Neun Tipps fürs sichere Passwort

28. Mai 2020

Passwörter – jeder braucht sie, keiner mag sie, kaum einer kann sie sich merken, und allzu viele tippen deshalb immer noch „12345“. Dabei wissen wir eigentlich alle: Unsichere Pass­wörter sind eine Einladung an Cyber­kriminelle. Was man bei der Wahl eines Passworts beachten sollte, welche Sünden es zu vermeiden gilt und wo man seine Passwörter am besten verwahrt, erklärt Security-Experte Tobias Kippert von TÜViT.

Ein gutes und sicheres Passwort ist ausreichend komplex. Sprich: Es besteht aus mindestens acht unter­schiedlichen Zeichen wie Klein- und Groß­buch­staben, Zahlen und Sonder­zeichen – besten­falls wild gemischt und ohne zugrunde liegendes System. Als Gedanken­stütze, und um sich das Passwort besser merken zu können, kann man einen bestimmten Satz bilden, von dem man aber nur die Anfangs­buch­staben im Passwort verwendet. Diese Buchstaben variiert man dann durch Groß- und Klein­schreibung und ergänzt sie durch Zahlen und Sonder­zeichen.

Außenstehende dürfen dieses eigene Passwort natürlich nicht einfach heraus­finden können. Neben banalen Pass­wörtern wie „12345“, Begriffen aus dem Wörter­buch und dem Namen des Haustiers sind daher auch Kombinationen des eigenen Namens und Geburts­datums in jedem Fall zu vermeiden.

Grundsätzlich sollte man für jeden Online­dienst ein eigenes Passwort verwenden. Denn nutzt man überall dasselbe, kann schon ein gehacktes Kenn­wort dazu führen, dass ein Angreifer neben meinem E-Mail-Postfach auch ins Online­shopping-Konto eindringen kann. Notieren sollte man die eigenen Passwörter weder auf einem digitalen Dokument auf dem Rechner noch auf einem analogen Zettel. Das berühmt-berüchtigte Post-it mit dem Passwort unter der Tastatur ist also selbst­verständlich tabu.

Sicher, gute Passwörter sind kompliziert und daher schwierig zu merken. Wer für jeden Dienst ein eigenes und sicheres Passwort verwendet, kommt um einen Passwort-Manager kaum herum. In diesen Programmen werden Passwörter und Benutzer­namen verschlüsselt und wie in einem Safe sicher verwahrt. Viele dieser Tools nutzen dazu beispiels­weise den sogenannten Advanced Encryption Standard (AES) 256, den auch die US-Regierung zur Verschlüsselung geheimer Dokumente verwendet. Ein Computer müsste rund 13,8 Milliarden Jahre rechnen, um eine solche Verschlüsselung zu knacken. Die Programme fügen Passwort und Benutzer­namen meist automatisch ins Anmelde­feld des jeweiligen Internet­anbieters im Browser ein.

Schlüssel zu diesem Passwort-Tresor ist ein komplexes Master-Passwort. Statt 20, 30 oder gar mehr verschiedene Passwörter muss man sich also nur ein einziges Kennwort merken. Das aber sollte man tatsächlich besser nicht vergessen. Andern­falls ist der Passwort-Safe endgültig versiegelt – und man muss sämtliche gespeicherten Passwörter bei den genutzten Internet­diensten zurück­setzen und neu anlegen.

Einen guten, günstigen oder sogar kostenlosen Passwort-Manager kann man über Vergleichs­tests im Internet finden. Viele der Programme bieten dabei eine Synchronisation über die Cloud. So kann man sich ganz bequem und ohne weiteren Aufwand mit den Kennwörtern auch auf dem Smartphone oder Tablet anmelden.

Die Kehrseite des Komforts: Bei unverschlüsselten Verfahren könnten die Kenn­wörter prinzipiell während der Über­tragung oder am Speicher­ort von Hackern abgefangen werden. Auch muss man hierbei dem jeweiligen Anbieter vertrauen. Sicherer ist es daher, die Synchronisierung im Passwort-Manager zu deaktivieren oder direkt auf ein Programm zu setzen, das die Kennwörter ausschließlich lokal auf dem Rechner speichert.

Ein weiterer Vorteil von Passwort-Managern: Man kann sich von ihnen sichere Kenn­wörter generieren lassen. Dazu legt man zunächst die gewünschte Länge und die Verwendung von Zahlen und Sonder­zeichen fest. Dann wird auf Knopf­druck das Passwort erzeugt. Weil der Generator die Zeichen nach dem Zufalls­prinzip zusammen­würfelt, können sie von einem Angreifer nicht „erraten“ werden und sind daher sicherer als menschen­gemachte Kennwörter.

Online kann man sich etwa über die Seite der Zentralen Daten­schutz­stelle der baden-württem­bergischen Universitäten (ZENDAS) ein solches zufälliges Passwort generieren.

Viele Browser bieten beim Einloggen auf einer Website an, die Anmelde­daten zu speichern. Das ist natürlich praktisch, weil es den Log-in deutlich abkürzt. Grund­sätzlich sollte man sich aber vorab erkundigen, ob der Passwort-Speicher des jeweiligen Anbieters als sicher gilt und die Passwörter nur lokal gespeichert werden.

Ein grund­sätzliches Problem bei Passwort-Managern im Browser: Anders als bei eigenständigen Passwort-Safes ist die Verwendung eines Master-Passworts optional. Wird der Computer von mehreren Personen genutzt, können auch diese auf die Passwörter zugreifen. Und wird mein Laptop gestohlen, kann sich der Dieb bequem bei meinen Online­diensten anmelden. Empfehlens­wert ist die Speicherung im Browser daher nur bei einem stationären Rechner, den ich ausschließlich selbst verwende und durch ein gutes Passwort schütze. Die bessere, weil sichere Wahl ist aber auch hier ein eigen­ständiger Passwort-Manager.

Android- oder Apple-Smartphones kommen ab Werk mit einem integrierten Passwort-Manager. Smart Lock von Google und Apples iCloud-Schlüssel­bund synchronisieren die Passwörter mit dem eigenen Benutzer­konto. So kann ich mich bequem auf anderen End­geräten anmelden oder mit meinen Passwörtern auf ein neues Handy umziehen. Das Problem: Ob die Passwörter etwa auf Servern in den USA gespeichert werden, erfährt der User nicht unmittelbar. Und Cloud-Lösungen sind aus den genannten Gründen tendenziell unsicherer als eine lokale Speicherung in einem eigen­ständigen Passwort­tresor auf dem eigenen Rechner oder Smartphone.

Lange galt das goldene Gebot: Auch ein sicheres Passwort sollte regel­mäßig gewechselt werden. Das Bundes­amt für Sicherheit in der Informations­technik (BSI) hat diese Empfehlung in der aktuellen Ausgabe seines IT-Grund­schutz-Kompendiums nun zurück­gezogen. Der Grund: Um sich das neue Passwort gut merken zu können, neigen viele Nutzer zu Nachlässigkeit, wie Unter­suchungen ergeben haben. Da wird etwa ein zu kurzes Passwort verwendet oder das alte nur vage variiert – indem man etwa am Ende eine Zahl verändert.

Wurde das alte Passwort aber bereits aus­gespäht oder war es ohnehin unsicher, ist auch das neue Passwort im Hand­um­drehen geknackt. Daher gilt als neue Faust­regel: Besser ein gutes und komplexes Passwort auf Dauer als alle drei Monate ein neues unsicheres Kennwort. Bei einem Daten­leck oder einem Hacker­angriff auf den eigenen Online­anbieter muss natürlich nach wie vor auch das Passwort geändert werden.

Um die Sicherheit weiter zu erhöhen, ist es sinnvoll, eine Zwei-Faktor-Authentisierung einzurichten, wie sie von immer mehr Online­diensten angeboten wird. Zusätzlich zu Benutzer­namen und Passwort muss man bei der Anmeldung dabei etwa einen Code eingeben, den man vom jeweiligen Anbieter per SMS geschickt bekommt oder der über eine spezielle Authenticator-App erzeugt wird. Auch ein Cyber­krimineller, der mein Passwort kennt, kann dann noch immer nicht einfach auf mein Online­konto zugreifen. Die Verwendung eines solchen zweiten Faktors kostet bei der Anmeldung ein klein wenig mehr Zeit – ist dafür aber ein wichtiger weiterer Schritt zu einem sichereren Online­konto.