Praxis & Tipps | FAQ

Ronald Eikenberg

Passwörter

Antworten auf die häufigsten Fragen

Lang und kompliziert

Ich habe gehört, dass ein Passwort möglichst lang und kompliziert sein muss, damit es sicher ist. Wie viel Aufwand muss ich betreiben?

„Sicher“ bedeutet bei Passwörtern, dass sich ein Angreifer lange die Zähne daran ausbeißen muss, wenn er es knacken will – und zwar so lange, dass sich der Aufwand nicht mehr lohnt. Um es dem Passwortknacker so schwer wie möglich zu machen, sollten Sie zunächst beachten, dass ein gutes Passwort nicht auf einem Begriff aus dem Wörterbuch beruhen darf, denn diese werden zuerst ausprobiert. Hat der potenzielle Einbrecher damit keinen Erfolg, wird er systematisch Zeichenketten durchprobieren, bis er einen Treffer gelandet hat (Brute Force).

Daher sollten Sie versuchen, die Zahl der Kombinationsmöglichkeiten in die Höhe zu treiben. So gibt es etwa bei einem sechstelligen Passwort, das nur aus Kleinbuchstaben besteht, 300 Millionen Möglichkeiten – das ist weniger, als es aussieht. Gelingt es einem Angreifer zum Beispiel, die Prüfsumme des Passworts, den sogenannten Hash, aus der Datenbank eines Onlineshops zu stehlen, hat er die 300 Millionen mit der Rechenleistung einer modernen Grafikkarte in nicht mal einer Sekunde durch und somit auch garantiert das dazugehörige Klartext-Passwort.

Die Anzahl der Kombinationsmöglichkeiten erhöht man zum einen durch die Passwortlänge und zum anderen durch den Zeichenraum. Bei einem zehnstelligen Passwort würde das Durchprobieren aller 140 Billionen Möglichkeiten schon zwei Tage dauern, was freilich immer noch zu wenig ist. Wenn sich jedoch wenigstens jeweils ein Großbuchstabe und eine Zahl in dem Passwort befinden, gibt es 800 Billiarden Möglichkeiten, die ein Passwortknacker erst in 34 Jahren komplett durchprobiert hat. Statistisch gesehen muss er die Hälfte davon testen, um an das Passwort zu kommen. Noch länger dauert es, wenn es Sonderzeichen enthält.

Unsichere PIN

Bei meiner Bank kann ich nur eine vierstellige PIN als Passwort wählen. Ist das überhaupt sicher?

Ja, – vorausgesetzt, die Bank hat die Sicherheit ihrer Webseite im Griff. Bei einer vierstelligen PIN gibt es zwar nur 10 000 Möglichkeiten, ein Angreifer kann davon in der Regel aber nur sehr wenige ausprobieren, ehe das Konto gesperrt wird. Er muss schon großes Glück haben, die PIN mit den oftmals nur drei möglichen Versuchen zu treffen. Vermeiden Sie es, eine PIN zu wählen, die man nur allzu leicht erraten kann. Daten wie etwa den Geburts- oder Hochzeitstag finden sich häufig bei Facebook.

Schutz durch sicheres Passwort

Schützt mich ein sicheres Passwort in jedem Fall vor Hackern?

Nein, es schützt Sie nur davor, dass es ein Passwortknacker allzu schnell durch Ausprobieren herausfindet. Im Fall einer Trojanerinfektion (siehe andere Fragen) hilft das beste Passwort natürlich nichts, weil der Angreifer hier gar nichts mehr ausprobieren muss. Auch vor Phishing schützen gute Passwörter nicht, weil sie das Passwort über das gefälschte Formular im Klartext direkt an den Cyber-Gauner schicken.

Passwort-Variationen

Wie vermeide ich, dass ein Hacker, der in eine Seite einsteigt, bei der ich angemeldet bin, mit dem dort erbeuteten Passwort auch all meine anderen Accounts übernimmt? Es ist mir zu lästig, mir bei jeder Registrierung ein neues Passwort zu überlegen.

Mit einem einfachen System können Sie für jeden Dienst ein anderes Passwort nutzen, ohne sich dieses jedes Mal ausdenken und aufschreiben zu müssen: Denken Sie sich einmalig ein ausreichend langes Grundpasswort aus, das Sie bei jeder Registrierung variieren. Eine gute Möglichkeit ist das Ableiten aus Sätzen: Nehmen Sie etwa die erste Strophe aus Ihrem Lieblingssong und hängen Sie die Anfangsbuchstaben der einzelnen Wörter aneinander. Aus „Hast Du etwas Zeit für mich, dann singe ich ein Lied für Dich“ wird also HDeZfm,dsieLfD.

Dieses Grundpasswort variieren Sie bei jeder Registrierung; etwa, indem Sie den ersten und letzten Buchstaben der Domain des Dienstes nehmen, bei dem Sie sich ein Benutzerkonto erstellen wollen. Bei eBay.de wird aus HDeZfm,dsieLfD und ee also HDeZfm,dsieLfDee. Zu guter Letzt hängen Sie noch eine Zahl wie ein Geburtsjahr an: HDeZfm,dsieLfDee80. Fertig ist ein sicheres Passwort, das nur ein Dienst kennt und trotzdem leicht zu rekonstruieren ist. Sie sollten das hier vorgestellte System natürlich etwas abwandeln.

Wenn Ihnen das zu kompliziert ist, sollten Sie die von Ihnen genutzten Dienste zumindest grob in drei Kategorien einteilen, die sich danach richten, wie sehr Sie dem Anbieter vertrauen. Für jede Kategorie nutzen Sie dann ein anderes Passwort. So könnten zum Beispiel eBay und PayPal in eine Kategorie fallen, weil es hier ums Geld geht. In die zweite, allgemeine Kategorie könnten Facebook, Twitter und Co. fallen und in die dritte Dienste, an deren Sicherheit man durchaus zweifeln kann, etwa Online-Shops oder Foren.

Passwortmanager

Sind Passwortmanager ein sicherer Speicherort für meine Daten?

Passwortmanager schützen Ihre Passwörter zwar vor Personen, die direkten Zugriff auf Ihren Rechner haben. Für Trojaner sind sie hingegen ein gefundenes Fressen. Schadprogramme sind längst darauf spezialisiert, die verschlüsselten Passwortdatenbanken der Merkhilfen einzusammeln. Das zum Entschlüsseln nötige Masterpasswort können sie abgreifen, wenn es der Nutzer des infizierten Systems eintippt.

Der sicherste Passwortspeicher ist ein Zettel in der Geldbörse oder im Tresor – der Trojaner, der hier drankommt, muss erst noch erfunden werden. Vermeiden Sie es jedoch, allzu eindeutige Hinweise auf den Zweck des Passworts mit auf den Zettel zu scheiben.

Trojanerinfektion

Mein Rechner war mit einem Trojaner infiziert. Muss ich jetzt überall die Passwörter ändern?

Sie müssen davon ausgehen, dass der Trojaner sämtliche Ihrer Aktivitäten ausspioniert hat – also etwa auch das Eintippen der Zugangsdaten bei PayPal, das Einloggen bei Ihrem Webmail-Dienst und den Facebook-Login. Darüber hinaus hat er unter Umständen auch die Zugangsdaten aus Ihrem Mailprogramm oder FTP-Client ausgelesen und sich gleich den Passwortspeicher des Browsers gekrallt. Wenn Sie auf Nummer sicher gehen wollen, sollten Sie zumindest bei den wichtigsten Diensten neue Passwörter wählen – selbstverständlich erst, nachdem Sie den Rechner desinfiziert haben. (rei)

Artikel kostenlos herunterladen

Kommentare

Anzeige