Gute Passwörter erzeugen und sicher verwenden
Momentan ist das Ändern von Passwörtern wieder in aller Munde. Aber wie erzeugt man gute Passwörter und wie verwahrt man sie sicher?
Jedes Jahr um den 1. Februar herum werden Anwender im Internet mit dem "Ändere-dein-Passwort-Tag" konfrontiert. Dabei ist das grundlose Ändern von Passwörtern als Selbstzweck nicht empfehlenswert, denn es führt nicht unbedingt zu mehr Sicherheit. Trotzdem gibt es Zeitpunkte, zu denen es sinnvoll ist, Passwörter zu ändern. Zum Beispiel, wenn die mit ihnen abgesicherten Online-Konten in einer riesigen Passwort-Datenbank öffentlich im Netz auftauchen. Leser fragen uns dann, wie man Passwörter richtig wählt und wie man sie sich merken kann. Wir fassen im Folgenden die wichtigsten Regeln noch einmal zusammen.
Wegwerf-Passwörter haben ihre Berechtigung
Als erstes sollte man sich überlegen, für welche Webseiten und Online-Konten man überhaupt richtig gute Passwörter braucht. Klar, E-Mail-Konten sollten so sorgfältig wie möglich abgesichert werden – schließlich sind sie das Herzstück der Online-Identität ihres Nutzers. Über ein geknacktes E-Mail-Konto lassen sich die Passwörter vieler weiterer Dienste mittels Recovery-Funktionen ändern, und dementsprechend wertvoll sind solche Zugänge für Online-Kriminelle. Auch dass das Online-Banking ein wirklich gutes Passwort braucht, sollte sich von selbst verstehen. Für solche Konten gilt: Jedes sollte sein eigenes Passwort haben, damit jemand, der auf dem Server eines Online-Shops einbricht und dort eine Mail-Adresse nebst Passwort abgreift, nicht gleich auch Zugang zum Online-Banking-Account derselben Person hat.
Aber es gibt auch viele Online-Konten, die wir nur im Vorbeigehen erstellen und an denen kaum persönliche Informationen und schon gar keine Zahlungsmittel hängen. Solche Anmeldungen für Foren, kurzlebige Online-Spiele oder Probe-Abos kann man ruhig mit einem relativ einfachen Wegwerf-Passwort versehen. Man muss sich hier immer fragen: Wie schlimm ist es, wenn dieses Passwort in einer öffentlichen Liste landet und sich dort plötzlich jeder einloggen kann? Falls ein solcher als Wegwerf-Konto erstellter Account auf einmal wichtig wird, kann man immer noch auf die Seite zurückkehren und das Wegwerf-Passwort durch ein sicheres ersetzen.
Passwörter richtig wählen
Aber wie wählt man überhaupt sichere Passwörter? Dafür gibt es keine ultimativ gültigen Richtlinien. Grundsätzlich gilt allerdings, dass die Länge eines Passworts für dessen Sicherheit deutlich wichtiger ist als der Einbau möglichst vieler Sonderzeichen zugunsten hoher Komplexität. Wenn man sich Passwörter ausdenkt, muss man zudem aufpassen, dass sich diese nicht in den Listen von Passwort-Crackern finden und somit zur leichten Beute werden. Eine Möglichkeit, dies zu prüfen, ist die Eingabe bei Troy Hunts "Pwned Passwords"-Service (bestenfalls schon vor dessen Verwendung für den eigenen Account!).
Wenn man vorhat, seine Passwörter in einem Passwort-Manager zu speichern, kann man sie von Anfang an maximal sicher machen – zum Beispiel indem man lange, pseudozufällige Buchstabenketten verwendet. Die meisten Passwort-Manager erstellen einem sowas automatisch. Bei Bedarf berücksichtigen sie auch andere, von bestimmten Diensten oder Software vorgegebene Kriterien wie eine maximale Zeichenzahl oder die zwingende Verwendung von Sonderzeichen und Großbuchstaben. Der Nachteil automatisch generierter Passwörter ist, dass sie oft schwer zu merken sind und man deshalb zwingend auf das Passwort-Manager-Programm angewiesen ist.
Viele Sicherheitsexperten empfehlen, sich statt Passwörtern sogenannte Passphrasen zu überlegen. Dabei kann es sich etwa um einen selbst ausgedachten Nonsens-Satz wie "Korrekter Batterie Pferde Tacker" handeln. Diesen könnte man noch nach Belieben nach einem Muster abändern, das nur einem selbst bekannt ist. Auch bei der Wahl einer Passphrase ist wichtig, dass man die Finger von so etwas Vorhersehbarem wie Songtexten oder Filmzitaten lässt, da diese mit ziemlicher Sicherheit schon in irgendwelchen Cracker-Datenbanken herumliegen. Außerdem sollte man vermeiden, Dinge zu verwenden, die Hacker erraten können, indem sie Dinge über das Opfer herausfinden. Wenn etwa das halbe Internet weiß, dass ich brennender Trekkie bin, sollte ich keine Captain-Picard-Zitate als Passphrasen benutzen.
Wie merkt man sich all die Passwörter?
Am allerwichtigsten ist, dass man ein System findet, mit dem man selber im Alltag arbeiten kann. Wenn das Ganze zu kompliziert oder die Eingabe (etwa auch auf mobilen Geräten) zu umständlich wird, fällt man zu leicht in schlechte Gewohnheiten zurück und nimmt einfach das alte Wegwerf-Passwort. Verwendet man einen Passwort-Manager, sollte der wirklich überall und zu jeder Zeit verfügbar sein. Baue ich mir im Kopf Passphrasen, so müssen die schwer zu erraten, aber gleichzeitig auch für mich einfach zu merken sein.
Bei der Verwendung eines festen Systems, um viele verschiedene Passwörter für unterschiedliche Anmeldungen zu erzeugen, gilt es zu beachten, dass dieses nicht zu leicht durchschaubar ist. Das einfache Anhängen von Domainnamen oder etwas Ähnlichem an die Passphrase ist beispielsweise nicht geeignet, um Passwörter für verschiedene Konten zu generieren. Man muss davon ausgehen, dass ein Angreifer, der Zugang zum Passwort-Klartext bekommt, das System durchschaut und dann auch andere Konten angreifen kann. So etwas lässt sich mittlerweile auch auf Angreiferseite automatisieren.
Passwortmanager sind ungemein praktisch, haben aber die gravierende Schwachstelle, dass nun die Sicherheit aller Passwörter am Zugangspasswort der Software hängt. Dieses eine Passwort sollte also auf jeden Fall sehr lang und unmöglich zu erraten sein. Bei manchen Systemen kann man den Passwort-Tresor per Fingerabdruck öffnen, was die alltägliche Benutzung vereinfacht und es trotzdem erlaubt, zusätzlich ein langes, starkes Master-Passwort zu verwenden. Allerdings sollte man aufpassen, dass man dieses dann nicht vergisst. Je seltener ein Passwort zum Einsatz kommt, desto wahrscheinlicher ist, dass man sich irgendwann nicht mehr daran erinnert.
Es versteht sich von selbst, dass man dieses sehr wichtige Passwort sofort ändern sollte, wenn Gefahr im Verzug ist. Etwa wenn man vermutet, dass es von einem Trojaner abgegriffen wurde, oder wenn man sich für einen Cloud-Passwortmanager entschieden hat und es einen Angriff auf die Datenbank des Anbieters gab. Im schlimmsten Fall will man dann vielleicht sogar zu einem anderen Dienst umziehen und muss alle Passwörter aus der kompromittierten Datenbank ändern – dann ist man besonders froh, dass Passwort-Manager automatisch neue Passphrasen generieren können.
Verteufele den Passwort-Zettel nicht
Es ist durchaus legitim, sich besonders wichtige Passwörter aufzuschreiben, solange man diese Zettel sicher verwahrt. Es stimmt, dass beim Diebstahl des Portemonnaies oder beim Einbruch zu Hause diese Passwörter dann weg sind, andererseits kann man sie unmöglich mit einem Trojaner abgreifen, wenn sie nur auf Papier gespeichert sind. Wie bei vielen Fragen der Sicherheit kommt es auch hier darauf an, wogegen man sich im aktuellen Fall verteidigen will. Das Master-Passwort für den Passwortmanager zu Hause im Tresor aufzubewahren ist vielleicht wirklich keine so schlechte Idee. Auf Post-Its am Bildschirm oder unter der Tastatur sollte man aber trotzdem verzichten.
Passwörter sind eine sehr private Angelegenheit und jeder Mensch geht mit ihnen unterschiedlich um. Schon allein deswegen gibt es kein perfektes System für alle Lebenslagen. Ob Passwortmanager, ein ausgeklügeltes Passphrasen-System im Kopf oder Zettelwirtschaft, jeder sollte versuchen, seinen eigenen Weg zu belastbaren Passwörtern zu finden. Für die meisten Menschen wird das eine Kombination aus den genannten Möglichkeiten sein. Aber übertreiben Sie es nicht: Wie gesagt, nur ein komfortables System lässt sich im Alltag dauerhaft benutzen. Und denken Sie daran, dass es in Ordnung ist, auch manchmal Wegwerf-Passwörter zu verwenden. Machen Sie so etwas nur nicht kopflos, sondern mit Bedacht.
Zwei-Faktor-Anmeldung
Abschließend sollte man die mittlerweile von vielen Diensten angebotene Zwei-Faktor-Authentifizierung (2FA) nicht vergessen. Nutzen Sie solche Angebote, wo Sie nur können. Aber vor allem bei Ihren E-Mail-Konten und beim Internet-Banking. Auch bei Social-Media-Accounts kann es sich lohnen, 2FA einzuschalten, da diese immer öfter zum Ziel von Angriffen werden. Die Zwei-Faktor-Anmeldung ist dabei kein Ersatz für ein sicheres Passwort. Sehen Sie diese Technik als zusätzliche Absicherung an – ein gutes Passwort ist trotzdem unumgänglich.
Bei 2FA werden Sie bei der Anmeldung an einem Online-Konto neben Benutzername und Passwort nach einem Einmal-Code gefragt, der Ihnen via SMS, Smartphone-App oder eigenständigem Hardware-Dongle angezeigt wird. Das bedeutet, dass jemand, der Ihr Passwort geknackt oder im Netz abgegriffen hat, nur in Ihr Konto kommt, wenn er auch Zugang zu dem Smartphone oder dem Hardware-Dongle hat.
Zwar sind Fälle bekannt, in denen es Hackern gelang, die Zwei-Faktor-Authentifizierung bekannter E-Mail-Provider auszuhebeln. Dennoch sorgt 2FA in Zusammenhang mit einem guten Passwort-System immer für mehr Sicherheit und schützt vor den meisten Tricks, die Kriminelle gegen sie ins Feld führen können. Und als Bonus dient der zusätzliche Schutzmechanismus auch als Warnhinweis, wenn das entsprechende Passwort in die falschen Hände gelangt ist. Wenn Sie wiederholt 2FA-Anfragen auf ihr Handy bekommen, die Sie nicht selbst veranlasst haben, wird es Zeit, skeptisch zu werden und bei dem Konto das Passwort zu ändern. Und zwar auch dann, wenn gerade kein "Ändere dein Passwort"-Tag ist. (fab)