Digitalisierung hat einen kleinen Nachteil: man braucht für alles ein Passwort. Und es sollte natürlich ein sicheres sein. Statistiken zeigen jährlich, dass die beliebtesten Passworte immer wieder „123456“, „12345678“ (für alles, wo mindestens 8 Zeichen vorgeschrieben sind), „password“, „qwerty“ (Das englische Äquivalent zur deutschen „qwertz“-Tastatur) oder Ähnliche sind. Dies als „Leichtsinnigkeit“ zu bezeichnen wäre eine unzulässige Beschönigung.

Obwohl in schöner Regelmäßigkeit wirklich alle Medien Passwort-Tipps publizieren, scheint die Bequemlichkeit immer wieder über das Schutzbedürfnis zu siegen. Jetzt mag es noch als vergleichsweise harmlos erscheinen, wenn Menschen ihr Login für irgendeine Spielplattform auf diese Art „schützen“. Spätestens bei geschäftlichen Daten und finanzrelevanten Dingen hört der Spaß aber auf.

Dabei ist es eigentlich sehr einfach, mit sehr sicheren Passworten zu arbeiten. Es gilt lediglich, einige wenige Grundregeln zu berücksichtigen:

  1. Länger ist besser. Immer. 8 Zeichen inkl. einem Sonderzeichen sind schon lange nicht mehr die Grundlage für ein einigermaßen sicheres Passwort. 16 dürfen es schon sein.
  2. Namen (Partner, Kinder, Haustiere, Orte, etc.) sind tabu. Ohne Ausnahme.
  3. Alles, was in einem Wörterbuch zu finden ist, ist kein Passwort.
  4. Bitte keine „sinnvollen“ Passworte
  5. Das Ersetzen von Zeichen (statt „o“ eine Null schreiben etc.) macht das Ganze für Menschen komplizierter. Computern ist das gelinde gesagt egal.

Passworte testen

Eine schöne Möglichkeit, die Sicherheit eines Passworts zu beurteilen, bietet der Kaspersky Secure Password Check. Aber VORSICHT: gib NIEMALS irgendwem Dein richtiges Passwort. Auch nicht zum Testen. Und schon gar nicht Kaspersky.

Passwort: Kevin1987*
Passwort: V1PhG9%PLuK9wU1ziC}J!D75

Ich habe einmal beispielhaft zwei Passworte verglichen. Links eines, das noch immer deutlich sicherer ist als das berühmte „123456“. Rechts eines, das in etwa dem Standard entspricht, den ich meinen Kunden empfehle. Jetzt mag das linke Ergebnis schon recht sicher erscheinen. Denn wer würde schon 12 Tage am Stück versuchen, das Passwort eines unbescholtenen „ich habe doch nichts zu verbergen“-Mitbürgers zu knacken. Dem gegenüber scheint das rechte Passwort eventuell maßlos übertrieben.

Nur: Wer professionell Passwort knackt, benutzt eben keinen Heim-PC. Sondern eher professionellen Maschinen und (das ist das Entscheidende) Botnetze. Ein Botnetz kann hierbei aus tausenden (über Viren und Trojaner) infizierten Heimcomputern bestehen, die zusammenarbeiten. Die Entschlüsselungszeit des Passworts auf der linken Seite dürfte sich damit im Bereich weniger Sekunden befinden. 

A propos Viren und Trojaner: Wie aktuell ist eigentlich deine Anti-Viren-Software? 😉

Kryptische Passworte selbst generieren

Eine schöne Möglichkeit, kryptische Passworte zu generieren, die man sich dennoch merken kann, ist folgende:

Denke Dir einen Satz aus und entnimm daraus bestimmte Teile. Nehmen wir als Beispiele einmal den obigen Satz:

Passwordgenerierung

Gemäß Kaspersky reicht das schon einmal für mehr als 10.000 Jahrhunderte.

Correct Horse Battery Staple

Aber es geht noch einfacher:

Dieses Bild (von https://xkcd.com/936/) erklärt das Passwort-Dilemma recht gut: wir versuchen oft, möglichst komplizierte Passworte zu kreieren und vergessen, dass der „Gegner“ kein Mensch ist, sondern ein Rechner bzw. ein Rechnernetz.

password_strength

Reicht im Kaspersky-Test ebenfalls für viele Jahrhunderte. Computer sind eben keine Menschen. Eine Kombination von Worten, die insgesamt lang genug ist, reicht eigentlich schon aus.

(Kleine Bitte am Rande: Auch, wenn es jetzt gerade verlockend ist, nutze bitte unter keine keinen Umständen „Correct Horse Battery Staple“!)

 

Passwort-Manager

Optimal ist insgesamt eine möglichst lange und möglichst wilde Kombination von Buchstaben, Zahlen und Sonderzeichen ist somit relativ einfach generierter und sollte der Standard sicherer Passwort sein.  Wenn man jetzt allerdings davon ausgeht, dass jeder Mensch eine Vielzahl von Passworten besitzt (bei mir sind es etwa 500), gelangen wir schnell zum nächsten praktischen Problem:

Wie merke ich mir diese wirren Passworte?
Die brutale Antwort: Gar nicht.

Wer online arbeitet (und in Zukunft sind das – wenig überraschend – ALLE), kommt ohne technische Unterstützung nicht mehr aus. Der Markt ist voll von Passwort-Manager-Software. Es wäre anmaßend, hier eine allgemeingültige Empfehlung auszusprechen. Ich möchte aber anhand der von mir bevorzugten Lösung erläutern, worauf man achten sollte:

  1. Die Bewertung der Software in unabhängigen Tests ist immer ein guter Indikator.
  2. Die Software sollte mit dem persönlichen Setup uneingeschränkt funktionieren. Es ist (m.E.) unabdingbar, dass das Tool der Wahl mit all Deinen Geräten (PC, Notebook, Tablet, Smartphone) zusammenarbeitet und zwischen diesen synchronisiert. Die Verfügbarkeit eines Browserplugins ist sehr hilfreich. Wer „nur Apple“ oder „nur Windows“ nutzt, ist hier ggf. ein wenig im Vorteil.
  3. Die Synchronisation muss verschlüsselt erfolgen. Sync per Textdatei ist ein absolutes K.O.-Kriterium.

Ich persönlich nutze 1Password von AgileBits (Natürlich gibt es diverse andere Lösungen – LastPass ist m.E. eine zu 1Password gleichwertige Alternative und sollte hier nicht unerwähnt bleiben). Die Website ist leider nur englisch, was für den einen oder anderen User eine Hürde darstellen könnte. Die Software selbst ist in deutsch verfügbar. Alle oben genannten Anforderungen sind hiermit erfüllt.

Im Alltag handhabe ich es so, dass das Passwort für den 1Password Passwort Safe mit den o.a. Methode generiert wurde und in unregelmäßigen Abständen erneuert wird. Dies ist das absolut einzige Passwort, das ich mir merke. Zusätzlich ist es an einem sicheren Ort hinterlegt. Alle weiteren Passworte für Websites usw. generiere ich direkt mit dem in 1Password integrierten Passwortgenerator und ändere auch diese unregelmäßig. Die Passwort-Kriterien sind hierbei individuell einstellbar. Da man sich jedoch die einzelnen Keys nicht merken muss, kann man hier durchaus mit 20 und mehr Zeichen hineingehen.

Wer nicht die paar Euro in einen Passwortgenerator investieren möchte, kann sich mit verschiedenen Online-Tools sichere Passworte ganz einfach generieren lassen: der Secure Password Generator ist nur eine Möglichkeit hierzu.

Fazit

Ich persönlich rate dringend zu einem Passwort-Manager-Tool. Denn sichere Passworte sind nicht leicht zu merken (und leicht zu merkende i.d.R. nicht sonderlich sicher). Man wird ohne Toolunterstützung automatisch in Vereinfachungen zurückfallen und somit wieder tendenziell unsichere Passworte nutzen. Und Datensicherheit ist die Basis der Digitalisierung.