So sehen sichere Passwörter aus

So sehen sichere Passwörter aus

Von Marco Müller

Nein, "Passwort" ist keins. Und "123456" ist auch keins. Ein sicheres Passwort sieht anders aus. Wie es aussehen sollte, und warum Zwei-Faktor-Authentifizierung besser ist, erfahren Sie hier.

Ohne Passwort ist ein Leben in der digitalen Welt kaum vorstellbar. So ziemlich jeder von uns wird mindestens ein Passwort haben – die meisten wohl Dutzende. Egal ob man am Automaten Geld holt, sein Handy einschaltet, seine E-Mails abruft oder beim Online-Händler bestellt – stets muss man zur Authentifizierung ein Passwort eingeben. Es kann aus Buchstaben, Sonderzeichen und/oder Zahlen bestehen.

Während das Passwort beim Geldautomaten oder beim Handy – dort PIN genannt – meist nur aus Zahlen besteht und festgelegt ist, kann man in den meisten anderen Fällen ein Passwort frei wählen. Und dies sollte man sehr sorgfältig tun. Ansonsten haben Kriminelle leichtes Spiel – und der Betroffene ein großes Problem. Hacker könnten die eigene Facebook-Seite feindlich übernehmen und Quatsch posten, irgendwelche Dinge bei Online-Händlern bestellen oder Geld vom Konto überweisen. Wie also sieht ein sicheres Passwort aus?

Die Grundregeln

Schrift: "Passwort: passwort"

"Passwort: passwort" ist keine gute Idee

"Damit ein Passwort sicher ist, sollte es aus mindestens acht Zeichen bestehen und es sollte aus keinem Wort bestehen, das man in einem Wörterbuch – egal in welcher Sprache – finden kann", so der grundsätzliche Tipp von Sabine Petri, Referentin für den Datenschutz in der digitalen Welt bei der Verbraucherzentrale Nordrhein-Westfalen. Es gibt nämlich Hack-Programme, die in sehr kurzer Zeit extrem viele Wörter durchprobieren können. Den Cyber-Kriminellen macht man es schwerer, wenn Passwörter aus Buchstaben, Zahlen und Sonderzeichen zusammengesetzt sind, die man so nie verwenden würde. Noch schwerer macht man es ihnen, wenn man wahllos einige Buchstaben groß und andere klein schreibt.

Stephan Kohzer vom Bundesamt für Sicherheit in der Informationstechnik (BSI)

Stephan Kohzer vom Bundesamt für Sicherheit in der Informationstechnik (BSI)

Wenn man sich ein Passwort zusammenstellt, sollte es keine Namen oder Geburtsdaten beinhalten. Das ist zu offensichtlich. Manch einer verwendet ein Wort, das es gibt und hängt Sonderzeichen oder Zahlen hinten dran. Auch dies ist nicht wirklich gut. Besser: Zahlen, Buchstaben und Sonderzeichen wechseln sich wahllos ab. Stephan Kohzer vom Bundesamt für Sicherheit in der Informationstechnik (BSI) rät allerdings von der Verwendung von Umlauten ab. Wer im Ausland Urlaub macht, der sucht teilweise auf den dortigen Tastaturen "Ä, Ö und Ü" vergeblich und kann sich dann nicht einloggen.

Noch sicherer

Porträt von Dennis Schirrmacher von der Computerzeitschrift c't

Dennis Schirrmacher von der Computerzeitschrift c't

Die Empfehlung, dass ein Passwort mindestens acht Zeichen haben sollte, hat sich durchgesetzt. Aber sicherer geht immer. "Am besten ist, man nimmt ein Passwort, das eine Länge von 13 Zeichen hat", sagt Dennis Schirrmacher von der Computerzeitschrift c’t. Die Länge ist nicht zufällig gewählt, sondern lässt sich genau begründen. "Wenn der Informationsgehalt eines Passworts 80 Bit enthält, gilt es als sicher. Bei 13 Zeichen wären es 85 Bit", so der Computerexperte. Auf der Computertastatur gibt es 95 Zeichen, erklärt Schirrmacher. Jede Stelle beim Passwort hat also 95 potentielle Zeichen. Je mehr Stellen, umso schwerer ist es für ein Hacker-Programm, beim Durchprobieren, auf das richtige Passwort zu stoßen. "Bei 13 Stellen ist es nahezu unmöglich, auf das Passwort zu kommen", erklärt Schirrmacher.

Sicherheit hat ihren Preis

Schriftzug "Passwort vergessen?" auf einer Internetseite

Wer auf "Passwort vergessen?" klickt, bekommt meist eine E-Mail, womit er sich wieder einloggen kann.

Wer nun sein sicheres Passwort gefunden hat, für den gibt es allerdings eine schlechte Nachricht: Ein Passwort reicht nicht. Für jede Anwendung sollte man ein anderes nehmen. Stephan Kohzer vom BSI rät, besonders starke Passwörter bei den E-Mail-Diensten zu verwenden. Der Grund: Wer sein Passwort beispielsweise bei einem Online-Händler vergessen hat, kann in der Regel auf den Punkt "Passwort vergessen?" klicken und bekommt dann ein neues an die angegebene E-Mail-Adresse geschickt. Wenn nun jemand Zugriff auf den E-Mail-Account hat, kann er sich über diesen Trick die Passwörter zu den Online-Shops besorgen und dort fleißig auf Rechnung des Mailkonto-Inhabers einkaufen.  

Passwörter merken – aber wie?

Porträt von Sabine Petri von der Verbraucherzentrale NRW

Sabine Petri von der Verbraucherzentrale NRW

Wer sich lange, kryptische Passwörter ausdenkt – für jeden Anbieter ein anderes –, der steht vor einem großen Problem: Wie soll man sich das alles merken? Dafür gibt es diverse Möglichkeiten. Verbraucherschützerin Sabine Petri gibt den Tipp, sich beispielsweise aus Gedichten, Geschichten oder Liedern einen Satz herauszupicken und jeweils die Anfangsbuchstaben der einzelnen Worte des Satzes als Passwort zu nehmen – inklusive Groß- und Kleinschreibung und inklusive Kommata.

Stephan Kohzer vom BSI rät ebenfalls zu Merksätzen. Dort könne man beispielsweise zur zusätzlichen Sicherheit ein "E" als "3" oder ein "I" als "1" schreiben. Zudem verweisen alle Experten auf sogenannte Passwortmanager. Das sind Programme, die man sich im Internet herunterladen kann. Dort kann man alle Passwörter eingeben und den Zugriff darauf wiederum mittels eines – möglichst sicheren – Passworts sichern. Im Internet gibt es sowohl kostenpflichtige als auch kostenlose Passwortmanager.

Ansonsten hat Computer-Experte Dennis Schirrmacher noch einen analogen Tipp: Alle Passwörter auf einem Stück Papier notieren und das am besten nicht direkt neben den Computer legen.

Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung ist sicherer als ein Passwort allein. Denn hier erfolgt der Zugang über zwei Faktoren. Stephan Kohzer vom BSI erklärt die Funktionsweise so: "Man braucht immer zum einen Wissen und zum anderen Besitz." Das Wissen ist das Passwort. Der Besitz kann ein Handy, ein Token, eine Chipkarte oder ähnliches sein. So gibt man bei einem Anbieter das Passwort (Wissen) ein und erhält dann beispielsweise einen Code auf das eigene Handy (Besitz). Erst wenn man diesen Code noch eingibt, erhält man Zugang.

Viele große Player im Netz wie Amazon, Paypal und Apple haben die Zwei-Faktor-Authentifizierung im Programm. "Leider wird darauf zu wenig hingewiesen", sagt Kohzer. Wer die Zwei-Faktor-Authentifizierung nutzen möchte, muss also selber aktiv werden. Am besten bei dem jeweiligen Anbieter in den Einstellungen im Unterpunkt "Sicherheit" oder "Sicherheitseinstellungen" danach schauen oder im Zweifelsfall bei dem jeweiligen Unternehmen direkt nach der Zwei-Faktor-Authentifizierung fragen.

Stand: 15.12.2016, 12:03