noch eine Freude, sich Passwörter auszudenken und zu merken, die obendrein auch noch sicher sein sollen. Was aber sind eigentlich sichere Passwörter? Reicht es, das Passwort von vier auf acht Zeichen zu verlängern? Den Mix aus Geburtsdatum und Haustiernamen mit einem Sonderzeichen zu versehen? Buchstaben durch ähnlich aussehende Ziffern zu ersetzen, also zum Beispiel E durch 3?

Um diese Fragen beantworten zu können, muss man wissen, wie Software, die Passwörter knackt, funktioniert. Grundsätzlich werden beim Knacken von Passwörtern per Software zwei Vorgehensweisen kombiniert, die man wohl auch anwenden würde, wenn man versuchte, ein Passwort händisch zu knacken. In einem ersten Versuch werden beliebte Passwörter ausprobiert, die praktischerweise in Passwort-Datenbanken im Internet zu finden sind. Darunter sind Klassiker wie passwort, qwertz und 1234567, vor allem aber Passwörter, die aus illegalen Eingriffen in Computersysteme stammen. Dabei wird auch die oben genannte Ersetzung von Buchstaben durch ähnliche Ziffern getestet. Sollte dieser erste Versuch scheitern, wird nach dem Motto Versuch macht klug probiert, das Passwort zu erraten, indem einfach alle Zeichen auf allen Stellen getestet werden. Je kürzer das Passwort und das relativ unabhängig von der Komplexität, desto leichter wird das Passwort mit dieser Brute Force Methode geknackt.

Bleibt noch die Frage zu klären, was sichere Passwörter sind. Viele Passwortgeneratoren schlagen standardmäßig ein Passwort von 16 Zeichen Länge bestehend aus Groß-, Kleinbuchstaben und Ziffern oder eine Passphrase von 7 Wörtern Länge vor. Eine Passphrase hat den Vorteil, dass sie einfacher zu merken, aber nicht leichter zu knacken ist. Egal, ob Passwort oder -phrase, wichtig ist, dass weder das eine noch das andere schon in einer Datenbank steht. Das könnt ihr zum Beispiel hier überprüfen: https://haveibeenpwned.com/Passwords

Natürlich könnt ihr eure Passwörter selbst erstellen, wenn ihr eine Methode  habt, mit der ihr erstens gut zurechtkommt und die zweitens Passwörter liefert, die ihr euch leicht merken könnt und die trotzdem schwer zu erraten sind. Ich bin zu faul dafür und benutze statt dessen lieber einen Passwortmanager. Dieser bietet meiner Meinung nach mehrere Vorteile: Ein Passwortmanager generiert mir nicht nur gute Passwörter oder -phrasen, sondern merkt sie sich auch gleich noch. Ich muss mir dann nur noch ein einziges Passwort merken, nämlich das, womit meine Passwortdatenbank gesperrt ist. Zugegeben: Das sollte dann richtig gut/ lang sein, aber ein Mal bekomme ich das schon hin.

In den nächsten beiden Artikeln stelle ich euch zwei Passwortmanager vor: Einen für den Desktop, einen für das Smartphone und zeige euch nicht nur, wie ihr damit Passwörter generieren könnt, sondern auch, wie ihr eure Passwortdatenbank auf eurem Desktop mit der auf eurem Smartphone offline synchronisiert.