Häufig wurde ich in meinem persönlichen Umfeld schon gefragt, wie ich denn meinen Umgang mit Passwörtern handhabe. Dabei drehte sich die Diskussion im Wesentlichen immer um zwei Dinge: Erstens die Sicherheit des Passwortes als Solches und Zweitens der sichere Umgang mit Passwörtern. Meine Gedanken dazu, und wie ich es persönlich halte, möchte ich in diesem Artikel gerne festhalten.
Dazu gehe ich wie folgt vor:
Warum sichere Passwörter?
Natürlich dürfte jedem klar sein, dass man schützenswerte Inhalte mit einem „guten“ und „starken“ Passwort schützt. Was jeder Einzelne als schützenswerte Inhalte oder Zugänge erachtet, ist jedoch sehr individuell. Zahlungsportale, Bankzugänge, …, klar, hier geht es ja schließlich um Geld. Sollte hier ein Passwort geknackt werden, entsteht sehr wahrscheinlich ein direkt messbarer, finanzieller Schaden.
Doch auch Portale mit persönlichen Informationen sollten ebenso geschützt werden. Identitätsklau und Ähnliches können mindestens genauso hohen Schaden verursachen.
Selbst bei vermeintlich unwichtigen Zugängen sollte man über das Passwort nachdenken. Zumindest sollte man auch hier nicht Passwörter doppelt verwenden die man bereits woanders benutzt. Denn wird ein Passwort an einer Stelle aufgedeckt, so kommt der Angreifer schließlich auch an allen anderen Zugängen vorbei, die das selbe Passwort verwenden.
Doch was macht ein Passwort nun gut und sicher? Und wie gehe ich mit Passwörtern vernünftig um? Auf diese Fragen gehe ich im Folgenden ein.
Was ein Passwort sicher macht
Kurz gesagt ist ein Passwort um so sicherer, je unerwarteter es ist.
Doch was bedeutet das genau? Dazu ein Beispiel. Angenommen, unser Beispielpasswort besteht aus vier Zeichen. Nun hätten wir bereits herausgefunden, dass die ersten drei Zeichen 1, 2, 3 lauten. Welches Zeichen kommt wohl als Viertes? Nun ja, ich würde auf die 4 tippen, die scheint mir sehr wahrscheinlich.
Käme nun als viertes Zeichen ein %, so wären dies deutlich unerwarteter als bei der 4, stimmt’s? Wir hätten eher auf die 4 gewettet als auf das %.
1234 | Diese Zeichenfolge lässt sich noch recht gut erraten … |
123% | … bei dieser hier wird es schon ein klein wenig schwerer! |
Ähnlich verhält es sich mit der Länge der Zeichenfolgen. Viele Zeichen hintereinander in der richtigen Reihenfolge zu erraten ist immer schwerer, als die korrekte Reihenfolge weniger Zeichen.
Doch wie kann man diese Erkenntnis jetzt greifbar machen?
Möglichst viele unterschiedliche Zeichen
Grundsätzlich erhöht sich die Sicherheit, wenn man alle zur Verfügung stehenden Zeichenarten auch verwendet. Das bedeutet konkret, werden z.B. Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen (d.h. Leerzeichen, ?,!,%,+,(,),…) als mögliche Zeichenarten angeboten, dann nutzen sie möglichst von allen Zeichenarten mindestens eines. Je breiter man die verfügbaren Zeichen ausnutzt, desto höher die Komplexität und umso schwerer ist es für potentielle Angreifer, das Passwort zu erraten.
Hier einige Beispiele:
CR=Qrv7U7T
SP-Y{cpw7g
QS_q+tw3Ze
IB!&;(fe'g
...
Möglichst lange Zeichenfolge
Eine weitere Möglichkeit, die Sicherheit zu erhöhen, besteht darin, möglichst viele Zeichen zu verwenden. Ganz konkret könnt ihr etwa kurze Sätze bilden statt eines einzelnen Wortes. Das ist zudem ein guter Tipp um sich das Passwort besser merken zu können. Mischen sie hierbei aber unbedingt auch einzelne Zeichenarten dazu die nicht Klein- oder Großbuchstaben sind.
Hier wieder mögliche Beispiele:
4Bremer=HahnKatzeHund+Esel
Pizza4JahreszeitenMachtSatt
Alle7aufEinenSTREICH=Prima
...
Lang, Komplex oder Beides?
Gute und sichere Passwörter zeichnen sich also durch Länge (Anzahl der Zeichen) und durch Komplexität (Anzahl der unterschiedlichen Zeichenarten) aus.
Dabei kann man sich durchaus entscheiden, ob das Passwort entweder „kurz, aber komplex“ oder „lang und etwas weniger komplex“ ist. Dazu gibt das BSI (Bundesamt für Sicherheit in der Informationstechnik), zur Zeit der Erstellung dieses Artikels, folgende Faustregeln als Orientierungshilfe:
- Lang und weniger komplex: 20 bis 25 Zeichen lang und zwei verschiedene Zeichenarten, oder
- Kürzer und komplex: 8 bis 12 Zeichen lang und vier verschiedene Zeichenarten.
(Hier geht es zur entsprechenden Seite des BSI)
Wer sich nicht immer komplexe Kombinationen aufs Neue ausdenken mag, der kann auch Tools verwenden, die bei der Erzeugung von Passwörtern unterstützen.
Der sichere Umgang ist wichtig
Nun haben wir einiges darüber erfahren wie man sichere Passwörter erstellt. Nun gilt es, auch den Umgang mit Passwörtern sicher zu gestalten.
Keine Wiederverwendung!
Man sollte jedes Passwort nur einmalig verwenden. Also nicht bei mehreren Online-Diensten das selbe Passwort benutzen. Auch eine leichte Modifikation von Dienst zu Dienst, zum Beispiel durch anhängen unterschiedlicher Endziffern (Haustiername01, Haustiername02, …) sollte man tunlichst vermeiden.
Geheimhaltung, keine Klartexte speichern!
Die eigenen Passwörter sollten sie immer sicher unter Verschluss halten. Klar… wenn das Passwort auf dem Klebezettel am Monitor hängt, dann nutzt auch die höchste Komplexität nichts. Doch zur Geheimhaltung des Passwortes gehört z.B. auch, dass man sich sein eigenes Passwort nicht per Email an seine Arbeitsmails schickt, oder Ähnliches. Denn unverschlüsselte Emails sind wie Postkarten, sie können grundsätzlich von jedem mitgelesen werden. Zum sicheren Umgang mit Passwörtern gehört in diesem Zusammenhang auch, dass Passwörter nicht im Klartext in Textdateien gespeichert werden.
Mehrere Passwörter mit einem guten Passwortmanager verwalten
Gerade die Tatsache, dass man Passwörter nie mehrfach verwenden sollte, kann dazu führen, dass diese auf Zetteln oder in Klartextdateien landen. Hier gilt es abzuwägen: Wenn man sich nicht alle Passwörter auswendig merken kann oder möchte (und das dürfte bei der Masse an Passwörtern, die man gewöhnlich hat, schnell der Fall sein), dann ist ein Passwortmanager die richtige Lösung! Passwortmanager stellen den Umgang mit Passwörtern sicher, indem sie diese verschlüsselt in einer Datenbank speichern. Zugriff hat man dann nur, wenn man das zugehörige (Master-)Passwort kennt oder wahlweise die zugehörige Schlüsseldatei besitzt. Letztere kann z.B. auf einem externen USB Stick gespeichert werden.
Möglichst weitere Sicherheitsfaktoren nutzen (2FA)
Der sichere Umgang mit Passwörtern kann noch dadurch sinnvoll ergänzt werden, wenn neben dem Passwort noch weitere Sicherheitsmaßnahmen eingesetzt werden. Wir weisen, gegenüber dem entsprechenden Dienst, unsere Identität dann nicht nur mit Kenntnis des Passwortes nach, sondern noch mit einem zusätzlichen Faktor. (Zwei-Faktor-Authentisierung, kurz 2FA). Dieser zweite Faktor kann z.B. ein zeitlich befristeter Code per SMS an die private Handynummer sein, ein Einmalkennwort einer Authenticator-App, oder der Einsatz eines Hardwaretoken zur Authentisierung.
Fazit: 6 Tipps zusammengefasst
Zum Abschluss meines Beitrages möchte ich nochmals alles zum Umgang mit Passwörtern kurz und knapp als Liste zusammenfassen:
- Lange und weniger komplexe Passwörter: 20 bis 25 Zeichen lang und zwei verschiedene Zeichenarten, oder
- Kürzere und komplexe Passwörter: 8 bis 12 Zeichen lang und vier verschiedene Zeichenarten.
- Keine Wiederverwendung, Passwörter immer nur einmal verwenden
- Passwörter unter Verschluss halten, das bedeutet auch: nicht an Emailadressen sende, etc..
- guten Passwortmanager verwenden
- Möglichst weitere Sicherheitsfaktoren nutzen
übrigens…
…eine verbreitete Angriffsmöglichkeit auf Passwörter sind die sogenannten Bruteforce-Angriffe: Hierbei werden unzählige, potentiell mögliche Passwörter nacheinander ausprobiert. Häufig werden dazu existierende Wörterbücher verwendet und alle darin enthaltenen Begriffe (und deren Kombinationen!) durchprobiert. Verwendet für eure Passwörter also niemals einzelne Worte oder Wortkombinationen aus Wörterbüchern, ohne diese mit zusätzlichen Sonderzeichen anzureichern.
Vielen Dank fürs Lesen und bis zum nächsten Mal!
Hier geht es zurück zur Startseite des Blogs.