Was muss ich für ein sicheres Passwort wissen?

Diese Einführung soll einen ersten Überblick über das Thema „starkes Passwort“ verschaffen.

IT-Sicherheit und Datenschutz sind Bereiche, welche ständig Veränderungen unterliegen. Eine Empfehlung von heute kann morgen schon überholt sein. Bitte behalte dies im Hinterkopf und agiere in diesem Zusammenhang stets Bedacht.

Aktuelle, allgemeine Hinweise für ein sicheres Passwort

Dieser Hinweis wird zu gegebener Zeit aktualisiert und soll einen groben Richtwert für ein sicheres Passwort geben.

Anforderungen an ein sicheres/starkes Passwort
  • Zufällige Zeichen aus einem möglichst großen Zeichenraum [A-Z, a-z, 0-9, Sonderzeichen]
  • Mindestens 10, besser 12 Zeichen – je mehr, desto besser!
  • Einzigartig; nur für einen Dienst verwenden
  • Geheim, niemand anderes kennt das Passwort
  • Ideal: Leicht zu merken
    Alternative: Passwortmanager (ermöglicht noch komplexere Passwörter)

Wie erstelle ich ein sicheres Passwort?

Die Kurzversion für Leute die es eilig haben:
Nutze einen Generator für dein Passwort oder den Diceware-Generator für eine Pass-Phrase.

Passwörter leben und fallen mit der Zufälligkeit ihrer Erzeugung. Menschen sind leider nicht in der Lage sich eines wirklichen Zufalls zu bedienen, da sie immer äußeren Einflüssen ausgesetzt sind. Da diese oft auch unbewusst auf uns wirken, sind menschlich gewählte „zufällige Passwörter“ leider alles andere. Oft sind sie sehr einfach zu erraten oder herzuleiten.

1. Zufällige Zeichen

Passwort würfelnEin gutes Passwort ist zufällig. Und damit ist wirklich der größtmögliche verwendbare Zufall gemeint. Menschen sind erstaunlich schlecht darin, „zufällig“ etwas auszuwählen.

Wenn nicht gerade eine Wörterliste für ein Diceware-Passwort genutzt wird, dann sollte ein Passwort aus einem Zeichenvorrat mit möglichst vielen verschiedenen Zeichen generiert werden. Also etwa aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Der verfügbare Zeichenvorrat bildet in Kombination mit der Passwortlänge die wichtigsten Faktoren der Sicherheit.

Das so erzeugte Passwort sollte in keinem Wörterbuch vorkommen und darf keine persönlichen Informationen enthalten. Also keine Daten wie Geburtstag, (Teil-)Namen, Hobbys, Berufe oder Telefonnummern. Diese Dinge können leicht in Erfahrung gebracht und damit abgeleitet werden.

Ein Kennwort sollte ebenfalls keinem Muster, Schema oder innerer Logik folgen. Diese Muster können mit einer gewissen Wahrscheinlichkeit ermittelt werden. Somit sind Buchstabenfolgen wie sie auf der Tastatur vorkommen eine äußerst schlechte Wahl. Ein gutes (oder eher schlechtes) Beispiel ist „qwertz“ oder „asdfg“.

2. Länge

Länge des PasswortÜber die Länge eines starken Passwortes scheiden sich die Geister.

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt eine Mindestlänge von 8 Zeichen. Für WLAN-Passwörter sollten mindestens 20 Zeichen verwendet werden. In Fachkreisen setzt sich jedoch eine Regel durch: Das Passwort muss so lang wie möglich sein!

Hier ergeben sich auch gleich weitere Probleme. Viele Dienste beschränken die Zeichenanzahl. So gibt es selbst Banken, die für ein Login nur 5 (!) Zeichen zulassen.

Wir empfehlen eine Mindestlänge von 10 bis 12 Zeichen, besser deutlich länger. Mit 15+ Zeichen sollte der Durchschnittsnutzer sehr sicher sein. Je mehr Zeichen ein Passwort enthält und aus je mehr möglichen Zeichen es bestehen kann, desto mehr verschiedene Kombinationsmöglichkeiten (Permutation) gibt es theoretisch.

3. Einzigartig

Einzigartiges PasswortNutze niemals dasselbe Passwort für verschiedene Accounts! Solltest du dasselbe Passwort öfter benutzen und einer der Dienste wird gehackt, so bringt das sicherste Kennwort nichts mehr.

Sobald dieses Passwort in kriminellen Kreisen seine Runde macht, ist es verbrannt. Als Nächstes würde ein Hacker versuchen sich mit den erbeuteten Zugangsdaten auch bei anderen bekannten Diensten einzuloggen. Auch Hacker wissen, dass Menschen faul sind und nutzen dies aus.

4. Geheim

Geheimes PasswortNiemand darf dein Passwort kennen. Nicht der beste Kumpel und auch nicht der Partner, mit dem du das Bett teilst. Dies mag für die einen ein Vertrauensbeweis sein, sicherheitstechnisch ist es aber wohl das schlimmste, was du tun könntest.

Nutze am besten einen Passwort-Manager für deine Kennwörter. Bei der Vielzahl an Diensten die wir heute nutzen, ist es unmöglich noch alle Passwörter im Kopf zu haben. Ein Passwort-Manager bietet hier eine gute Möglichkeit alle Zugangsdaten verschlüsselt zu speichern. Die Alternative wäre Stift und Papier – ganz analog. Hier besteht aber die Gefahr, dass doch jemand Zugriff auf die Passwörter bekommt. Besonders wichtige Passwörter solltest du daher am besten trotzdem im Gedächtnis haben und diese nicht unverschlüsselt notieren.

5. Leicht zu merken

Merkbares PasswortIm Idealfall ist ein Passwort so aufgebaut, dass du es dir leicht merken kannst. Am besten klappt dies mit Eselsbrücken. Denke dir zu einem zufällig generierten Passwort eine Geschichte aus, die du dir merken kannst. Alternativ gibt es die Akronym-Methode, welche quasi die umgekehrte Variante zur „Geschichte“ ist.

Bei der Akronym-Methode denkst du dir einen möglichst langen Satz mit individuellen, persönlichen Bezug aus. Er sollte also möglichst einzigartig sein und muss keinen Sinn ergeben. Von jedem Wort wird der erste (oder eine andere Stelle) Buchstabe genommen und zu einem Passwort zusammengesetzt.

Beispiel:
Jeden dritten Donnerstag gehe ich mit meinem Einhorn ins Kasino und gewinne niemals weniger als 500 €.
Passwort: JdDgimmEiKugnwa5€.

Schlechte Passwörter sind schnell geknackt

Was sind gesalzene und gepfefferte Passwörter?

Salz und Pfeffer fürs PasswortPasswörter dürfen von Webseiten-Betreibern nicht im Klartext in einer Datenbank gespeichert werden. Mitarbeiter könnten diese beispielsweise entwenden und bei anderen Diensten ihr Glück versuchen etwas zu erbeuten. Daher werden Passwörter als Hash gespeichert.

Gelangt ein Hacker an diese Datenbank, so hat er nur maskierte Daten vor sich. Diese könnte er nun mittels Brute-Force versuchen zu entschlüsseln. Ein Angriff mit einem Wörterbuch ist jedoch vielversprechender. Dazu werden Wörter mit derselben Hashfunktion in einen Hash gewandelt. Stimmt der Hash mit dem Wert in der Datenbank überein, kennt der Hacker das Passwort.

Um dies zu erschweren werden Passwörter „gesalzen“. Es wird für jeden User ein zufälliger Salt generiert, welcher an sein Passwort gehängt wird. Dieser Salt ist für jeden Nutzer einmalig. Dies steigert die Komplexität und erschwert einen Wörterbuchangriff.

Diese Komplexität kann weiter gesteigert werden, indem noch „Pfeffer“ dazu kommt. Der Pepper ist ein hardcodierter serverweiter Zusatz und wird ebenfalls angehängt. So entsteht eine sehr lange, sehr zufällige Zeichenkette, die in keinem  Wörterbuch auftaucht.

Sobald ein ausführlicher Artikel dazu existiert, wird dieser hier verlinkt.

So knacken Cracker Passwörter

Am besten lernt es sich meist aus Fehlern. Bei einem Passwort-Leak könnte sich das jedoch als fatal erweisen.

Daher kürzen wir nun diesen Weg ab. Um zu verstehen, wie ein sicheres Passwort aussieht, versetzen wir uns in die Lage eines Hacker und versuchen zu verstehen, wie Passwörter „gecrackt“ werden.

Wie kommen Cracker eigentlich an Passwörter?

Ein Hacker könnte einen Dienst angreifen und sich Zugang zu dessen Datenbank verschaffen. Hier könnte er neben Daten wie Mailadressen die (hoffentlich verschlüsselten) Passwörter mitnehmen. Alternativ werden diese Datenbanken auch im Untergrund gehandelt. Man kann solche Daten also auch für relativ kleines Geld kaufen.

Verschlüsselte Passwörter werden mittels einer Hashfunktion maskiert. Das Ganze ist im Grunde eine „Einweg-Verschlüsselung“. Aus dem so erzeugten Hash lässt sich im Idealfall nicht auf das eigentliche Passwort im Klartext schließen. Leider gibt es auch Dienste, die Passwörter im Klartext abspeichern. Diese sind für Hacker natürlich ein Jackpot.

Tools und Taktiken der Cracker

Kriminelle nutzen Programme wie John the Ripper, Hashcat oder oclHashcat um Passwörter zu knacken. Dabei probieren die Programme einfach alle möglichen Passwörter durch, errechnen den Hash und vergleichen diesen. Stimmen die Haswerte überein, kennt man das Passwort im Klartext dazu.

Um das Ganze möglichst effizient zu gestalten, laufen die Versuche natürlich nicht von „1-100“ durch. Dazu werden die möglichen Passwörter eingegrenzt.

Man behilft sich mit (vorgenerierten) Passwortlisten (Rainbow-Tables) und Wörterbüchern.

So ein Angriff benötigt natürlich sehr viel Rechenpower. Die Leistung von Computern nimmt ständig zu. So sind selbst mit handelsüblichen Grafikkarten schnell einige „Rechenmoster“ gebaut um solche Berechnungen durchzuführen. Kriminelle schrecken auch nicht davor zurück fremde Rechner zu kapern und diese für sich arbeiten zu lassen. So entsteht aus einem Bot-Netz auch schnell ein verteiltes Rechennetz.

Angriffstechniken

Cracker bedienen sich vielfältigen Quellen für „Passwortmaterial“. Das sind Wörterbücher verschiedener Sprachen, Namenslisten, Liedtexte, Listen verbreiteter Passwörter, Bücher und Zitate. Das Material wird aufbereitet und maschinell durch die Crack-Programme verarbeitet und kombiniert.

Neben dem normalen Ausprobieren eines Wortes (Brute-Force) ergeben sich viele Möglichkeiten, die gezielt ausprobiert werden können:

  • Klein- und Großschreibung vertauschen
  • Zahlen und Zeichen anfügen
  • Jahreszahlen (Geburtstage) anfügen
  • Tastaturmuster (qwertz) anfügen
  • Wörter rückwärts schreiben
  • Leetspeak oder ähnliches anwenden
  • Dienstenamen wie fb für Facebook
  • Analyse und Mustererkennung für weitere Durchläufe

Ein Großteil der Passwörter fällt schon bei den ersten einfachen Durchläufen. Menschen neigen leider dazu, schlechte Passwörter zu benutzen.

Stellt man sich vor, dass ein Hacker nur 10 % der Passwörter in den ersten Versuchen geknackt hat, sind das bei 10.000 Datensätzen schon 1.000 Kombinationen von Mailadresse/Username mit Passwort, welche bei einem anderen Dienst eventuell auch genutzt wurden. Hier könnte schon ein riesiger Schaden entstanden sein.

Wie kann ich mir ein (schwieriges) Passwort am besten merken?

  • Passwort-Manager
    Nutze einen Passwort-Manager, welcher deine Passwörter sicher verschlüsselt speichert. Du musst dir dann nur noch das Masterpasswort merken. Dank passender Apps kannst du auch von unterwegs und über mehrere Geräte hinweg immer sicher an deine Zugangsdaten kommen.
  • Stift und Papier
    Ganz traditionell geht es natürlich auch. Notiere dir deine Daten auf Papier fernab von technischer Anbindung. Du musst hierbei nur sicherstellen, dass niemand an deine Passwortliste kommt. Am besten eignet sich ein Tresor oder Schließfach.
  • Akronym-Methode
    Die Akronym-Methode ist eine Art Eselsbrücke. Ein Beispiel findest du hier.

Verbreitete Irrtümer und Mythen

Passwörter regelmäßig ändern

Wie sinnvoll ist es, Passwörter regelmäßig zu ändern? Für den Durchschnittsuser wahrscheinlich überhaupt nicht.

Das Problem liegt darin, dass wir heute schon mit unzähligen Zugangsdaten überfrachtet sind. Man kann sie sich einfach nicht mehr merken. Fordert man nun Nutzer auf regelmäßig ihr Passwort zu ändern, führt dies in der Praxis dazu, dass diese sich leichte, einprägsame Kennwörter auswählen. Diese sind dann aber auch wesentlich schwächer und damit leichter zu knacken.

Passwörter solltest du daher nur bei Bedarf ändern, um nicht in dieses Muster zu fallen. Spätestens wenn der Verdacht aufkommt, ein Dienst könnte gehackt wurden sein, ist es Zeit dafür.

Lange Passwörter sind immer besser als kurze

Dies stimmt nur bedingt – das heißt es gibt Ausnahmen. Ein gutes Passwort benötigt neben der Länge vor allem zufällige Zeichen aus einem möglichst großen Zeichenvorrat.

Dabei muss man verstehen, wie Hacker Passwörter cracken. Neben einem reinen Brute-Force Angriff, bei dem ein Hacker alle Kombinationen ausprobiert, gibt es weitere Verfahren. Durch Analysen aus vorherigen Hacks erstellen sich Cracker Wörterbücher mit gängigen Passwörtern. Hier werden dann auch entsprechende abgewandelte Varianten (vgl. auch Leetspeak) abgeklopft.

Das Kennwort superpasswort hat 13 Stellen und ist nicht sicher. Es ist einfach zu erraten, selbst für einen Menschen.

Vergleichen wir nun ein zufällig generiertes Passwort mit nur 8 statt 13 Stellen wie ?3AiG0C$, so wird dies wahrscheinlich einige Stunden Rechenleistung benötigen. Insgesamt ist es dennoch schwach, da es zu kurz ist, aber im Vergleich zu superpasswort nicht so trivial.

Nur die Kombination aus verschiedenen zufälligen Zeichen und Länge macht ein Passwort stark.

Leetspeak ermöglichen sichere Passwörter

Leetspeak bezeichnet das Ersetzen von Buchstaben durch Zahlen und auch Sonderzeichen. Da diese Abwandlungen vorhersehbar sind, verstärken diese Passwörter in keinster Weise.

P@$$w0r7 ist daher in etwa genauso unsicher wie Passwort.

Menschen können selbst zufällige Passwörter erzeugen

Es gibt Möglichkeiten wie auch ein Mensch „zufällige“ Passwörter sich ausdenken kann. Generell sind wir Menschen jedoch schlecht darin, uns eines wirklichen Zufalls zu bedienen.

Unterbewusst nutzen wir Muster und Schemata mit denen wir unsere Entscheidungen treffen. So sind „zufällige“ Ziehungen von Zahlen von 1 bis 10 bei Menschen ziemlich vorhersagbar. Viele werden beispielsweise die 7 nehmen, da dies eine Glückszahl ist.

Mit der Akronym-Methode kannst du auch selbst ein gutes Passwort erstellen.

Sonderzeichen und Zahlen machen ein Passwort immer besonders sicher

Dies gilt nicht, wenn das Vorkommen vorhersagbar ist. Dies ist das gleiche Problem, wie die Nutzung von Leetspeak.