Direkt zum Inhalt
online seit 11.09.2020

Sichere Passwörter schützen vor Verlust und Missbrauch

Sichere Passwörter schützen nicht nur private Informationen vor Fremden. Sie schützen vor allem vor finanziellem Schaden und Identitätsmissbrauch. Daher ist auf die Passwort-Sicherheit besonderen Wert zu legen.

Passwörter sind wie der Schlüssel zum eigenen Haus oder der eigenen Wohnung. Wer den Schlüssel hat, hat freien Zutritt in meine ganz privaten Räume und kann anschauen und mitnehmen, was beliebt.

Im Internet ist die private E-Mail-Adresse einer der privatesten Räume. Zwar findet die Kommunikation inzwischen nur noch selten per E-Mail statt, Vieles läuft aber noch immer im E-Mail-Postfach zusammen. Hier sind Informationen zu gebuchten Reisen ebenso zu finden, wie getätigte Online-Einkäufe und Rechnungen für Internet, Handy, Strom, usw. Wer Zutritt zum E-Mail-Postfach hat, kann also herausfinden, was man alles nutzt und kann sich oft sogar Zutritt dazu verschaffen. Die E-Mail-Adresse ist nämlich meistens der Weg, über den sich Passwörter zurücksetzen lassen. Haben Kriminelle erst einmal Zutritt zu meinen Online-Konten, nutzen sie diese, um z.B. in meinem Namen und auf meine Kosten einzukaufen oder in meinem Namen betrügerische Nachrichten zu versenden.

Beim Schutz der eigenen Nutzerkonten im Internet geht es also nicht allein darum, Privates vor Fremden zu verbergen, es geht vor allem darum, finanziellen Schaden und Identitätsmissbrauch zu verhindern. Ein wichtiger Baustein ist dabei ein sicheres Passwort.

Zum Thema „Sicheres Passwort“ gibt es zahlreiche Tipps, doch welche davon sind sinnvoll?

  • Lange Passwörter verwenden
  • Passwörter nicht mehrfach verwenden
  • Passwörter regelmäßig ändern
  • Passwortgenerator verwenden
  • Ziffern, Sonderzeichen und Groß- und Kleinbuchstaben verwenden
  • Passwörter nicht notieren
  • 2-Faktor-Authentifizierung verwenden

Lange Passwörter verwenden


„Je länger, desto besser“ ist eine der wichtigsten Passwort-Regeln. Ein Passwort mit 8 Zeichen, dass mit einer weit verbreiteten Verschlüsselungsmethode in der Datenbank eines Nutzerkontos gespeichert ist, lässt sich derzeit in 6 Minuten errechnen. Für ein Passwort mit 10 Zeichen sind es aktuell 5 Wochen. Gelangt eine solche Datenbank in die Hände von Kriminellen, können sie die Nutzerkonten, die mit einem kurzen Passwort geschützt sind, also leicht übernehmen, bei einem langen Passwort ist es kaum möglich. Mit einem 16 Zeichen langen Passwort ist man derzeit gut gesichert.

Passwörter nicht mehrfach verwenden


Haben Kriminelle Zugriff auf die Zugangsdaten einer Internetseite, probieren sie aus, bei welchen anderen Internetseiten die Zugangsdaten auch funktionieren. Verwendet man dasselbe Passwort also für mehrere Nutzerkonten, ist es sehr wahrscheinlich, dass alle Konten übernommen werden. Daher ist es sinnvoll, jedes Passwort nur einmal zu verwenden.

Passwörter regelmäßig ändern


Durch das regelmäßige Ändern von Passwörtern werden alte Passwörter, die in die Hände von Kriminellen gelangen, wertlos. Müssen Passwörter zu oft geändert werden, besteht allerdings die Gefahr, dass die Passwortsicherheit darunter leidet. Aus „Instagram1238“ wird dann oft „Instagram1239“. Solche neuen Passwörter lassen sich leicht erraten. Passwörter müssen immer dann geändert werden, wenn ein Datenhack einer Seite bekannt wird. Ansonsten ist es nicht notwendig, ein sicheres Passwort regelmäßig zu ändern.

Bei Diensten wie Have i been pwned (https://haveibeenpwned.com) oder den HPI Identity Leak Checker (https://sec.hpi.de/ilc/search) lässt sich überprüfen, von welchen Seiten Datenhacks bekannt sind.

Passwortgenerator verwenden


Selbst ausgedachte Passwörter lassen sich viel einfacher knacken, als maschinell generierte. Dabei ist es egal, wie komplex das selbst erdachte Passwort ist. (Mehr dazu: https://www.spiegel.de/netzwelt/web/passwoerter-warum-selbst-ausgedachte-kennwoerter-oft-unsicher-sind-a-1282751.html)

Zur Erstellung von sicheren Passwörtern sollten unbedingt Passwortgeneratoren verwendet werden. Passwortgeneratoren wie der der Uni Münster (https://www.uni-muenster.de/IT-Sicherheit/passwortgenerator.html), oder von Passwortsafes wie z.B. LastPass (https://www.lastpass.com/de/password-generator) oder 1Password (https://1password.com/de/password-generator/) gelten als sicher. Generell muss aber darauf geachtet werden, wer den Passwortgenerator anbietet: Die erstellten Passwörter könnten nämlich heimlich gespeichert werden.

Ziffern, Sonderzeichen und Groß- und Kleinbuchstaben verwenden


Je komplizierter ein Passwort ist, desto schwieriger ist es zu erraten. Groß- und Kleinbuchstaben und Ziffern sind daher ein Muss für ein sicheres Passwort. Sonderzeichen sollten auch verwendet werden, sind aber nicht überall zulässig.

Passwörter nicht notieren


Wer alle bisher genannten Tipps für ein sicheres Passwort berücksichtigt, wird sich kein einziges Passwort merken können. Sichere Passwörter kann man sich nicht merken!

Daher ist es notwendig, Passwörter zu notieren. Eine handgeschriebene Liste, die zu Hause an einem sicheren Ort verwahrt wird, ist zwar ziemlich sicher, aber unpraktisch: Ein zufällig generiertes 16 Zeichen langes Passwort lässt sich schwer abtippen. Einfacher wäre es, die Passwörter aus einem Textdokument zu kopieren, dass am Computer gespeichert ist. Das ist allerdings extrem unsicher und absolut nicht empfehlenswert.

Die derzeit sicherste und gleichzeitig komfortabelste Variante sind Passwort-Safes wie zum Beispiel: Keepass (https://keepass.info/), LastPass (https://www.lastpass.com/de) oder 1Password (https://1password.com/de/). In Passwort-Safes werden Passwörter verschlüsselt gespeichert. Die benötigten Passwörter müssen entweder herauskopiert werden, oder werden von einem Browser-Plugin automatisch ausgefüllt. In der Basis-Version sind die Programme meist kostenlos, weitere Funktionen, wie z.B. die Nutzung auf Smartphones, kosten ein paar Euro im Monat. Zur Verwaltung von Passwörtern sind Passwort-Safes derzeit die sicherste und empfehlenswerteste Möglichkeit.

Zwei-Faktor-Authentifizierung


Die Zwei-Faktor-Authentifizierung (auch: Zwei-Schritte- oder Zwei-Wege-Authentifizierung) ist eine zusätzliche Sicherheitsmaßnahme zum Schutz von Benutzerkonten: Zusätzlich zum Passwort muss beim Login eine weitere Sicherheitskomponente eingeben werden, z. B. ein PIN-Code. Dieser Code wird etwa auf die im Nutzerkonto hinterlegte Handynummer gesendet oder es kommt ein Code-Generator zum Einsatz (z. B. Microsoft Authenticator). Selbst wenn Passwörter in die falschen Hände gelangen, haben Unbefugte auf diese Weise keinen Zugriff auf das Benutzerkonto.

Ein sicheres Passwort…

… ist also mindestens 16 Zeichen lang, wird nur für ein Nutzerkonto verwendet, wurde mit einem sicheren Passwortgenerator erstellt, enthält Groß- und Kleinbuchstaben, Ziffern und nach Möglichkeit auch Sonderzeichen, wird in einem Passwortsafe gespeichert und ab und zu geändert.

Darüber hinaus gibt es Passwort-Strategien, die Passwörter zwar weniger sicher machen, dafür kann man sie sich merken:

  • "4-Wörter-Methode":
    Aus vier zufälligen Wörtern wird ein komplexes und sehr langes Passwort zusammengesetzt und durch ein Sonderzeichen getrennt. Zum Beispiel "Babybrei$Einhorn$Thomas$Semmel". Dadurch entsteht ein sehr langes zufälliges Passwort, das recht einfach zu merken ist.
  • Zeichen schlagen Wörter:
    Die Sonderzeichen können auch mit Zahlen ergänzt werden. Zum Beispiel "Babybrei&Einhorn2Thomas%Semmel1!".
Link kopiert