Wie schütze ich sensible Systeme mit Passwörtern?

Sichere Passworte sind bei vielen Diensten das A und O der Zugriffskontrolle. Es hängt von der Art der Verwendung ab, wie ein sicheres Passwort gebildet werden soll. Wenn ich mich in einem Forum anmelde, um Fragen zu stellen und Antworten zu bekommen, ist die Qualität des Passworts sicher anders, als wenn ich mich an einem Computer mit Forschungs- oder Gesundheitsdaten anmelde. Das Passwort für einen Computerlogin ist essentiell verschieden von dem Schlüssel einer WLAN-Verschlüsselung.

Einige freie Wortlisten

Die Entscheidung, ob ein Passwort sicher ist, wird dadurch getroffen, wie leicht es geknackt werden kann. Namen, Geburtsdaten, Orte sind ebenso tabu wie den Login-Namen als Passwort zu verwenden, ein leeres Passwort zu wählen oder die bereits Genannten mit einfachen Zahlen zu kombinieren, z. B: Name123.

Software, die Passworte knackt, testet i.A. auf Default-Einstellungen und leere Passworte. Danach werden die häufigsten Passworte getestet, daraufhin Einträge in Wortlisten probiert. Freie Wortlisten dafür gibt es im Internet zu allen Themen und in allen Sprachen.

Was ist ein sicheres Passwort?

Gute Passwörter sind nicht schwer zu erzeugen. Trotzdem sind sie eine der wichtigsten Maßnahmen gegen Angriffe und Hacker.

Ein sicheres Passwort besteht aus mindestens 10 Zeichen. Passworte für Systemadministratoren oder sensible Zugänge sollten aus mindestens 12 Zeichen erzeugt werden. Ein gutes Passwort ist (ausreichend) lang und besteht aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen wie % & / ( ) { } = * + – _ ! : , . @ < >. Darüber hinaus lässt es sich noch gut merken und leicht tippen.
Das bringt den Benutzer leicht in eine Zwickmühle, denn diese Anforderungen widersprechen sich. So ist ein schwierig zu merkendes Passwort wie Dj#wP3M$c relativ sicher gegen das Knacken. Es ist jedoch schwierig zu tippen und ein Beobachter kann beim Eingeben des Passwortes gut beobachten, welche Tasten Sie drücken, weil Sie es viel langsamer als z. B. Ihren Namen eintippen werden.

Eine Regel, die Passwörter alle 30 Tage zu ändern, ist kontraproduktiv, da ein relativ sicheres Passwort nicht so leicht zu merken ist wie ein einfaches. Die Gefahr steigt, dass das Passwort an einem unsicheren Platz (gar auf einem Post-it am Monitor) notiert wird. Zyklen von 3-4 Monaten sind für einen normalen Zugang vernünftiger. Besser noch wäre eine Änderungshäufigkeit in Abhängigkeit von der Komplexität des Passworts.

Wie brechen Hacker schwache Passwörter?

Angreifer können viele Passwörter in relativ kurzer Zeit ausprobieren. Dafür werden Crack-Programme und Wortlisten verwendet. All dies geschieht automatisch und sehr schnell. Findet das Programm kein gültiges Passwort, werden die Worte aus den Wortlisten leicht verändert und zusammengesetzt. Ist immer noch kein Ergebnis vorhanden, bleibt dem Angreifer als letzter Ausweg das Ausprobieren aller Kombinationen von Ziffern, Zahlen und Sonderzeichen. Dieses kann jedoch Jahre dauern, wenn das Passwort ausreichend lang und komplex ist. Damit wird es für den Angreifer uninteressant.

Verwenden Sie für Ihr Passwort Zeichen aus einem Satz, der 128 Zeichen umfasst, und hat das Passwort ein Länge von 5 Zeichen, existieren 128^5,  34.359.738.368 mögliche Passwörter. Ist Ihr Passwort zum Beispiel schon 12 Zeichen lang, gibt es 128^12, 19.342.813.113.834.066.795.298.816 Möglichkeiten. Um das zweite Passwort zu knacken, braucht der Eindringling 560 000 Milliarden mal länger. Mit der Länge des Passworts steigt die Dauer, bis das Passwort geknackt ist, exponentiell an.

Verwenden Sie für ein Passwort nicht:

• Ihren eigenen Vor- oder Nachnamen
• Namen von Bekannten, Freunden oder Haustieren
• Geburtsdaten, Versicherungsnummern oder andere personenbezogene Daten
• Wörter, die in einem Wörterbuch stehen
• Zeichenfolgen, die direkt nebeneinander auf der Tastatur liegen, wie qewrtz

Schlecht sind für Passwörter auch:

• joHAnneS
• Hauptstraße12
• 4711
• 34maus23

Eine einfache aber sehr wirksame Regel: Verwenden Sie von einem Satz oder Gedicht alle Anfangs- oder Endbuchstaben und tauschen Sie dann einzelne Zeichen aus. So könnte ein ‚o‘ gegen eine ‚0‘ oder ein ‚()‘ getauscht werden, ein ‚i‘ gegen ein ‚!‘ oder eine ‚1‘ und ein ‚a‘ gegen ein ‚@‘. Seien Sie kreativ. Wechseln Sie Groß- und Kleinschreibung ab.

Beispiel: aus einem Gedicht von Johann Gottfried Herder

Ein Traum, ein Traum ist unser Leben auf Erden hier.
wird zu:
eT,eTiuLaEh.
und vielleicht weiter:
1T,eT!uL*Eh.

Verwenden Sie unterschiedliche Passwörter für unterschiedliche Systeme. Häufig versuchen Angreifer, ein geknacktes Passwort auf anderen Systemen und Anwendungen anzuwenden. Oft gelingt es ihnen auch.

Was es mit dem „Passwort-recycling“ auf sich hat liefert die ausführliche Erklärung von pixelprivacy.com (Englisch).

• The Real Life Risks of Re Using The Same Passwords

Wie verwalte ich Passwörter richtig?

Wenn Sie Ihr Passwort aufschreiben, legen Sie die Notiz in einem Briefumschlag (wenn möglich versiegelt) in einen verschließbaren Stahlschrank oder Tresor. Elektronische Passwort-Safes werden sehr gerne verwendet. Hierbei muss sich der Benutzer nur mehr ein komplexes Passwort merken. Alle weiteren kann er dann sehr einfach kopieren. Dieses Passwort sollte er neben dem elektronischen Passwort-Safe jedoch tunlichst nicht verlieren, sonst sind alle gespeicherten Passworte verloren. Backups sind zwingend notwendig.

Hier zwei gute Vertreter, die außerdem gratis und open-source sind. Ein Vorteil dieser Passwort-Safes ist die Unabhängigkeit von der verwendeten Plattform. Egal, ob Sie Mac, Linux oder Windows verwenden, die Datei ist unter allen Betriebssystemen les- und schreibbar. Sollten Sie sich entscheiden, einmal die Plattform zu wechseln, nehmen Sie die Schlüsseldatei mit.

KeePassX hat als Passwort-Safe zudem die Reputation, dass es bisher keine Sicherheitslücke im Programmcode gab. Es war bisher nicht möglich, den Hauptschlüssel irgendwie zu umgehen.

Optisch ist die Variante KeePass (ohne „X“!) etwas ansprechender als KeePassX, jedoch wurde hier die Plattformabhängigkeit geopfert.

• KeePassX, (Win, Linux und Mac)
• Password Safe, (Win, Linux)

Wer schnell online ein sicheres Passwort erstellen will, kann zu fertigen Hilfen greifen, wie z. B:

• Passwort Generator von Gaijin
• sicherespasswort.com erstellt Beispiele von Passwörter mit Erklärungen
• Passwort-Check des Datenschutzbeauftragen von Zürich, mit Anzeige der vermutlichen Dauer, bis es geknackt ist

Eine sehr gut gemachte Seite zu Passwörter: Der ultimative Passwort-Guide – So schützt du deine Online-Identität in 2020.