c't 1/2016
S. 85
Praxis
Sicherheits-Checkliste: Passwort
Aufmacherbild

Gute Kennwörter

Security-Checkliste Passwort

Passwörter müssen nicht immer lang und kompliziert sein. Nutzen Sie für jeden Zweck ein angemessen sicheres – und vor allem einzigartiges – Passwort.

Passwörter variieren

Das Passwort ist insbesondere bei Online-Diensten die wichtigste Schutzmöglichkeit, die Sie haben. Ein gutes Passwort ist vor allem einzigartig: Wählen Sie für jeden Dienst ein anderes! So kann ein Online-Ganove, der zum Beispiel das Forum für Hamsterbesitzer geknackt hat, mit den dort erbeuteten Zugangsdaten nicht auch noch auf Ihr PayPal-Konto zugreifen. Vermeiden Sie Wörter, die im Duden stehen, da auch Angreifer gerne Wortlisten durchprobieren. Passen Sie die Komplexität dem Anlass entsprechend an: Sie können durchaus ein simpleres Passwort für das Hamsterforum wählen und komplexere, wenn persönliche Daten und Geld im Spiel sind. Auch für Ihr Mail-Konto sollten Sie ein besonders gutes Passwort wählen. Wer Zugriff auf Ihre Mails hat, kann durch die Passwort-Vergessen-Funktion auf alle anderen Dienste zugreifen, die mit diesem Konto verknüpft sind.

Insbesondere, wenn es um Verschlüsselung geht, zahlt sich ein langes, komplexes Passwort aus: Anders als bei Online-Diensten kann ein Angreifer beliebig schnell unterschiedliche Passwortkombinationen durchprobieren, um zum Beispiel das Passwort für Ihren TrueCrypt-Container zu knacken (Offline-Angriff). Das einzige Limit ist die verfügbare Rechenleistung. Der effektivste Stellhebel, um den Aufwand für den Angreifer zu erhöhen, ist die Passwortlänge. Mit Sonderzeichen erhöhen Sie zudem die Anzahl der möglichen Zeichen, die ein Angreifer durchprobieren muss – und damit auch die Knackdauer.

Passwort-Manager in Erwägung ziehen

Mit c’t SESAM nutzen Sie komfortabel für jeden Dienst ein einzigartiges Passwort. Das Gratis-Tool generiert sichere Passwörter in verschiedenen Komplexitätsstufen.

Passwort-Manager sind der einfachste Weg, für jeden Zweck ein anderes Kennwort zu nutzen. Sie sammeln die Zugangsdaten nicht nur in einem verschlüsselten Container, sondern bringen meist auch einen Passwort-Generator mit, der beliebig lange und komplexe Kennwörter ausgibt. Ein prominenter Vertreter dieser Gattung ist KeePass, das auf allen wichtigen Desktop-Betriebssystemen läuft. Für die meisten Mobil-Plattformen gibt es kompatible Apps, die KeePass-Container öffnen. Auch c’t SESAM (Windows, OS X, Linux) ist ein sicherer Ablageort für Ihre Zugangsdaten. Es generiert auf Wunsch nach einem kryptographischen Verfahren einzigartige Zugangspasswörter für die von Ihnen genutzten Dienste. Zudem gibt es eine Synchronisierungs-Funktion – den dazugehörigen Server können Sie selbst betreiben. Die Tools finden Sie über den c’t-Link am Ende des Artikels.

Das Master-Passwort des Passwort-Managers ist der Schlüssel zu allen Zugangsdaten, sparen Sie also nicht bei Länge und Komplexität. Auf Apple-Geräten mit aktuellem Betriebssystem ist bereits der Schlüsselbund vorinstalliert, der Ihre Zugangsdaten auf Wunsch geräteübergreifend synchronisiert. Auch viele Browser können sich Passwörter merken; auf Seite 78 finden Sie Tipps zur Absicherung dieser Funktion.

Passwort-System ausprobieren

Ein kleiner Trick verhilft Ihnen ganz ohne technische Hilfsmittel mühelos zu einzigartigen Passwörtern: Wählen Sie zunächst ein Grundpasswort. Dieses kann ruhig lang und zufällig sein – Sie müssen sich schließlich nur dieses eine merken. Bei der Wahl hilft zum Beispiel das Windows-Tool PWGen oder das gleichnamige Unix-Programm (siehe c’t-Link). Um daraus ein Passwort für einen bestimmten Dienst abzuleiten, garnieren Sie das Grundpasswort zum Beispiel mit Zeichen aus dem Namen des Dienstes. Lautet das Grundpasswort etwa wFoAicDtLL, könnten Sie für den PayPal-Account den ersten, dritten und letzten Buchstabens des Dienstnamens anhängen (wFoAicDtLLpyl). Je weiter Sie dieses System abwandeln, desto besser.

Papier-Backup anlegen

Mit unserer Passwortkarte generieren Sie leicht für jeden Online-Dienst ein anderes Passwort.

Entgegen dem verbreiteten Mythos spricht nichts dagegen, Passwörter aufzuschreiben – vorausgesetzt, der Zettel wird an einem sicheren Ort wie der Geldbörse oder im Tresor aufbewahrt. Die c’t-Passwortkarte (siehe c’t-Link) ist ein weiteres Hilfsmittel aus Papier: Es handelt sich um eine Tabelle, die Sie ausdrucken und einmalig mit zufälligen Zeichen füllen. Anschließend können Sie mit dem Namen des Dienstes an der Tabelle die Kennwörter ableiten.

Zwei Faktoren nutzen

Eine effektive Schutzfunktion ist die Zweifaktor-Authentifizierung, die viele prominente Dienste wie Facebook und Google (siehe S. 80 und S. 81) anbieten. Ist sie aktiv, muss man beim Einloggen zusätzlich zum Passwort einen Einmalcode eingeben, der zum Beispiel per SMS zugeschickt oder von einer Smartphone-App generiert wird. Gelingt es einem Angreifer, die Zugangsdaten zu erbeuten, kann er sich nicht damit anmelden – er benötigt auch Zugriff auf das Smartphone des Account-Besitzers, um den aktuell gültigen Einmalcode abrufen zu können. (rei@ct.de)

Kommentare lesen (1 Beitrag)

Weitere Bilder

Gute Kennwörter (1 Bilder)