Schutz vor Passwort-Leaks: So erstellt ihr ein sicheres Passwort – einige Tipps und Regeln von den Experten
Die Kombination aus Benutzername und Passwort ist nach wie vor die am häufigsten verwendete Methode zum Login in die zahlreichen Onlinedienste. Weil nur die wenigsten Nutzer zusätzliche Sicherheiten wie die Bestätigung in zwei Schritten verwenden, ist es heute wichtiger denn je, viele wirklich gute Passwörter zu verwenden, um es Angreifern schwer zu machen. Wir zeigen einige Tipps, mit denen sich der Umgang mit Passwörtern möglichst gut absichern lässt.
Glaubt man den seit Jahren immer wieder veröffentlichten Statistiken, dann verwendet ein Großteil aller Nutzer unsichere Passwörter, die ein Angreifer im Schlaf knacken könnte und sehr große Erfolge haben wird. Das ist allerdings nur die halbe Wahrheit, denn weil die tatsächlich sicheren Passwörter nicht in einer Topliste auftauchen können, wird es sich auch in 100 Jahren noch ergeben, dass die Klassiker wie 123456 ganz oben auf der Liste stehen. Hier findet ihr die Liste der beliebtesten Passwörter der Deutschen.
Aber auch wenn die Toplisten somit eher bedeutungslos sind, muss man leider trotzdem davon ausgehen, dass viele Menschen unsichere Passwörter wählen – meist aus Bequemlichkeit. Kann man machen, aber dann muss man sich nicht wundern, wenn die Onlinekonten gehackt werden – in einigen Fällen mit bösen Folgen für die Betroffenen. Dazu kommt, dass ein einmal verwendetes Passwort gerne an vielen anderen Stellen verwendet wird, weil es so schön leicht zu merken ist – schwerer Fehler.
Und wer unbedingt seinen zweiten Vornamen oder das Geburtsdatum ohne jegliche weitere kryptische Zeichen als Passwort verwenden möchte, der muss eben damit leben, dass Angreifer recht einfach Zugriff auf die eigenen Daten erhalten könnten. In diesem Fall ist es dringend ratsam, die Bestätigung in zwei Schritten zu aktivieren.
Das Hasso-Plattner-Institut hat vor wenigen Wochen eine Reihe von Tipps zusammengestellt, die bei der Wahl eines Passworts beachtet werden sollten. Für Nutzer mit gesteigertem Sicherheitsbewusstsein wird nichts Neues zu lesen sein, aber für viele andere ist es vielleicht ein Denkanstoß für die nächste Passwort-Änderung. Passend dazu ist in wenigen Tagen bekanntlich wieder der Ändere-Dein-Passwort-Tag – macht euch also schon Mal Gedanken 😉
- Lange Passwörter (> 15 Zeichen)
- Alle Zeichenklassen verwenden (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen)
- Keine Wörter aus dem Wörterbuch
- Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten
- Verwendung von Passwortmanagern
- Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die die obigen Regeln nicht erfüllen
- Zwei-Faktor-Authentifizierung: Die Bestätigung in zwei Schritten aktivieren, wenn möglich
Bei der Verwendung von Sonderzeichen sollte man aufpassen. Sie können die Sicherheit zwar stark erhöhen, aber bei schlecht konfigurierten Webseiten, im fremdsprachigen Ausland oder falschen Zeichensätzen für Probleme sorgen. So ist es möglich, dass ihr Trotz Kenntnis eures _richtigen_ Passworts nicht mehr einloggen könnt. Verzichtet also am Besten drauf – mein ganz persönlicher Tipp.
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Die Regeln 1-3 sind eigentlich vollkommen irrelevant.
Komplizierte Passwörter schützen nicht vor Passwort-Leaks. Passwort-Leaks passieren beim Provider und sind passwort-unabhängig.
Komplizierte Passwörter senken zwar das Risiko des Erratens, jedoch sollte das irrelevant sein, wenn ein Provider bestehende Möglichkeiten nutzt, um z.B. Brute-Force Angriffe zu erkennen und den Account nach mehreren Falscheingaben (zumindest für die IP) sperrt. In solchen Fällen sind selbst einfache Passwörter wie MAGA2020! einen begrenzten Schutz bieten, wenn man nicht gerade Donald Trump selbst ist und einem das Passwort auf die Stirn geschrieben steht. Wie bereits gesagt – ein begrenzter Schutz – z.B. in Kombination mit 2FA meiner Meinung nach sogar vollkommen ausreichend, vorausgesetzt der Anbieter hat ansonsten seine Security Hausaufgaben gemacht.
Wer auf Nummer Sicher gehen möchte, sollte auf jeden Fall komplexe Passwörter nutzen. Ob dieses nun 10 oder über 15 Zeichen lang ist, sollte am Ende wirklich keine Rolle spielen. Hier sehe ich weiterhin die Verantwortung beim Anbieter, den Angriff zu erkennen, bevor diese Kombinationen durchgetestet werden.
Bezüglich Zeichenklassen gebe ich eingeschränkt Recht. Das Passwort sollte für den Anwender auf jeden Fall lesbar sein. Daher sollte man ähnliche Zeichen wie z.B. l und I weglassen.
Oh doch, die Länge macht am meisten aus. Je länger, desto besser. Bei den meisten Seiten kann man auch mehr als nur „1 Wort“ eingeben – das Leerzeichen ist schließlich auch nur ein Sonderzeichen. Also lieber einen kleinen Satz eingeben. So wie hier : https://xkcd.com/936/. Wer will, kann natürlich auch noch mit Punkt 2 ergänzen. Allerdings wir das Merken dann schwieriger während die Sicherheit nur geringfügig erhöht wird. Die Benutzung von 2 Faktor Authentifizierung (aka. Bestätigung in 2 Schritten) erhöht die Sicherheit enorm, und auch Password Manager helfen.
Nichts aus dem Wörterbuch und nichts wiederverwerten gehe ich noch konform. Aber die allseits beliebte Aussage möglichst komplexe und unmerkbare Passwörter für dutzende (wenns reicht) Dienste zu verwenden halte ich für völlig weltfremd.Wohlgemerkt für jeden Dienst ein anderes unmerkbares PW das nicht mal ähnlich ist. Und dann im Ernstfall regelmäßig wechseln, oft sogar alle paar Monate.
Für den Unsinn mit komplexen Passwörtern (was die Industrie übrigens jedes Jahr einen Haufen Kohle kostet wegen vergessener Passwörter https://www.it-daily.net/shortnews/23299-vergessene-passwoerter-kosten-firmen-viel-geld) hat sich der „schuldige“ mittlerweile sogar entschuldigt.
https://www.gdata.de/blog/2017/08/29953-sind-komplexe-passworter-von-gestern
Und ja ich kenne den Trick mit den Anfangsbuchstaben eines einfach zu merkenden Satzes. Aber da muss man sich dann trotzdem dutzende von merken für alle möglichen Accounts.
Da bleibt einem nur der Weg zu einem Passwortmanager der in der Regel aus einem Onlinedienst besteht der alle meine Passwörter verschlüsselt irgendwo ablegt. Ich benutze sowas gezwungenermaßen auch aber so richtig wohl ist mir da nicht. Wenn da mal was schief läuft…
2FA ist auch gefährlich da kann man sich fix selber aussperren wenn man sich ungeschickt anstellt. Ein Kollege hatte sich z.B. damit erfolgreich aus einem E-Mail Konto ausgesperrt weil er quasi in einer Endlosschleife gefangen war. Ist nämlich dumm wenn in der Kette ein Glied fehlt weil man z.B. das angegebene Handy nicht mehr hat oder keinen Zugriff mehr auf die irgendwann mal angegebene Backup-Adresse oder sowas.
Der „Trick“ mit den Anfangsbuchstabe eines einfach zu merkenden Satzes ist noch größerer Unsinn als alles andere. Wenn man die Passworte nicht ständig wechseln muss, ist das hier eine gute Alternative: https://passwordmaker.org/passwordmaker.html Da wird nirgendwo was abgelegt, sondern jedes mal aus dem Master- Passwort und der URL neu berechnet. Und was nirgendwo gespeichert ist, kann nicht verloren gehen oder geklaut werden.