Sie sind aus dem täglichen Umgang mit Computern und dem Internet nicht wegzudenken: Passwörter. Immer mehr Online-Dienste erfordern einen persönlichen Account – gesichert mit einem individuellen Passwort. Auf diese Weise steigt die Zahl der benötigten Passwörter beständig. In den meisten Fällen sichern sie sensible Daten der Nutzer ab. Gleichzeitig steigen die Bedrohungen durch Hacker und Schadsoftware im Internet. Für die Nutzer stellt sich damit die Frage: Wie sicher ist mein Passwort und wie sorge ich für mehr Passwortsicherheit? Wir erklären in diesem Beitrag, was ein sicheres Passwort ausmacht, warum Passwortsicherheit so wichtig ist und wie sich Passwörter am besten handhaben lassen.
Inhaltsverzeichnis
1. Passwortsicherheit verstehen – wie und warum?
1.1 Was macht ein sicheres Passwort aus?
1.2 Zusätzlicher Schutz durch Verschlüsselung und Zwei-Faktor-Authentifizierung
2. Sichere Passwörter erstellen – so geht’s
2.1 Merksatz bilden und in Passwort umwandeln
2.2 Passwortgeneratoren zur Hilfe nehmen
3. Der richtige Umgang mit Passwörtern
4.1 Funktionsweise von Passwortmanagern
4.2 Die Wahl des richtigen Anbieters
4.3 Alternative Methode zur Passwort-Aufbewahrung
Wer sein Haus oder seine Wohnung vor ungebetenen Gästen schützen möchte, sichert die Tür mit einem Schloss ab. Zutritt hat so nur noch, wer einen passenden Schlüssel hat. Besonders wichtige Unterlagen oder wertvolle Dinge kommen zusätzlich in einen Safe. Was der Schlüssel für das Haus ist, ist das Passwort für Computer und Daten: Es schützt vor unbefugtem Zugriff. Dabei gilt: Je wertvoller oder sensibler die Daten sind, desto höher sollte die Passwortstärke sein. Das gilt auch für Daten, auf die zumindest theoretisch besonders viele Menschen zugreifen können, etwa Daten im Internet. Denn meist sind es gar nicht die Daten auf dem eigenen Rechner, auf die es Hacker absehen. Oft sind es die Online-Konten, die zum Ziel von Hackerangriffen werden, um an die Daten der Nutzer zu kommen. Identitätsdiebstahl oder finanzielle Schäden können die Folge sein. Doch was genau macht ein sicheres Passwort aus?
Wer schon einmal die Kombination für ein Zahlenschloss vergessen hat, weiß, dass es nur eine Möglichkeit gibt, das Schloss ohne Gewalt zu öffnen: Es müssen alle Kombinationen durchprobiert werden, bis die passende gefunden ist. Bei einem dreistelligen Zahlenschloss bedeutet das 103, also 1.000 Kombinationsmöglichkeiten von 000 bis 999. Bei einem vierstelligen Zahlenschloss sind es bereits 104, also 10.000 Kombinationsmöglichkeiten. Mit einem Passwort verhält es sich wie mit einem Zahlenschloss. Wer die Zeichenkombination nicht kennt, muss sich durchprobieren. Je mehr Stellen und Zeichen das Passwort hat, desto mehr Kombinationen gibt es und desto größer ist die Passwortstärke. Kommen für jede Stelle des Passworts nicht nur die Ziffern 0 bis 9 infrage, sondern zusätzlich Groß- und Kleinbuchstaben sowie Sonderzeichen und Umlaute infrage, vervielfachen sich die Kombinationsmöglichkeiten immer weiter. Mit zunehmender Komplexität erhöht sich die Passwortstärke weiter – und mit ihr die Passwortsicherheit. Anders ausgedrückt: Je länger das Passwort und je umfangreicher die Auswahl unterschiedlicher Zeichen wie Buchstaben, Zahlen und Sonderzeichen pro Stelle ist, desto höher ist der Aufwand für einen Angreifer, ein Passwort zu knacken.
Noch einmal deutlich sicherer werden Passwörter mit der Zwei-Faktor-Authentifizierung. Zusätzlich zu dem eigentlichen Passwort wird hier ein zweites Sicherheitsniveau ergänzt. Das kann zum Beispiel ein zusätzlicher Code sein, der an eine hinterlegte Telefonnummer gesendet wird. Nur wer das Passwort kennt und gleichzeitig im Besitz des Mobiltelefons zum Empfang des Codes ist, kann auf die geschützten Dateien oder das Gerät zugreifen. Auch ein Fingerabdruck oder ein Sicherheits-USB-Stick kommen als Zweitfaktor infrage. Eine weitere Möglichkeit, um den Passwortschutz zu erhöhen, ist die Verschlüsselung der kompletten Daten. Neben dem Passwort für den Zugriff auf die Daten ist zusätzlich ein Entschlüsselungsverfahren notwendig, um die Daten lesen zu können. So besteht auch noch ein Zugangsschutz, falls ein Passwort kompromittiert, also geknackt, wurde.
Leider verwenden in der täglichen Praxis nach wie vor viele Nutzer sehr unsichere Passwörter. Nach Angaben von Sicherheitsexperten zählen Passwörter wie „123456“ oder „password“ noch immer zu den am weitesten verbreiteten Passwörtern – gleichzeitig sind es die denkbar unsichersten Passwörter. Dabei ist es im Grunde recht einfach, sichere Passwörter zu erstellen.
Anhand der folgenden Kriterien für ein sicheres Passwort können sich Nutzer die Frage „Wie sicher ist mein Passwort?“ selbst beantworten:
Um ein sicheres und zugleich gut zu merkendes Passwort zu erstellen, gibt es einen einfachen Trick. Von einem möglichst zufällig gebildeten, beliebigen Satz werden jeweils die Anfangsbuchstaben der einzelnen Wörter sowie die Satzzeichen verwendet. Der Satz muss keinen Sinn ergeben. Im Gegenteil: Je unsinniger der Merksatz ist und je zufälliger die Wörter aneinandergereiht werden, desto besser.
Das Prinzip lässt sich am besten anhand eines Beispiels verdeutlichen: So wirdaus dem Merksatz „Auf meinem Weg zur Arbeit sehe ich täglich zwei große, grüne Elefanten!“ das Passwort: „AmWzAsitzg,gE!“. Ersetzt man das Zahlwort „zwei“ durch eine Ziffer, wird das Passwort gleich noch sicherer: „AmWzAsit2g,gE!“.
Wichtig: Der Beispielsatz sollte nicht einfach übernommen, sondern durch einen selbst entwickelten Merksatz ersetzt werden.
Eine weitere, sehr komfortable Methode, um sichere Passwörter zu erhalten, sind Passwortgeneratoren. Solche Generatoren erstellen nach dem Zufallsprinzip Passwörter in beliebiger Komplexität und Länge mit den gewünschten Buchstaben, Zahlen und Sonderzeichen. Entsprechende Generatoren gibt es beispielsweise im Internet, auch spezielle Passwortmanager enthalten meist einen integrierten Passwortgenerator.
Eine wichtige Grundregel beim Umgang mit Passwörtern lautet: Jedes Passwort wird nur einmal verwendet. Jeder Account und jedes Benutzerprofil erhält also ein separates Passwort. Wird ein Passwort für viele verschiedene Accounts verwendet, muss ein Hacker nur ein Passwort knacken, um Zugriff auf viele Accounts zu erhalten. Häufig gelangen auch bei Datenpannen von Internetdienstanbietern Nutzerdaten und Passwörter an die Öffentlichkeit und werden so kompromittiert. Wird für jeden Account ein separates Passwort verwendet, bleiben die restlichen Accounts geschützt, falls doch einmal durch eine Datenpanne, ein Datenleck oder einen Angreifer ein Passwort in falsche Hände gerät und kompromittiert wird.
Weitere wichtige Regeln für den Umgang mit Passwörtern lauten:
Lange Zeit galt außerdem die Empfehlung, Passwörter regelmäßig zu ersetzen. Experten und Sicherheitsbehörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfehlen diese Maßnahme inzwischen nicht mehr. Nicht weil sie unsicher ist – im Gegenteil. In der Praxis führt sie jedoch oft dazu, dass durch den häufigen Wechsel einfachere Passwörter genutzt werden, die leichter zu merken sind.
Aus diesen Grundregeln ergibt sich allerdings eine echte Herausforderung: Wer einen Computer und das Internet nutzt, hat meist sehr viele verschiedene Benutzerkonten und Nutzerprofile, etwa für E-Mail-Postfächer, Online-Banking, weitere Bezahldienste, Online-Shops, Social-Media-Accounts und viele mehr. Da kommen schnell einige Passwörter zusammen, die man sich merken muss, wenn jeder Account ein separates Passwort erhält.
Mit den genannten Methoden ist es recht einfach, sichere und zumindest im Falle der „Merksatzmethode“ auch leicht zu merkende Passwörter zu erstellen. Allerdings ist es allein aufgrund der Anzahl der im Alltag benötigten Passwörter kaum möglich, sich alle zu merken. Was in vielen Fällen wieder dazu führt, dass Nutzer für mehrere Benutzerkonten das gleiche Passwort verwenden oder die Passwörter deutlich vereinfachen, wodurch die Passwortstärke sinkt.
Passwortmanager bieten eine komfortable Lösung für dieses Problem. Dabei handelt es sich um Tools, die Passwörter und Zugangsdaten sicher verschlüsselt speichern. Für jeden Account lässt sich ein einzelner Eintrag mit allen relevanten Zugangsinformationen erstellen. Ein integrierter Passwortgenerator unterstützt bei der Erstellung sicherer Passwörter. Auf diese Weise ist es sehr einfach, für jeden genutzten Account ein sicheres, einmaliges Passwort zu generieren und zu speichern.
Die meisten gängigen Passwortmanager lassen sich in das Betriebssystem und den Internetbrowser integrieren. Bei Eingabemasken für Zugangsdaten lassen sich die gespeicherten Zugangsdaten meist mit nur einem Klick automatisch in die Felder einfügen. Werden neue Benutzerkonten angelegt, fragt der Passwortmanager nach, ob die Zugangsdaten für den neuen Account direkt gespeichert werden sollen. Neben Zugangsdaten lassen sich bei den meisten Passwortmanagern viele weitere sensible Daten speichern, etwa die Sozialversicherungsnummer, Steuer-ID oder andere wichtige Daten und Informationen. Der Passwortmanager lässt sich so als umfassender Datensafe verwenden.
Darüber hinaus unterstützt der Passwortmanager auch bei der Verwaltung der Passwörter und prüft diese auf ihre Sicherheit und Einzigartigkeit. Doppelt vergebene Passwörter werden ebenso angezeigt wie besonders unsichere oder sogar kompromittierte Passwörter. Erinnerungsfunktionen unterstützen dabei, Passwörter regelmäßig durch neue, sichere Passwörter zu ersetzen. Auf diese Weise lässt sich die erforderliche Sicherheit der Passwörter komfortabel realisieren. Der Zugriff auf den Passwortmanager ist grundsätzlich durch ein sogenanntes Masterpasswort geschützt. Hier sollte ein besonders starkes Passwort verwendet werden, schließlich sichert es unzählige Zugangsinformationen ab.
Das Angebot für Passwortmanager ist groß. Bekannte Manager sind beispielsweise: LastPass, Dashlane, 1Password, Keepass oder Enpass.
Wichtige Kriterien bei der Auswahl eines Passwortmanagers sind beispielsweise:
Ein weiteres Kriterium bei der Auswahl eines Passwortmanagers ist immer auch die Bedienbarkeit. Nur wenn sich der Passwortmanager gut bedienen lässt, wird er regelmäßig eingesetzt und kann seinen Nutzen entfalten. Wie die meisten Sicherheitsmaßnahmen bietet auch ein Passwortmanager keinen absoluten Schutz. Werden Passwörter durch einen Hackerangriff oder eine Datenpanne bei einem Online-Dienst kompromittiert, hilft auch ein Passwortmanager nicht. Durch eine systematische Verwendung sicherer und vor allem unterschiedlicher Passwörter für einzelne Benutzerkonten hilft der Manager aber dabei, den Schaden im Falle eines Falles zu begrenzen.
Wer kein zusätzliches Tool wie Dashlane, 1Password oder Keepass für Passwörter verwenden möchte oder schlicht nicht so viele Passwörter zu verwalten hat, kann seine Passwörter mit einem Trick auch ganz analog auf Papier sicher festhalten.
Passwörter auf Papier festzuhalten ist nicht so unsicher, wie es auf den ersten Blick vielleicht erscheint. Vorausgesetzt, der Zettel wird an einem sicheren Ort verwahrt. Anders als bei digitalen Daten auf einem Rechner mit Online-Zugang sind Passwortlisten auf Papier nicht Angriffen von Hackern aus aller Welt oder Schadsoftware ausgesetzt.
Mit einem einfachen Trick lässt sich die Sicherheit einer Papierliste dabei deutlich erhöhen. Alle Passwörter werden dafür so gebildet, dass sie aus zwei Teilen bestehen. Der erste Teil ist bei allen Passwörtern gleich und muss auswendig gelernt werden. Er sollte aus sechs bis acht Zeichen bestehen. In der Liste wird dann nur der zweite Teil festgehalten. Gerät die Liste trotz aller Sicherheitsvorkehrungen in falsche Hände, ist sie wertlos, weil sie keine vollständigen Passwörter enthält.