Überall im Internet benötigt man Passwörter: Für den Webmailer, das Online-Banking, den Facebook-Account – ohne Eingabe von Benutzernamen und Passwort geht gar nichts. Die Notwendigkeit, ständig neue Passwörter für irgendwelche Accounts zu vergeben, führt häufig dazu, dass man auf die Schnelle „irgendetwas“ als Passwort wählt. Das jedoch ist nicht selten ziemlich unsicher.
Was sollte man beim Anlegen sicherer Passwörter vermeiden?
Die Versuchung ist natürlich groß, Begriffe als Passwörter zu verwenden, die man sich leicht merken kann: Der eigene Name oder jener von Lebenspartner oder Haustier, Geburtsdaten von Freunden usw. So etwas ist natürlich leicht zu erraten, insbesondere, da solche persönlichen Daten ja auch in allerlei Profilen in Communities und Social Networks für jedermann zugänglich sind.
Ein weiterer Trick ist, zufällige Begriffe zu wählen, seien es Wörter, die man von seinem Arbeitsplatz am Computer aus gerade irgendwo sieht („Intel“, „nvidia“ oder gar „strg“) oder scheinbar schwer zu erratende, zufällige Wörter, z.B. aus einer Fremdsprache. Ein Hacker wird damit rechnen und die Passwortabfrage mit Hilfe eines automatisierten Programmes mit Wörtern und Kombinationen aus zu diesem Zweck erstellten Wörterbüchern bombardieren. Bei mehreren Dutzend Kombinationen pro Sekunde stehen die Chancen gar nicht schlecht, auf diese Weise ein Passwort zu „erraten“.
Wie macht man ein Passwort sicher?
Richtig sicher sind also nur Zeichenketten, bei denen das automatisierte Abprüfen sehr lange dauern würde. Die Lottozahlen sind ein schönes Beispiel: Bekanntlich ist die Chance, die „richtigen“ Lottozahlen (6 Stellen + Superzahl) zu erraten, ungefähr 1 zu 140 Millionen. Allerdings hat man beim Lotto auch nur jede Woche einen Versuch. Beim Einloggen können es hingegen mehrere Versuche pro Sekunde sein.
Ein Passwort, das aus nur sieben Stellen und nur aus Ziffern von 0 bis 9 besteht, wäre daher nicht sehr sicher. Es gibt zwei Möglichkeiten, die Sicherheit zu erhöhen. Zum einen die Länge des Passworts: Aus mindestens acht Zeichen sollte es schon bestehen, wobei jedes Zeichen mehr einen Zuwachs an Sicherheit bedeutet. Der zweite Faktor sind die Zeichen, aus denen das Passwort besteht. Neben den zehn Ziffern empfehlen sich mindestens noch Groß- und Kleinbuchstaben. Richtig sicher wird ein Passwort aber erst, wenn es auch Sonderzeichen enthält: Äs und Ös, gelegentlich ein scharfes s oder ein Doppelpunkt erhöhen die Sicherheit. Und idealerweise sollte keine Zeichenfolge innerhalb des Passworts ein Name oder ein Wort irgendeiner Sprache sein. Ein praktisches Hilfsmittel, um wirklich zufällige Passwörter zu generieren, ist der Passwort Generator von pentagraphix.de.
Für jede Webseite ein eigenes Passwort?
Bei der Vielzahl an Webseiten, bei denen man sich im Laufe der Zeit anmeldet, fällt es schwer, sich für jede einzelne Webseite ein eigenes Passwort zu merken. Dennoch ist nur dies wirklich sicher. Denn nicht selten kann der Administrator jeder einzelnen Webseite das Passwort Ihres Accounts im Klartext sehen. Ist Ihr Passwort nun überall im Internet gleich, genügt zudem eine Sicherheitslücke auf einer einzigen Webseite, um Ihre Zugangsdaten weltweit zu verbreiten.
Eine Behelfslösung kann es sein, die besuchten Webseites in „Sicherheitsstufen“ einzuteilen und lediglich pro Sicherheitsstufe ein eigenes Passwort zu vergeben. Es kann dann dasselbe Passwort für den Twitter-Account und das eigene Blog verwendet werden, allerdings ein anderes für den Amazon-Account, wo ja immerhin auch Kontodaten hinterlegt sind. Zumindest für das Online-Banking sollte man allerdings für jedes Konto ein unterschiedliches Passwort wählen. Sonst ist im Fall des Falles nicht nur das Girokonto bei Bank A, sondern auch das Festgeldkonto bei Bank B und das Aktiendepot bei C leergeräumt.
Passwörter sicher aufbewahren
Da stellt sich nur noch die Frage, wie man sich all die Passwörter merken soll? Idealerweise schafft man es tatsächlich, alle unterschiedlichen Passwörter im Kopf zu behalten, so dass man sie nirgendwo notieren muss. Eine schlechte Idee ist es hingegen, die Passwörter in ungeschützen Text- oder Exceldateien, im Passwortmanager des Browsers oder gar irgendwo online zu speichern. Ebenso ungeeignet ist ein Blatt Papier, das man dann ständig bei sich trägt. Der Ärger ist hier insbesondere dann groß, wenn solche Aufbewahrungsmöglichkeiten verloren gehen: Dann gilt es nämlich, alle Passwörter zu ändern, was oft stundenlange Arbeit bedeuten dürfte. Eine halbwegs praktikable Lösung dürfte es sein, die Passwörter verschlüsselt (!) z.B. auf einem USB-Stick zu speichern. Das eine Passwort, welches die Daten entschlüsselt, muss man sich dann allerdings merken. Und natürlich empfiehlt es sich, eine sichere Verschlüsselung zu wählen. Das allerdings, ist wieder ein anderes Thema.