Version 1.2, Sebastian Martin, 21.06.2012, Lizensiert under der Creative Commons Lizenz 3.0 by-sa, Weitergabe unter Namensnennung erwünscht.
Problematik
Leider wird das sichere Passwort immer mehr zu einem Problem. In großem Stil versuchen Kriminelle, Passwörter zu klauen oder zu knacken, entweder um damit direkt Zugang etwa zum Online-Banking zu erhalten oder um mit den geknackten Accounts weitere Straftaten zu begehen, wie etwa der Spam-Versand über ein gehacktes Email Konto. Nahezu täglich kann man einschlägiges in der Presse lesen, wie etwa:
- Angriff auf Playstation Network: Persönliche Daten von Millionen Kunden gestohlen
- LinkedIn-Passwörter im Umlauf
- Weitere 1,4 Millionen Datensätze kompromittiert
Um nicht eines Tages mit leerem Konto da zu stehen, sollte man daher sichere Passwörter benutzen. Kompliziert wird dies dadurch, dass man praktisch für jede Anwenung, jede Webseite, jeden Account ein eigenes, sicheres Passwort braucht. Denn obige Links zeigen: Brechen Hacker bei einem Anbieter ein, klauen sie dort die Datenbanken von Benutzername und Passwort. Danach probieren Sie die Kombination von Benutzername und Passwort bei anderen Anbietern durch, eine Kettenreaktion ensteht.
Im Folgenden habe ich daher einige einfache Regeln gesammelt, um sich zu wappnen.
Regeln für sichere Passwörter
- Mindestens 8 Zeichen verwenden (ergibt 282116715437121 Möglichkeiten) besser sind 10 Zeichen (ergibt 24842341419143568849 Möglichkeiten) oder noch mehr. Zu kurze Passwörter sind mittels vorausberechneter Rainbow-Tabellen innerhalb weniger Sekunden gekackt. Dies gilt insbesondere für Windows – Passwörter, da Windows keinerlei Gegenmaßnahmen gegen Angriffe mittels Rainbow-Tabellen trifft. Nur wenn das Passwort lang genug ist, um nicht in einer Rainbow-Tabelle zu stehen bietet es überhaupt einen sicheren Schutz.
- Eine Kombination aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen nutzen. Die Sonderzeichen einfach nur anzuhängen bringt deutlich weniger Sicherheit, als sie in das Passwort zu integrieren.
- Für Einsätze an ausländischen PCs im Urlaub sollte man aber deutsche Anführungszeichen und deutsche Umlaute meiden. Auch auf ausländischen Tastaturen findet man jedoch „! $ % , . = -“ i.d.R. schnell.
- Wörter aus dem persönlichen Umfeld (Eigennamen, Kosenamen, Haustiernamen etc.) sind tabu.
- Keine Wörter aussuchen, die im Duden oder irgendeinem (Fremdsprachen-) Lexikon stehen. Also auch keine Comicfiguren oder Herr-der-Ringe-Helden. Auch nicht einfache Buchstabenfolgen der Tastaur wie qwertzuiop verwenden.
- Geburtstage oder andere relevante Daten vermeiden.
- Nicht einfach nur Sonderzeichen anhängen, sondern sie in das Passwort integrieren.
- Keine Wörter obiger Kategorien einfach nur rückwärts schreiben oder anders verfremden.
- Das Passwort nicht unter die Tastatur oder hinter den Monitor kleben! Wenn man es überhaupt aufschreibt, dann den Zettel zumindest sicher aufbewahren.
- Oft liest man, man solle das Passwort regelmäßig und möglichst häufig wechseln. Dem gegenüber ist die Merkfähigkeit begrenzt. Wenn dies also dazu führt, dass man unsichere Passwörter verwendet oder die Passwörter unsicher aufbewahrt (eben z.B. unter Tastatur) dann geht der Schuss jedoch nach hinten los. Also lieber seltener wechseln und dafür sichere Passwörter einprägen.
- Für verschiedene Anwendungen auch verschiedene Passwörter wählen. Sonst könnte jeder, dem etwa zufällig das Facebook Passwort in die Hände fällt auch sämtlichste eurer Emails lesen. Leider wird dies immer wichtiger, denn immer öfter werden Internet-Server großer Firmen gehackt, als Beispiel sein nur Sonys Playstation Platform genannt. Dabei erbeuten die Hacker große Mengen Passwörter, und ob man selbst betroffen ist erfährt man im Zweifel erst zu spät.
Fazit: Wenn man dann auch noch für jeden PC und jede kritische Anwendung wie Email ein eigenes Passwort verwenden will, kommt man schnell an die Grenze des Merkbaren. Einfach lässt sich dies umgehen, indem man einen einfachen, leicht zu merkenden Satz konstruiert, in welchen man Zahlen und Sonderzeichen einstreut. Von den Wörtern dieses Satzes nimmt man nun die Anfangsbuchstaben.
Bsp: „Hoffentlich errät bis zum Jahr #58 kein einziger Bösewicht mein sicheres Passwort!“ und nimmt von jedem Wort den Anfangsbuchstaben.
Das ergibt dann „HebzJ#58k1BmsP!“.
Ergänzen kann man dies nun noch, indem man für jede Funktion ein Kürzel dran hängt, z.B. „&EM“ für Emails, „&PC1“ für PC Nr. 1 „&OB“ fürs Onlinebanking. Damit erhält man unendlich viele unterschiedliche und dennoch leicht zu merkende Passwörter. Dieses System ist aber dem Passwort nicht anzusehen, z.B. HebzJ#58k1BmsP!&EM gibt keinen Hinweis darauf, dass dies ein spezielles Passwort für Emails ist.
Selbstverständlich kann man auch die Stellung des Kürzels im Passwort verändern, so z.B. „EM:passwort“, also „EM:HebzJ#58k1BmsP!“
Letzter Tips: Dies so erhaltene Passwort – System ist ziemlich sicher, merkbar und auch gegen Hackerangriffe auf Internet-Dienstleistungsanbieter halbwegs robust. Allerdings sind die einzelnen Passwörter recht lang. Dazu kommt, dass man mittlerweile einfach für unendlich viele Internet-Seiten Passwörter benötigt: so gibt es z.B. kaum noch ein Forum, in dem man Nachrichten posten kann, ohne sich einen Benutzeraccount mit Passwort zuzulegen.
Daher kann es sinnvoll sein, 2 Sets / Systeme von Passwörtern zu haben: Eines nach o.g. Muster mit einer Auslegung für maximale Sicherheit, welches man für alle vertraulichen oder wichtigen Daten verwendet, also Email, Online-Banking und der Gleichen. Ein 2te Passwort oder gar Passwortset nutzt man für alle unwichtigen Anwendungen, wie Online-Foren, Online-Spiele, etc. wo man ohnehin keinerlei persönliche oder rückverfolgbare Daten angeben sollte.