Name: Passwörter – wie lang ist lang genug?
Uploaded: 2021-09-23T16:26:52+02:00
Duration: 106 s
Description: Beobachter-Redaktor Thomas Angeli erklärt, wie lange es ungefähr dauert, ein kurzes Passwort zu knacken – und ob schon eins Ihrer Passwörter gestohlen wurde.

Sicheres Passwort

So umgehen Sie häufige Fehler

Ein sicheres Passwort zu erstellen, das man sich auch merken kann, ist nicht unbedingt einfach. Dabei zeigen die folgenden Tipps, dass es dennoch geht.

Content-Manager Services & Redaktor Christian Gmür

Christian Gmür,
aktualisiert am 7. April 2021 - 17:50 Uhr

Wem seine Daten lieb sind, der sollte als Passwort nicht unbedingt «Passwort» verwenden.

Bild: Getty Images

Drucken

Merken

Kommentare

Google News

Artikel teilen

Ein grösseres Datenleck von Facebook macht im April 2021 Schlagzeilen. Betroffen sind über 530 Millionen Nutzer. Der Datensatz, der in einem Hacker-Forum veröffentlicht wurde, besteht grösstenteils aus Telefonnummern, die mit der Identität der Nutzer in Verbindung gebracht werden. Darunter befinden sich auch 1,5 Millionen Daten aus der Schweiz.

Auch wenn Facebook angibt, das seit längerem bekannte Sicherheitsleck gelöst zu haben, verschwinden solche gestohlenen Daten nicht einfach aus dem Netz. Diese werden vielfach unter Hackern ausgetauscht, um so zu einem noch detaillierteren Bild ihrer Opfer zu gelangen. Phishing-Angriffe werden so immer raffinierter Phishing Immer raffiniertere Betrugsversuche .

Der grösste Gau in Sachen Cybersecurity tritt jedoch dann ein, wenn ein Hacker die Mailadresse und das dazugehörige Passwort kennt. Der Super-Gau besteht dann nur noch darin, dass dieses Passwort auch für weitere Konten benutzt wird. Wie Sie diese und weitere Passwort-Sünden vermeiden und ob Ihre Mailadresse oder Handynummer vom jüngsten Datenleck betroffen ist, erfahren Sie im Folgenden sowie über die Check-Tools am Ende des Ratgebers.

Die 7 häufigsten Passwort-Sünden

Dass ein Passwort erraten wird, liegt oftmals an der eigenen Bequemlichkeit – aber auch an Halbwahrheiten aus dem Internet, die sich hartnäckig in den Hinterköpfen der Nutzer halten.

Diese Fehler werden immer wieder beobachtet:

1. Ein Passwort für alles

Was analog gilt, sollte auch für die digitale Welt beherzigt werden. Oder würden Sie nur einen Schlüssel verwenden, um Wohnungstüren, Veloschlösser oder den privaten Safe aufzuschliessen? Wird der Schlüssel gestohlen, wäre wohl das gesamte Hab und Gut verloren. Als erstes Gebot für sichere Passwörter gilt deshalb: Für jeden Webdienst ein anderes Kennwort! Mit einem Passwort-Manager müssen Nutzer zudem keine Gedächtniskünstler sein.

2. Zu einfache Passwörter

«Passwort», «12345» oder eine Aneinanderreihung von nebeneinanderliegenden Computertasten (z. B. «qwertz») ist selbst für einen dilettantischen Hacker ein gefundenes Fressen. Auch Begriffe aus Wörterbüchern werden bei einer sogenannten Brute-Force-Attacke schnell geknackt. Dabei testet eine Software verschiedene Zeichenkombinationen durch und beginnt zuerst mit den abgegriffensten Passwort-Varianten. Weil ein solches Hacking-Verfahren Millionen von Möglichkeiten pro Sekunde systematisch abfragt, haben solche einfachen Wörter meistens keine Chance zu bestehen.

Buchtipp

IT-Sicherheit für KMU

3. Zu persönliche Passwörter

Kennwörter, die relativ leicht Rückschlüsse auf die Person erlauben, gelten ebenfalls als wenig sicher. Dazu zählen etwa das Geburts- oder Hochzeitsdatum, der Name des Haustiers oder das erste eigene Automodell. Dies umso mehr, wenn man in den sozialen Medien häufig persönliche Informationen preisgibt. Ein Beispiel: Wenn allgemein bekannt ist, wofür Ihr Herz schlägt, sollten Sie Passwörter wie «IloveStarWars» oder «HoppFCBasel» am besten vermeiden. Hobby-Hacker machen es sich zum Sport, genau solche Fan-Informationen, die öffentlich im Netz vorhanden sind, einzuholen.

Bilden Sie ein Passwort aus den Anfangsbuchstaben eines längeren Merksatzes, der für Sie eine persönliche Bedeutung hat und deshalb gut einprägbar ist.
Beobachter-Tipp

4. Grundlos das Passwort wechseln

Die Aufforderung von IT-Abteilungen, die Passwörter regelmässig zu ändern, nützt in den meisten Fällen wenig. Grund dafür ist die menschliche Natur: Wozu sich ein kompliziertes Passwort ausdenken, wenn bald wieder die nächste Änderung ansteht?

Forscher aus Nordamerika haben nachgewiesen, dass Firmenmitarbeiter in der Regel nur ein leicht abgeändertes Passwort verwenden. Aus «Passwort» wird dann einfach «Passw0rt» – eine Kombination, die ein Hackerprogramm im Standard-Repertoire beherrscht. Wirklich sinnvoll ist ein Wechsel deshalb erst dann, wenn der Verdacht auf einen Missbrauch gegeben ist.

5. Passwort aufschreiben

Den wohl schwerwiegendsten Fehler begeht ein Nutzer, wenn das Passwort auf ein Post-it geschrieben und am Computerbildschirm oder auf die Rückseite eines Smartphones geklebt wird. Spätestens wenn das Handy abhandenkommen sollte, wird es zum Problem.

Auch eine elektronische Passwortliste auf dem Rechner ist nicht viel besser – es sei denn, man hat das Dokument mit einer genügend starken Verschlüsselung abgelegt. Dasselbe gilt für das Verschicken von Passwörtern via Mail – welche Gründe das auch erfordern mögen. Ohne Verschlüsselung ist das etwas so sicher, wie wenn Sie einen Brief per Post verschicken: Jeder, der den Brief in die Hände bekommt, kann ihn problemlos öffnen.

Passwörter – wie lang ist lang genug?

Beobachter-Redaktor Thomas Angeli erklärt, wie lange es ungefähr dauert, ein kurzes Passwort zu knacken – und ob schon eins Ihrer Passwörter gestohlen wurde.

Quelle: Beobachter Bewegtbild

6. Keine Zwei-Faktor-Authentifizierung

Um Geld am Automaten abzuheben, benötigt man eine Karte und die PIN-Nummer. Das erhöht die Sicherheit, weil ein Dieb für einen Zugriff beides braucht. Ein ähnlicher Schutz wird erreicht, wenn ein Webdienst zusätzlich eine Handynummer verlangt. Mit einer SMS, die einen Code mitliefert, kann nur die Besitzerin bestätigen, dass sie gerade auf ein Konto zugreift – und nicht ein Hacker, der zu einem fremden Passwort gekommen ist. Diese Zwei-Faktor-Authentifizierung (2FA) ist zwar umständlich, doch man sollte sie nutzen, wenn dieser Service angeboten wird.

7. Möglichst viele Sonderzeichen verwenden

Ein Kennwort mit vielen Sonderzeichen wie «P@$$w0rt!» ist zwar sicherer als ein normal Geschriebenes – kann aber trotzdem nicht empfohlen werden. Das National Institute of Standards and Technology (NIST), eine US-Behörde, die an Unternehmen und Private Empfehlungen bezüglich aktueller Technologiestandards herausgibt, rät von diesem allgemeinen Trick ab. Der Grund: Algorithmen von Hackerprogrammen können neben den oben erwähnten Beispielen auch Sonderzeichen durchtesten und bedienen sich anhand gängiger Variationen.

Zudem sind wahllos gesetzte Sonderzeichen auch für den Nutzer meistens zu kompliziert, um sich daran erinnern zu können. Das NIST hält nicht viel von diesbezüglichen Vorgaben. Es bringe für die Sicherheit nicht mehr, wenn Betreiber von Websites mindestens einen Buchstaben, eine Zahl sowie ein Sonderzeichen verlangen. Um einiges besser seien unterschiedliche und möglichst lange Phrasen.

Merkblatt «Unerwünschte Werbe-E-Mails» bei Guider

Landet in Ihrem Mail-Postfach immer wieder Werbung? Beobachter-Abonnenten erfahren im Merkblatt «Unerwünschte Werbe-E-Mails», wie sie Spam schnell erkennen und präventiv vorgehen können, damit sie solche lästigen Nachrichten erst gar nicht erhalten.

Passwort-Härtetest: Auf die Länge kommt es an

Wenn Sie es besser machen wollen, gilt: Je länger – je sicherer: Für das NIST wären sogar bis zu 64 Zeichen sinnvoll, um längere Phrasen bilden zu können. Ein Kennwort wie «Fussball» mit acht Zeichen – das absolute Minimum für ein Passwort – knackt ein Programm unmittelbar. Bei «Fussballgott» mit zwölf Zeichen, ist eine Maschine schon 300 Jahre beschäftigt – ein viel zu grosser Aufwand, der sich nicht lohnt.

Doch Vorsicht: Abgedroschene Phrasen oder berühmte Zitate wie «Du kommst hier nicht rein» oder «Sein oder nicht sein, das ist hier die Frage» kennt auch eine halbwegs intelligente Hacking-Software. Auch gleiche Buchstaben, die einfach zu «aaabbbccc» aneinander gereiht werden, sind für Hacker eine leichte Beute.

Passwort-Generatoren und Passwort-Manager

Wem kein gutes Kennwort einfällt, kann online auf Passwort-Generatoren wie passwort-generator.org oder den Kennwortgenerator von Norton Identity Safe zurückgreifen. Diese würfeln zufällig Buchstaben, Zahlen und Sonderzeichen zusammen. Der Nachteil: Solche Passwörter sind schwer zu merken, weil der Nutzer keinen Bezug herstellen kann.

Gute alternative Lösungen bieten daher sogenannte Passwort-Manager, um unterschiedliche und längere Passwörter für diverse Konten zu erstellen, die man sich nicht alle im Einzelnen merken muss. Mit Lastpass, Dashlane, 1Password, Enpass oder KeepassX legt man einmalig ein Master-Passwort fest und kann so im verschlüsselten Programm-Modus auf die restlichen Kennwörter zugreifen. Die Anwendung ist in Kombination als Browser-Erweiterung, als Software-Download auf dem Desktop oder über eine mobile App nutzbar und läuft synchron auf mehreren Geräten. Dank moderner Verschlüsselungsmethoden sehen bei den Passwort-Managern selbst zwei identische Kennwörter in chiffrierter Form völlig anders aus, was das Entziffern für Hacker äusserst schwierig macht. Auf diese Weise kann man sich die grösstmögliche Sicherheit schaffen.

Nur die Anfangsbuchstaben als Merkhilfe verwenden

Wer nicht auf die meist kostenpflichtigen Passwort-Manager zurückgreifen möchte, kann anderweitig in die Trickkiste greifen. Als sehr effektiv erweisen sich etwa Passwörter, die nur aus den Anfangsbuchstaben eines Merksatzes bestehen. Aus «Im Winter bauen Tina und Lukas zusammen mit Papa und Mama einen grossen Schneemann» wird «IWbTuLzmPuMegS». Sonderzeichen müssen in diesem Passwort nicht vorkommen, wenn es lang genug ist.

Wie sicher ist mein Passwort?

Wer auf Nummer sicher gehen will, checkt die Stärke des Passworts online um zu erfahren, wie schwer das eigene Kennwort zu knacken ist.

Passwort gestohlen? Mit diesen Datenbanken machen Sie den Check

Grosse frei zugängliche Datenbank: https://haveibeenpwned.com
Check-Tool von NCSC/Melani: https://checktool.ch
«Identity Leak Checker» des Hasso-Plattner-Instituts in Potsdam: https://sec.hpi.de/ilc/search

Lesen Sie dazu auch

Ein ahnungsloser Büromitarbeiter erkennt nicht, dass sich hinter ihm ein in schwarz gekleideter Mann abgeseilt hat und über seine Schultern alles heimlich mitliest, was er am Computer schreibt.

Sicherheit im Internet

Jeder Nutzer ist für Hacker interessant

Auch wenn sie es eigentlich besser wissen: Viele lassen digitale Geräte ungeschützt – und öffnen Hackern alle Türen. Wie man es besser macht.

Martin Müller

Christian Gmürist Content-Manager für den Teil Beratung (Services) des Beobachters und koordiniert alle Ratgeber-Inhalte für Beobachter.ch sowie für Guider.ch.Mehr erfahren

3 Kommentare

Sortieren nach:

manuelahof

20.11.2018 - 09:25 Uhr

Hallo, der Artikel ist interessant gestaltet. Im Büro kennt niemand mein Passwort und mittlerweile habe ich dieses so oft eingegeben, dass ich es auswendig weiß. Ich verwende nur noch Passwörter mit einer Länge von 24 Zeichen oder mehr. Die meisten denke ich mir selbst aus. Auch wenn der Prozess länger dauert jedesmal das Passwort einzugeben, ist es so um ein vielfaches sicherer. Da ich privat und in der Firma viele sensible Daten verarbeite, gehe ich kein Risiko ein.

anton_paschke

11.08.2017 - 16:02 Uhr

Lieber Beobachter,
ich schätze Ihre Zeitschrift sehr und habe sie aboniert etwa seit 1970. Ihre Ratschläge zu den Passwörtern finde ich aber unergiebig. Kaum ein Server erlaubt heute das unbeschränkte Probieren von Passwörtern. Die meisten sperren nach 3 Versuchen. Das ein Programm versucht alle möglichen Kombinationen durchzugehen gibt es also nichtmehr. Früher, als ich noch angestellt war vergass ich mein Passwort bei jeden Ferien. Sonne auf den Kopf geschienen, Passwort weg. Ich hatte die Tendenz das Passwort vor der Abreise mit Filzstift an die Wand zu schreiben (im Grossraumbüro), mein Chef war dagegen. Der Unterschied zu damals ist, dass ich nichtmehr 30 Passwörter benutzen muss, sondern etwa 90. Die Lösung ist genau die, die Sie im Punkt 1 abmahnen. Ein Passwort für alles Unkritische: Beobachter, NZZ, FAZ, Tagesanzeiger. Sollte jemand in meinem Namen gegen Erdogan schreiben, dann soll er doch! Er kann auch gerade noch eine Bestellung bei AliExpress machen, nur zahlen kann er sie nicht. Wenn es ums Geld geht muss man gut aufpassen. e-Banking über Smartphone, alle Daten auf dem Gerät, und sich dann das Gerät klauen lassen ist sehr stressig.
Als absolut debil betrachte ich die Passwörter von Modems, etwa UPC, 12 Buchstaben und Sonderzeichen, die ich beim Eintippen nicht angezeigt bekomme. (Windows, Ubuntu zeigt sie) Da hilft eine Datei auf dem Computer, das Passwort mit dem Editor eintippen und am Desktop aufbewahren. Danach Copy-Paste.
mit freundlichen Grüssen Anton Paschke

beobachterred

11.08.2017 - 17:37 Uhr

Sehr geehrter Herr Paschke,
vielen Dank für Ihren Kommentar und Ihre langjährige Treue als Abonnent des Beobachters.

Heutige Website-Administratoren tun mehr für die Sicherheit gegen Brute-Force-Attacken, das stimmt. Als Nutzer sollte man sich aber trotzdem nicht darauf verlassen, dass dies alle tun :-)

Wichtig ist vor allem, kein zu offensichtliches Passwort zu wählen. Denn dann kann selbst ein eingerichtetes Zeit-Intervall Sie bei der Passwort-Abfrage nicht mehr schützen. Hat ein Hacker ausserdem Ihr Passwort erraten, kann er es damit auch auf anderen Seite probieren, wo vielleicht auch mal kritische Daten des Nutzers vorhanden sind.

In diesem Sinne: Safety first und freundliche Grüsse
Christian Gmür

Themen per E-Mail folgen

Meistgelesen