1. Home
  2. Konsum
  3. Multimedia
  4. So umgehen Sie häufige Fehler

Sicheres PasswortSo umgehen Sie häufige Fehler

Wem seine Daten lieb sind, der sollte als Passwort nicht unbedingt «Passwort» verwenden. Bild: Getty Images

Ein gutes Passwort zu finden, das man sich auch merken kann – für viele ein mühsames Unterfangen. Dabei zeigen diese Experten-Tipps, dass es auch einfach geht.

von Christian Gmüraktualisiert am 2017 M09 15

Aktuelle Warnung: 21’000 Passwörter gestohlen

Wie MELANI in einer Mitteilung vom 29. August 2017 schreibt, wurden gut 21’000 Kombinationen von Zugangsdaten für Online-Dienste gestohlen. Die entwendeten Daten, die in den meisten Fällen aus einer E-Mail-Adresse als Benutzername und einem Passwort bestehen, seien gemäss vertraulichen Angaben in den Besitz von Drittpersonen geraten.

MELANI bietet zur Überprüfung der eigenen Mail-Adresse ein Check-Tool an und rät bei einer Übereinstimmung dringend, das Passwort zu ändern. Wurde das gleiche Passwort auch für andere Web-Dienstleistungen benutzt, sollte das Kennwort auch dort gewechselt werden. Wie Sie ein sicheres Passwort erstellen, lesen Sie in diesem Artikel.

Eine erschreckende Nachricht: Das deutsche Bundeskriminalamt verkündete Anfang Juli 2017, dass ungefähr 500 Millionen E-Mail-Adressen samt dazugehörigen Passwörtern im Darknet gefunden wurden. Hacker haben diese Daten allem Anschein nach über einen längeren Zeitraum gesammelt und zum Handel auf einer Untergrund-Plattform im Internet freigegeben.

Der Rat von Sicherheitsexperten: Nutzer sollen überprüfen, ob ihre Daten betroffen sind und ob allenfalls ein Passwortwechsel nötig ist (siehe weiter unten «Datenbank-Check: Wurde mein Passwort gehackt?»).

Die 7 häufigsten Passwort-Sünden

Dass ein Passwort erraten wird, liegt oftmals an der eigenen Bequemlichkeit – aber auch an Halbwahrheiten aus dem Internet, die sich hartnäckig in den Hinterköpfen der Nutzer halten.

Diese Fehler werden immer wieder beobachtet:

1. Ein Passwort für alles

Was analog gilt, sollte auch für die digitale Welt beherzigt werden. Oder würden Sie nur einen Schlüssel verwenden, um Wohnungstüren, Veloschlösser oder den privaten Safe aufzuschliessen? Wird der Schlüssel gestohlen, wäre wohl das gesamte Hab und Gut verloren. Als erstes Gebot für sichere Passwörter gilt deshalb: Für jeden Webdienst ein anderes Kennwort! Mit einem Passwort-Manager müssen Nutzer zudem keine Gedächtniskünstler sein.

2. Zu einfache Passwörter

«Passwort», «12345» oder eine Aneinanderreihung von nebeneinanderliegenden Computertasten (z.B. «qwertz») ist selbst für einen dilettantischen Hacker ein gefundenes Fressen. Auch Begriffe aus Wörterbüchern werden bei einer sogenannten Brute-Force-Attacke schnell geknackt. Dabei testet eine Software verschiedene Zeichenkombinationen durch und beginnt zuerst mit den abgegriffensten Passwort-Varianten. Weil ein solches Hacking-Verfahren Millionen von Möglichkeiten pro Sekunde systematisch abfragt, haben solche einfachen Wörter meistens keine Chance zu bestehen.

3. Zu persönliche Passwörter

Kennwörter, die relativ leicht Rückschlüsse auf die Person erlauben, gelten ebenfalls als wenig sicher. Dazu zählen etwa das Geburts- oder Hochzeitsdatum, der Name des Haustiers oder das erste eigene Automodell. Dies umso mehr, wenn man in den sozialen Medien häufig persönliche Informationen preisgibt. Ein Beispiel: Wenn allgemein bekannt ist, wofür Ihr Herz schlägt, sollten Sie Passwörter wie «IloveStarWars» oder «HoppFCBasel» am besten vermeiden. Hobby-Hacker machen es sich zum Sport, genau solche Fan-Informationen, die öffentlich im Netz vorhanden sind, einzuholen.

Bilden Sie ein Passwort aus den Anfangsbuchstaben eines längeren Merksatzes, der für Sie eine persönliche Bedeutung hat und deshalb gut einprägbar ist.

 

Beobachter-Tipp

4. Grundlos das Passwort wechseln

Die Aufforderung von IT-Abteilungen, die Passwörter regelmässig zu ändern, nützt in den meisten Fällen wenig. Grund dafür ist die menschliche Natur: Wozu sich ein kompliziertes Passwort ausdenken, wenn bald wieder die nächste Änderung ansteht?

Forscher aus Nordamerika haben nachgewiesen, dass Firmenmitarbeiter in der Regel nur ein leicht abgeändertes Passwort verwenden. Aus «Passwort» wird dann einfach «Passw0rt» eine Kombination, die ein Hackerprogramm im Standard-Repertoire beherrscht. Wirklich sinnvoll ist ein Wechsel deshalb erst dann, wenn der Verdacht auf einen Missbrauch gegeben ist.

5. Passwort aufschreiben

Den wohl schwerwiegendsten Fehler begeht ein Nutzer, wenn das Passwort auf ein Post-it geschrieben und am Computerbildschirm oder auf die Rückseite eines Smartphones geklebt wird. Besonders bei Grossraumbüros mit viel Durchgangsverkehr ist dringend davon abzuraten – und auch, falls das Handy abhandenkommen sollte.

Auch eine elektronische Passwortliste auf dem Rechner ist nicht viel besser – es sei denn, man hat das Dokument mit einer genügend starken Verschlüsselung abgelegt.

Mehr zum Thema

Datenschutz im Internet: Digitale Sicherheit für Dummies

Um die eigene Privatsphäre im Internet zu wahren, braucht es nicht nur ein sicheres Passwort. Diese Tipps geleiten Sie sicher durchs Web.

zum Artikel

Datenschutz im Internet

6. Keine Zwei-Faktor-Authentifizierung

Um Geld am Automaten abzuheben, benötigt man eine Karte und die PIN-Nummer. Das erhöht die Sicherheit, weil ein Dieb für einen Zugriff beides braucht. Ein ähnlicher Schutz wird erreicht, wenn ein Webdienst zusätzlich eine Handynummer verlangt. Mit einer SMS, die einen Code mitliefert, kann nur der Besitzer bestätigen, dass er gerade auf ein Konto zugreift – und nicht ein Hacker, der zu einem fremden Passwort gekommen ist. Diese Zwei-Faktor-Authentifizierung (2FA) ist zwar umständlich, doch man sollte sie nutzen, wenn dieser Service schon angeboten wird.

7. Möglichst viele Sonderzeichen verwenden

Ein Kennwort mit vielen Sonderzeichen wie «P@$$w0rt!» ist zwar sicherer als ein normal Geschriebenes – nach neuesten Erkenntnissen aber trotzdem nicht zu empfehlen. Das National Institute of Standards and Technology (NIST), eine US-Behörde, die an Unternehmen und Private Empfehlungen bezüglich aktueller Technologiestandards herausgibt, rät in einem aktuellen Bericht davon ab. Der Grund: Algorithmen von Hackerprogrammen können neben den oben erwähnten Beispielen auch Sonderzeichen durchtesten und bedienen sich anhand gängiger Variationen.

Zudem sind wahllos gesetzte Sonderzeichen auch für den Nutzer meistens zu kompliziert, um sich daran erinnern zu können. Das NIST hält nicht viel von diesbezüglichen Vorgaben. Es bringe für die Sicherheit nicht mehr, wenn Betreiber von Websites mindestens einen Buchstaben, eine Zahl sowie ein Sonderzeichen verlangen. Um einiges besser seien unterschiedliche und möglichst lange Phrasen.

Guider Logo

Merkblatt «Unerwünschte Werbe-E-Mails» bei Guider, dem digitalen Berater des Beobachters

Landet in Ihrem Mail-Postfach immer wieder Werbung? Mitglieder von Guider erfahren im Merkblatt «Unerwünschte Werbe-E-Mails», wie sie Spam schnell erkennen und wie sie präventiv vorgehen können, damit sie solche lästigen Nachrichten erst gar nicht erhalten.

Passwort-Härtetest: Auf die Länge kommt es an

Je länger – je sicherer: Für das NIST wären sogar bis zu 64 Zeichen sinnvoll, um längere Phrasen bilden zu können. Ein Kennwort wie «Fussball» mit acht Zeichen – das absolute Minimum für ein Passwort – knackt ein Programm unmittelbar. Bei «Fussballgott» mit zwölf Zeichen, ist eine Maschine immerhin schon vier Wochen beschäftigt – ein viel grösserer Aufwand, der sich weniger lohnen dürfte.

Doch Vorsicht: Abgedroschene Phrasen oder berühmte Zitate wie «Du kommst hier nicht rein» oder «Sein oder nicht sein, das ist hier die Frage» kennt auch eine halbwegs intelligente Hacking-Software. Auch gleiche Buchstaben, die einfach zu «aaabbbccc» aneinander gereiht werden, sind für Hacker eine leichte Beute.

Passwort-Generatoren und Passwort-Manager

Wem kein gutes Kennwort einfällt, kann online auf Passwort-Generatoren wie passwort-generator.org oder den Kennwortgenerator von Norton Identity Safe zurückgreifen. Diese würfeln zufällig Buchstaben, Zahlen und Sonderzeichen zusammen. Der Nachteil: Solche Passwörter sind schwer zu merken, weil der Nutzer keinen Bezug herstellen kann.

Eine alternative Lösung, ein kompliziertes Passwort zu generieren, sich dieses aber nicht einprägen zu müssen, bietet die App «Safer-Code». Bei dieser Schweizer Erfindung geht es darum, sich auf einer sogenannten Codemap ein Symbol zu merken, das umgeben ist von einzelnen Blöcken mit jeweils zwei Ziffern oder gemischten Zeichen. Der Nutzer muss sich hierzu nur das Symbol und einen Pfad (z. B. in Form eines Hufeisens) darum herum merken, nicht aber das Passwort an sich. Danach speichert man die Codemap ab und vergibt ihr einen Namen für einen Webdienst. Wenn man sich dort einloggt, braucht man nur auf der Codemap nachzusehen und das Passwort abzutippen. Die patentierte App kann im Apple-Store heruntergeladen werden und kostet fünf Franken.

Ebenfalls eine gute Unterstützung, um sich unterschiedliche und längere Passwörter für das Mail-Konto, Amazon, Facebook und die Kreditkartenfirma merken zu können, sind sogenannte Passwort-Manager. Mit Lastpass, Dashlane, 1Password, Enpass oder KeepassX legt man einmalig ein Master-Passwort fest und kann so im verschlüsselten Programm-Modus auf die restlichen Kennwörter zugreifen, ohne diese auswendig zu lernen. Die Anwendung ist in Kombination als Browser-Erweiterung, als Software-Download auf dem Desktop oder über eine mobile App nutzbar und läuft synchron auf mehreren Geräten. Dank moderner Verschlüsselungsmethoden sehen bei den Passwort-Managern selbst zwei identische Kennwörter in chiffrierter Form völlig anders aus, was das Entziffern für Hacker äusserst schwierig macht. Auf diese Weise kann man sich die grösstmögliche Sicherheit schaffen.

Nur die Anfangsbuchstaben als Merkhilfe verwenden

Wer nicht auf die meist kostenpflichtigen Passwort-Manager zurückgreifen möchte, kann andersweitig in die Trickkiste greifen. Als sehr effektiv erweisen sich etwa Passwörter, die nur aus den Anfangsbuchstaben eines Merksatzes bestehen. Aus «Im Winter bauen Tina und Lukas zusammen mit Papa und Mama einen grossen Schneemann» wird «IWbTuLzmPuMegS». Sonderzeichen müssen in diesem Passwort nicht vorkommen, wenn es lang genug ist.

Wie sicher ist mein Passwort?

Wer auf Nummer sicher gehen will, checkt die Stärke des Passworts online um zu erfahren, wie schwer das eigene Kennwort zu knacken ist.

Datenbank-Check: Wurde mein Passwort gehackt?

Das Hasso-Plattner-Institut (HPI) bietet mit dem «Identity Leak Checker» ein Tool zum Abgleich von Identitätsdaten an, die auf missbräuchliche Weise im Internet veröffentlicht wurden. Mit Eingabe der E-Mail-Adresse wird gleichzeitig geprüft, ob weitere Daten wie etwa die Wohnadresse oder Telefonnummern mit einem Leak in Verbindung gebracht wurden.

Das HPI ist eine universitäre Einrichtung in Potsdam, welches sich auf die Lehre in der IT-Systemtechnik spezialisiert hat.

Buchtipp

Tatort Alltag

So schützen Sie sich vor Übergriffen, Trickbetrug, Gewalt und Kriminalität

Mehr Infos

Tatort Alltag
Tatort Alltag