Im Zeitalter des Internets sind wir alle dazu gezwungen, uns an zahlreiche Online-Dienste anzumelden und uns mithilfe von Benutzernamen und Passwörtern zu authentifizieren. Da diese Passwörter jedoch oft gestohlen oder gehackt werden, ist es wichtig, dass wir sichere Passwörter verwenden, um unsere Online-Konten und persönlichen Informationen zu schützen.

Was sind unsichere Passwörter?

Ein unsicheres Passwort ist ein Passwort, das leicht zu erraten oder zu erkennen ist und daher für Hacker oder andere böswillige Personen ein leichtes Ziel darstellt, um in einen Account einzudringen. Es gibt einige Faktoren, die dazu beitragen, dass ein Passwort unsicher ist.

Ein häufiger Fehler bei der Erstellung von Passwörtern ist die Verwendung von einfachen Wörtern oder Namen, die leicht zu erraten sind. Dazu gehören beispielsweise "password", "123456" oder der eigene Name. Solche Passwörter sind leicht zu erraten und daher für Hacker ein leichtes Ziel.

Ein weiterer Faktor, der dazu beitragen kann, dass ein Passwort unsicher ist, ist die Verwendung von wenig diversen Zeichen. Passwörter, die nur aus Buchstaben oder nur aus Zahlen bestehen, sind weniger sicher als solche, die aus einer Kombination von Buchstaben, Zahlen und Sonderzeichen bestehen. Auch die Verwendung von zu kurzen Passwörtern kann dazu beitragen, dass sie leicht zu erraten sind.

Ein sicheres Passwort sollte möglichst lang sein und aus einer Kombination von Buchstaben, Zahlen und Sonderzeichen bestehen. Es sollte nicht ein einfaches Wort sein, das in einem Wörterbuch gefunden werden könnte, sondern vielmehr eine zufällige Kombination von Zeichen, die schwer zu erraten ist. Es ist auch wichtig, dass wir für jedes Online-Konto ein einzigartiges Passwort verwenden, damit ein gehacktes Passwort nicht für mehrere Konten verwendet werden kann.

Ein sicheres Passwort ist also vom Aufbau her zufallsgeneriert und enthält keine Namen, Wörter oder Reihenfolgen. Es darf an niemanden weitergegeben und nirgendwo im Klartext gespeichert werden. Wenn du dir das Passwort selbst nicht merken kannst, ist es I der Regel sicher genug. Mehr dazu später.

Wie lang sollte ein Passwort sein?

Die Länge eines Passworts spielt eine große Rolle, kombiniert mit der Komplexität. Desto länger, desto mehr Möglichkeiten an Passwort-Kombinationen gibt es, und desto länger dauert somit das Knacken. Jedoch ist ein langes Passwort, welches nur aus Wörtern aus dem Wörterbuch bestehen, nicht automatisch sicher. Sicherer wäre in diesem Falle sogar ein kürzeres, zufallsgeneriertes Passwort mit Sonderzeichen.

Stellen wir uns vor, ein Passwort-Generator verwendet 60 unterschiedliche Zeichen zum Generieren eines Passworts. Bei einer Zeichenlänge von 8 ergibt sich somit eine Möglichkeit von 8⁶⁰ unterschiedlichen Passwörtern. Bei 9 Zeichen sind es sogar 9⁶⁰ – Das sind 60 Mal so viele Möglichkeiten.

Gehen wir davon aus, ein 8-stelliges Passwort lässt sich mit einer Brute-Force-Attacke innerhalb 24 Stunden knacken. Ein 9-stelliges somit bereits in 1.440 Stunden, also 60 Tagen (24 ⋅ 60¹ ). Bei 10 Stellen wären es geradezu ≈49 Monate (10 ⋅ 60² ) und bei 11 Zeichen ≈247 Jahre (10 ⋅ 60³ ). Diese Art von Vervielfachung nennt man exponentielles Wachstum. Die Länge des Passworts spielt also eine enorm wichtige Rolle.

Es kommt auch darauf an, für welchen Anwendungszweck das Passwort verwendet wird. Ein sicheres Passwort für Online-Dienste ist mindestens 10 Zeichen lang. Schützt das Passwort wichtige Dokumente, Backups, verschlüsselte Daten oder kommt im Server-Bereich zum Einsatz, sollte das Passwort mindestens 15 Zeichen lang sein.

Dabei sollte man Reihenfolgen von Zahlen und Buchstaben vermeiden und möglichst viele unterschiedliche Zeichen verwenden. Ein sicheres Passwort muss unbedingt mindestens ein Sonderzeichen (!*#;-%_&></) enthalten, welche das Knacken noch um ein vielfaches erschwert. Hierbei sollte man aber auch bedenken, dass man das Passwort eventuell einmal auf einer englischen Tastatur eingeben muss, und die Sonderzeichen dort anders belegt sind.

Wie erstelle ich mir ein Passwort, welches ich mir merken kann?

Zwei Methoden, sich ein sicheres, aber auch merkbares Passwort zu erstellen, will ich hier einmal vorstellen.

Erster Buchstabe jedes Wortes eines Satzes

Eine weit verbreitete Möglichkeit sich ein Passwort zu generieren, welches man sich zudem auch noch merken kann, ist es, sich einen langen Satz zu merken und von jedem Wort immer den ersten Buchstaben zu verwenden. Beispiel:

In diesem Beitrag zeige ich euch, wie ihr euch ein sicheres Passwort erstellt.

Nimmt man nun jeden ersten Buchstaben des Satzes, erhält man folgendes Passwort:

IdBzie,wieesPe

Dieses Passwort ist jetzt schon 14 Zeichen lang und hat bereits ein Sonderzeichen. Dennoch sollte man ein weiteres Muster an Sonderzeichen an den Anfang oder das Ende packen. Das sichere Passwort lautet nun also:

#!IdBzie,wieesPe

Da man dasselbe Passwort nicht überall verwenden sollte, wird jetzt noch für jeden Dienst ein Kennzeichen an das Ende hinzugefügt. Wird das Kennwort für den Google-Account verwendet, könnte man das Passwort so aussehen lassen:

#!IdBzie,wieesPe_G

Ein Unterstrich und der Anfangsbuchstabe des Dienstes. Nach einigen Eingaben hat man das Passwort-Muster dann auch in Erinnerung.

Beim Eingeben muss man somit jetzt nur noch an die Sonderzeichen-Kette (#!) am Anfang, den Satz und an das Format für die Dienste (_ + Anfangsbuchstabe Dienstname) denken. Es würde laut Online Passwort-Checker 170 Billiarden Jahren dauern, das Passwort zu knacken.

PasswordCard

Eine sogenannte Passwort Karte kann man bei passwordcard.org generieren lassen. Man erhält eine Karte im Kreditkartenformat, welche man sich ins Portemonnaie legen kann.

Auf der Karte befinden sich in der ersten Zeile Symbole und in der linken Spalte von oben nach unten Zahlen. Du musst dir lediglich eine Kombination aus Symbol und Zahl merken und dann das Passwort ab dem Buchstaben, wo sich die Kombination trifft, eingeben. Nachteil ist hier, dass überall dasselbe Passwort verwendet wird. Es sei denn, du merkst dir unterschiedliche Symbol-Zahl-Kombinationen.

Passwort Generator

Alternativ kann man sich auch ein sicheres Passwort mit einem Passwort Generator generieren lassen, welches dann aus zufälligen Zeichen besteht. Diese Passwörter lassen sich nicht merken, können aber in beispielsweise einem Passwort-Tresor hinterlegt werden. Dazu komme ich gleich noch.

Woher weiß ich, ob mein Passwort sicher genug ist?

Es gibt vertrauenswürdige Webseiten wie z. B. checkdeinpasswort.de, wo man prüfen lassen kann, wie lange ein Knacken des Passworts ungefähr dauern würde. Keine Sorge, die Seite speichert die eingegebenen Passwörter nicht.

Auch eine interessante Seite ist der Datenleak-Check vom Hasso-Plattner-Institut. Nachdem du dort deine E-Mail-Adresse eingetragen hast, bekommst du nach kurzer Zeit eine E-Mail mit dem Ergebnis, ob deine Daten bereits durch einen Cyberangriff im Internet offengelegt wurden und missbraucht werden könnten.

Wo speichere ich meine Kennwörter?

Browser und Anwendungen bieten oftmals an, das Passwort speichern zu lassen. Doch das empfehle ich nicht, wenn es bei dem Login um wichtige Daten geht. Denn sobald ein Angreifer einmal Zugriff auf den Browser oder die Anwendung hat, hat er auch Zugriff auf alle dort gespeicherten Kennwörter.

Viel sicherer ist es, die Passwörter in einem Passwort-Manager zu speichern. In einem Passwort-Manager werden alle hinterlegten Passwörter sicher gespeichert und mit einem Master-Passwort geschützt. Nur mit diesem lässt sich der Manager öffnen und die Passwörter und Zugangsdaten auslesen.

Hierbei empfehle ich KeePass, welches eine kostenlose Open-Source Software ist. In dem Programm kann man Passwörter, Notizen und auch Dateien speichern. Es bietet einige nützliche Funktionen, wie beispielsweise den integrierten Passwort-Generator oder das automatische Eintippen der Anmeldedaten.

Ein weiterer Vorteil eines Passwort-Managers ist, dass man sich nur noch das Passwort vom Passwortmanager merken muss. Die Passwörter der Dienste können somit viel länger und komplexer sein und sind dadurch noch wesentlich sicherer.

Passwörter sicher aufbewahren und verwalten im Passwortmanager [KeePass Tutorial]

Woher weiß ich, ob ich Opfer eines Datenleaks wurde?

Ob deine Daten durch einen Hack kompromittiert wurden, lässt sich ganz einfach mithilfe der Website haveibeenpwned.com herausfinden. Hier trägst du deine E-Mail-Adresse oder Handynummer ein und erfährst, ob Zugangsdaten von dir gestohlen wurden.

2-Faktor-Authentifizierung verwenden

Ein weiterer Punkt zum Thema sicheres Passwort ist die Verwendung von der Zwei-Faktor-Authentifizierung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt ausdrücklich die Verwendung einer Zwei-Faktor-Authentisierung.

Eine Zwei-Faktor-Authentifizierung dient dazu, einen Account doppelt abzusichern. Während beim normalen Login nur der Faktor Passwort, welches man kennt, notwendig ist, wird mit 2FA noch ein weiterer Faktor abgefragt, welchen keiner kennt und welcher sich stetig ändert – üblicherweise ein 6-stelliger zeitbasierter Code, das so genannte TOTP (Time-based One-time Password) oder OTP (One-Time-Password). Dieser Code wird per App oder Hardware-Gerät generiert.

Für die Verwendung von 2FA kann entweder ein Hardware-Gerät, oder noch einfacher, eine App für das Smartphone verwendet werden. In der jeweiligen App werden die Codes dann anhand der Schlüssel, welche man per QR-Code scannt, generiert. Hierbei empfehle ich die Apps 2FAS und Google Authenticator – Wobei 2FAS wesentlich umfangreicher ist und unter anderem eine Backup-Funktion beinhaltet.

Wer auf Nummer sicher gehen will und auf Hardware setzen möchte, dem kann ich den REINER SCT Authenticator für ca. 60 € empfehlen.

Nach dem Login erfolgt somit noch eine weitere Abfrage mit dem 6-stelligen Code, welcher jede 30 Sekunden neu generiert wird. Nur mit diesem Code lässt sich der Login abschließen.