Skip to main content
Enthält Werbe-Links

Passwortsicherheit: Wie mache ich meine Passwörter sicher?

Und wieder einmal geht eine Meldung durch die Medien, welche die Cloud-Euphorie etwas dämpft. 16 Millionen E-Mail-Passwörter wurden gehackt (nur für den Fall, dass ihr es tatsächlich noch nicht mitbekommen haben solltet und nicht wisst, wie ihr checken könnt, ob euer Konto betroffen ist – hier ist der Link: sicherheitstest.bsi.de). 16 Millionen Passwörter ist eine ganze Menge, und Grund genug, dass wir uns mal ein paar Gedanken über die Sicherheit unserer eigenen Passwörter machen. Eines vorweg: Absolute Sicherheit gibt es nicht. Weder könnt ihr eure Wohnung zu 100 Prozent sicher gegen Einbruch machen, noch könnt ihr eure Daten 100 Prozent absichern. Aber es gibt Möglichkeiten, es Kriminellen etwas schwerer zu machen. Und in einer Welt leichter Ziele reicht das ja häufig schon.

Im ersten Abschnitt geht es schlicht darum, wie man sichere Passwörter generiert, wie man sie sich merken kann und wie sie sicher bleiben. Ich werde euch später dann auch noch Tools vorstellen, die euch im Umgang mit euren Passwörtern helfen können.

Wo sind denn nun also die Schwachstellen im Umgang mit Passwörtern?

Ich bastle mir ein Passwort

Zunächst auf jeden Fall das Passwort an sich. Sind wir mal ehrlich: Es nervt, sich viele unterschiedliche Passwörter merken zu müssen; insbesondere, wenn diese keinen Sinn für einen normalen Menschen ergeben. Deswegen neigen wir aus Bequemlichkeit dazu, Begriffe zu verwenden, die wir uns leicht merken können, oder Muster auf der Tastatur zu bilden. Deshalb ist es auch nicht verwunderlich, dass es eine Hitliste der Passwörter gibt, die millionenfach genutzt werden. Schon nach dem Angriff auf Adobe und Datenklau von millionen Anwendern wurde ermittelt, dass das Passwort „password“ ganz oben auf dieser Liste (http://stricture-group.com/files/adobe-top100.txt) steht (Platz 3). Auch „qwerty“, oder im Falle der deutschen Tastaturbelegung „qwertz“ ist sehr beliebt, weil die Tasten eben direkt nebeneinander liegen. Man könnte die Liste unsinniger – weil unsicherer – Passwörter beliebig erweitern, aber der Appell ist einfach: Macht es euch, aber vor allem den Gaunern, nicht so einfach.

Darauf müsst ihr bei einem sicheren Passwort verzichten:

  • lexikalische Begriffe (Wörter, die es wirklich gibt)
  • Namen von Personen aus deiner Umgebung
  • Geburtsdaten, etc.
  • schlicht alles, was für Euch eine Bedeutung hat
  • mehrfache Wiederholung einer einzigen Ziffer oder eines einzigen Buchstaben
  • einfach zu merkende Ziffern- oder Buchstabenfolgen, die ein simples Muster ergeben

Ein sicheres Passwort enthält in einer für den unbeteiligten Betrachter nicht nachvollziehbaren Reihenfolge groß- und kleingeschriebene Buchstaben, Ziffern und Sonderzeichen und ist je länger, desto sicherer. Ein Beispiel für ein ordentliches Passwort wäre: m|3n=!PG€ga5.

Wenn ihr euch das Passwort nicht sofort merken könnt, dann ist das Ziel erreicht, denn ausgedacht habe ich es mir ja, und für euch soll es schwer zu merken sein, auch wenn Ihr mir bei der Eingabe zufällig über die Schulter schaut. Ich kann es mir aber gut merken, denn ich habe einen Trick angewandt: Ich habe mir einen Satz ausgedacht, der für mich Sinn macht – in diesem Fall: „Man braucht nicht gleich einen Passwortgenerator, es geht auch so.“ Dabei habe ich die Anfangsbuchstaben genommen und daraus das Passwort generiert. Der erste Buchstabe dürfte dabei klar sein, die Pipe und die Drei bilden zusammen das „B“, das n ist wieder klar, das Wort „gleich“ habe ich durch das Gleichheitszeichen ersetzt, das Ausrufungszeichen ist über der 1 auf der Tastatur, P und G kommen aus dem „Passwortgenerator“, € steht für „es“, g steht für „geht“, a für „auch“ und 5 erinnert doch irgendwie an ein s, wie in „so“.

Noch sicherer ist freilich eine wirklich rein zufällige Folge von Buchstaben, Ziffern und Sonderzeichen. Es gibt Software, die solche sicheren Codes erzeugt.

Wie schütze ich meine Passwörter?

Für die Sicherheit eines Passwortes gibt es zahlreiche Gefahren. Das fängt mit der Eingabe des Passwortes an. Es ist immer unangenehm, wenn man anderen Personen Misstrauen signalisiert, aber bei der Eingabe eines Passwortes sollte euch niemand über die Schulter schauen.

Wenn ihr euer Tablet ungesperrt und unbeaufsichtigt irgendwo ablegt und auf diesem die Passwörter im Klartext – etwa von eurem Browser – gespeichert sind, sind diese natürlich auch leicht zu lesen.

Selbst die Fingerspuren auf dem Glas eures Touch-Tablets können einen Hinweis darauf geben, welche Buchstaben oder Ziffern benutzt wurden. Studenten haben anhand dieser Spuren auf Smartphones schon einfache PINs geknackt. Bei komplexen Passwörtern und ohnehin verschmutzten Displays ist es freilich deutlich schwieriger, das Passwort aus den Schmierern auf dem Display zu erraten.

Gefährlich ist auf jeden Fall auch Spionagesoftware auf Euren Rechnern. Wenn Tastatureingaben abgerufen und an den Angreifer versandt werden, kann dieser eure Zugangsdaten leicht herausfiltern. Wichtig ist deshalb, dass ihr solche Schadsoftware nicht auf dem Rechner habt. Antivirensoftware mit aktuellen Definitionen hilft euch dabei, stellt jedoch keinen absoluten Schutz dar.

Wenn ihr Passwörter auf Homepages eingebt, sollte es auch die Homepage des Accountanbieters sein. Wenn dem Original zum Verwechseln ähnlich sehende Homepages erstellt werden und ihr dazu verleitet werdet, euer Daten dort einzutragen, nennt man das „Phishing“. Eure Account-Daten werden einfach abgefischt.

Schließlich stellt noch die Übertragung der Passwörter über das Internet ein Problem dar, insbesondere, wenn sie im Klartext übertragen werden. Wenn Ihr euer Smartphone also einrichtet, dann achtet darauf, dass ihr bei den Mail-Einstellungen die sichere Verbindung mittels TLS (Transport Layer Security) verwendet. Allgemein sollten Passwörter nur über sichere Verbindungen gehen.

Wie verwalte ich meine Passwörter?

O.K. – jetzt habt ihr ein sicheres Passwort. Ein Passwort für einen Zugang. Aber Ihr habt natürlich viele Accounts, und die reine Lehre der Sicherheit sagt, dass man für jeden Account ein eigenes Passwort haben soll, damit, wenn ein Passwort geknackt oder geklaut wird, eben nur ein Zugang offen steht und nicht gleich alle Accounts, die ihr betreibt.

Also auch wenn ihr diesen Satz-Trick verwendet, werdet Ihr da irgendwann vielleicht den Überblick verlieren – außer ihr seid Weltmeister im Erinnern, was auf mich leider nicht zutrifft. Also schreibt man sich die Passwörter auf?

Es ist nicht schlau, einen Zettel mit sich herum zu schleppen, auf dem alle eure Passwörter stehen. Wenn er in die falschen Hände gerät, habt ihr keinen Zugang mehr zu euren Accounts, dafür aber der Gauner.

Es gibt viele Tricks, wie mit Passwörtern umgegangen wird. Manche speichern sie im Telefonbuch und tarnen sie als Kontakte. Trotz Tarnung kann man da nur wünschen, dass niemand Zugriff auf das Telefonbuch bekommt, der Böses im Sinn hat. Andere legen Dateien an, in denen die Passwörter im Klartext stehen – in der Hoffnung, dass niemand Zugriff auf die Datei nimmt.

Wichtig ist, dass die Passwörter nur Euch zugänglich sind. Als Kind habe ich mit „Geheimtinte“ gespielt, also Tinte, die man nicht sehen kann, bis man das Papier entsprechend behandelt. So ähnlich muss es sein, und am besten ist es, wenn nur Ihr wisst, wie man das „Papier“ behandeln muss, um die Schrift sichtbar zu machen.

Also wenn ihr euch nicht alle Passwörter merken könnt und sie in einer Datei ablegen wollt, dann darf diese nur euch zugänglich sein, sprich: Sie muss verschlüsselt sein, zum Beispiel mit TrueCrypt.

Es gibt aber auch Spezialsoftware, die es euch bequemer macht und speziell auf das Problem der sicheren Speicherung von Passwörtern zugeschnitten ist. Ich werde euch solche Apps in späteren Beiträgen noch vorstellen.

Passwörter überall zugänglich machen

Ihr lest die TabletCommunity. Die Wahrscheinlichkeit ist also groß, dass ihr ein Smartphone habt und/oder ein Tablet. Und womöglich sogar mehrere Smartphones, oder noch einen Laptop und andere Computer. Dann ist es ungünstig, wenn man seine Passwortliste auf nur einem dieser Geräte hat – insbesondere, wenn man dieses eine Gerät gerade nicht zur Hand hat.

Man kann also diese (hoffentlich verschlüsselte) Liste auf alle Geräte kopieren. Der Nachteil ist, dass man diesen Vorgang jedes Mal wiederholen muss, wenn man ein Passwort ändert oder hinzufügt.

Einfacher geht es da natürlich, wenn man die Daten an einem Ort ablegt, auf den man von allen Geräten zugreifen kann, etwa auf der heimischen NAS (Network Attached Storage – über das Netzwerk verbundener Speicher) oder über einen Cloudspeicheranbieter wie Dropbox. Dann müsst Ihr nur noch die entsprechende Entschlüsselungssoftware auf allen Geräten haben.

Aber auch dafür gibt es Software, die genau auf diesen Zweck zugeschnitten ist. „Safe in Cloud“ beispielsweise verschlüsselt eure Passwörter auf einem iOS-, Android-, oder Windows-Gerät und legt die Daten auf Wunsch verschlüsselt bei einem Cloudspeicher-Anbieter wie Dropbox ab. Bei jedem Start werden die Daten synchronisiert.

Der Nachteil ist natürlich, dass es wiederum ein Sicherheitsrisiko darstellt, die Daten auszulagern bei einem fremden Anbieter.

Sicher ist unbequem

Als Fazit bleibt zu vermerken, dass, je sicherer euer Passwort sein soll, der Umgang damit desto unbequemer wird. Am sichersten ist es, für jeden Account ein zufälliges komplexes und langes Passwort zu haben, das nirgends gespeichert ist, außer im eigenen Kopf.

Ich gebe aber zu, dass ich es auch nicht so extrem handhabe. Ich habe sogar für manche Accounts ein Einheitspasswort. Mitunter lege ich für irgendeinen Quatsch, den man mal wieder im Internet machen will und der überhaupt nicht wichtig ist, einen Account irgendwo an und weiß, dass dieser Account nicht wichtig ist. Für solche Fälle habe ich ein Passwort, das ich immer wieder verwende. Wenn ihr es kennt, dann belastet mich das nicht.

Ich mache mir deshalb bei jedem Passwort vorher Gedanken darüber, wie wichtig der Account ist, welche Folgen es für mich haben könnte, wenn der Account gekapert wird. Es wurde schon mehr als ein Account von mir geknackt.  Damit muss ich dann halt leben. Die Anzahl der gescheiterten Loginversuche an meinem E-Mail-Account zeigen dagegen, dass sich jemand an dem härteren Passwort abarbeitet. Bislang erfolglos.


Ähnliche Beiträge