Schützen Sie Ihre Daten mit sicheren Passwörtern

Passwort auf Zettel

Ein Passwort soll Ihre Konten vor Fremdzugriffen und somit auch von der Gefahr eines Datenmissbrauches schützen. Leicht erratbare Passwörter wie Ihr Geburtsdatum oder der Name eines Verwandten sind immer noch sehr beliebt bei der Wahl von Passwörtern, bieten aber potenziellen Angreifern ein leichtes Spiel. Wir klären Sie auf, warum so manches beliebte Passwort nur einen geringen Schutz bietet und mit welchen Passwortstrategien Sie Ihre Daten am besten schützen können.  Zusätzlich informieren wir Sie über die richtige Benutzung von Passwortmanagern und geben Ihnen weitere Tipps und Tricks rund um das Passwort.

Das beliebte Passwort „123456“

Das momentan beliebteste Passwort ist „123456“, welches sogar von einem Laien leicht enttarnt werden kann. Auch Passwörter wie beliebte Vornamen „johannes“, „alexandra“, etc. sind sehr leicht auch ohne leistungsstarken Computer zu erraten. Passwörter mit persönlichem Bezug wie Vornamen und Geburtsdaten können auch von Fremden durch kurze Recherchen erraten werden.

Die kurzen Passwörter

Sollten Sie Ziel eines professionellen Angreifers sein, müssen wir davon ausgehen, dass dieser mit einem professionellen Computer über eine Million Zeichenabfolgen pro Sekunde errechnen kann. Ein fünfstelliges Kennwort bestehend aus Groß- und Kleinbuchstaben, Ziffern sowie Sonderzeichen ist innerhalb von 26 Minuten mit sogenannten Brute-Force-Attacken (es werden in Sekundenschnelle viele verschiedene Passwortkombinationen ausprobiert, bis das Richtige gefunden wurde) geknackt. Wenn Sie Ihr Passwort auf acht Zeichen erweitern, können Sie die Berechnungsdauer im Optimalfall auf 29 Jahre erhöhen.

Acht Zeichen, aber trotzdem noch nicht sicher

Mit acht Zeichen ist ein Kennwort schonmal sicherer. Beachten Sie aber trotzdem: „ABCDEFGH“, „12345678“, „QWERTZUI“ oder „abc123!?“ und andere beliebte Zeichenkombinationen sind für Ihren digitalen Angreifer schwer durch einen Computer errechenbar, trotzdem aber leicht zu erraten.

Die richtige Strategie für sichere Passwörter

Um ein sicheres Passwort zu erstellen gibt es viele verschiedene Methoden, die Sie sich aber trotzdem noch gut merken können. Denn sollten Sie einmal ihr schwer zu knackendes Passwort vergessen, ist es auch für Sie selbst schwer zu erraten.

Lage und komplexe Passwörter

Um ein sicheres Passwort zu erstellen gibt es viele verschiedene Methoden, die Sie sich aber trotzdem noch gut merken können. Denn sollten Sie einmal ihr schwer zu knackendes Passwort vergessen, ist es auch für Sie selbst schwer zu erraten.

  • mindestens 8 Zeichen
  • maximal 14 Zeichen
  • Verwendung von Groß- und Kleinbuchstaben
  • Benutzung von Nummern
  • Benutzung von Sonderzeichen

Auch diese Vorgaben werden von den Angreifern genutzt, um die möglichen Passwörter wiederum einzuschränken. Im besten Fall setzen Sie auf ein Passwort, das komplexer ist, als die Anforderungen es vorgeben. So nehmen Sie dem potenziellen Angreifer auch diesen vermeintlichen Vorteil. 

Der Leetspeaker

Eine gern genutzte Strategie, die verschiedene Nutzer und Nutzerinnen gerne anwenden, ist der sogenannte Leetspeak. Statt tatsächlichen Buchstaben können sie ähnlich aussehende Ziffern und Symbole verwenden. Statt „E“ benutzen sie „3“, statt einem „A“ eine „4“ und aus einem „l“ wird ganz leicht ein „|“ oder „!“. Für ein „c“ lässt sich ein „ ( “ benutzen. Ihrer Kreativität sind in dieser Hinsicht keine Grenzen gesetzt.  Aus einem einfachen „johannes“ würde sich „ }0h4nN35“ bilden lassen. Dieses Passwort ist schon sehr viel sicherer und für den Angreifer eine höhere Hürde als nur mit Kleinbuchstaben. Außerdem lässt sich ein Passwort im Leetspeak immer noch leicht merken. Trotzdem gilt zu beachten, dass ein professioneller Angreifer intelligent ist und auch von der Strategie des Leetspeak Bescheid weiß. Ihr Passwort ist schon sicherer, trotzdem kann der Hacker noch draufkommen.

Keine Wörterbücher

Am besten Sie benutzen für ihr Passwort keine Wörter aus gängigen Wörterbüchern, denn das ist eine Datenquelle, auf die ein Angreifer natürlichen Zugriff hat und diese bei Bedarf auch nutzt. So kann ein automatisierter Angriff mit allen Wörtern und gängige Phrasen auf ein Login-Formular abgefeuert werden, bis das Passwort erraten wurde. Den Worten werden verschiedene Zahlen und Sonderzeichen mitgegeben und sie werden in Leetspeak transformiert. Der Aggressor muss dafür nur passiv abwarten, bis er irgendwann einen Treffer landet und macht sich dann an Ihren Daten zu schaffen. Versuchen Sie also am besten, keine Wörter oder Phrasen aus Wörterbüchern zu benutzen

Vier zufällige Worte nebeneinander

Solange Sie als Vorgabe keine Maximallänge für ein Passwort haben, können Sie auf eine der folgenden Strategie zurückgreifen. Sie nehmen vier zufällige, unzusammenhängende Worte und reihen diese aneinander. Im einfachsten Fall würde das in etwa so aussehen: „|hose|fernseher|wein|pflanze|“. Der Angreifer steht nun einem viel komplexeren Passwort gegenüber, das einen viel größeren Aufwand bedeutet. Der Angreifer wird sich deswegen vielleicht ein anderes Opfer suchen, welches seinen Account nicht so gut wie Sie schützt.

Auch bei dieser Passwortstrategie sind Ihrer Kreativität keine Grenzen gesetzt. Aus „|hose|fernseher|wein|pflanze|“ wird dann vielleicht „&h053&F3rn53h3r&w3!n&Pfl4n73&“. Es lassen sich auch beliebig weitere Wörter ergänzen. Kombiniert mit Leetspeak können Sie sich ein sehr sicheres Kennwort ausdenken, welches Ihre Daten zuverlässig schützen kann. Die Berechnung eines solchen Kennworts dauert selbst beim Gebrauch eines leistungsstarken Computers mehrere Jahre bis hin zu Jahrzehnten.

Ein abgekürzter Satz

Sie können sich eine Kombination aus nicht zusammenhängenden Worten eher schlechter merken, dann versuchen Sie folgende Strategie.

  1. Denken Sie sich einen Satz mit Ziffern, Jahreszahlen oder einer Datumsangabe aus
  2. Schreiben Sie den Satz auf (Den Zettel oder die Datei vernichten Sie im Anschluss am besten wieder!)
  3. Nehmen Sie alle Anfangsbuchstaben, Zahlen und Zeichen heraus
  4. Kombinieren Sie diese der Reihenfolge nach zu einem Passwort

 

Als Beispiel kann man den Satz „Am 31.03. sitze ich vor dem PC und schreibe seit 4 Stunden einen Blogartikel über Passwörter, aber gleich gibt es Mittagessen!“ heranziehen. Aus diesem kreieren wir das Passwort „A31.03.sivdP&ss4SeBüP,aggeM!“. Natürlich geht das kürzer mit weniger Worten, aber in diesem Fall haben wir ein absolut sicheres Passwort kreiert, das einer Brute-Force-Attacke Jahrzehnte standhalten kann.  Hacker wissen zwar ebenfalls von dieser Strategie, ist der Satz aber frei erfunden, haben sie keine Datenquelle, mit der sie ihren Angriff beschleunigen können.

Das sicherste Passwort: Ein kryptisches Passwort ohne Strategie

Absolut sichere Passwörter sind kryptisch und mit einer rein zufälligen Reihenfolge an Buchstaben, Ziffern und Sonderzeichen mit einer bestimmten Länge – je länger desto besser. Ein Angreifer hat somit keinerlei Anhaltspunkte Ihr Passwort schneller und leichter zu knacken, selbst wenn der Hacker aus Ihrem näheren Umfeld stammt und sämtliche Strategien kennt, hat er sehr, sehr lange daran zu beißen. Sollten Sie nicht einfach wirr auf ihrer Tastatur rumtippen wollen, kann Ihnen in diesem ein Passwortgenerator helfen, der Ihnen nach ihren Vorgaben ein absolut sicheres Passwort generieren kann. Solche Passwörter können Brute-Force-Attacken ebenfalls Jahrzehnte standhalten, sind allerdings schwerer zu merken.

Das Notieren des Passwortes

Sie haben sich für ein Passwort entschieden, im besten Fall haben Sie jedoch für jeden Account ein eigenes Passwort kreiert. Denn sollte ein Angreifer trotz Ihres sicheren Passwortes Zugriff auf eines Ihrer Konten erlangen, muss er für Ihre anderen Konten weitere aufwendige Attacken ausführen und kann nicht nochmal das bereits geknackte Passwort benutzen. Schützen Sie sich, Ihre Daten und Konten im besten Fall immer mit jeweils eigenständig kreierten Passwörtern.

Sie haben also viele Konten und deshalb viele schwer zu merkende Passwörter, und wollen diese jetzt auf einen Zettel notieren. Tun Sie das nicht! Im schlimmsten Fall schreiben Sie noch den Benutzernamen und das Medium dazu, um es dann unter der Tastatur zu verstecken. Auch in der Schublade, im Geldbeutel oder ungeschützt in einer Word-Datei, die offensichtlich im Desktopbereich gespeichert wurde, sind keine guten Verstecke. Vermeiden Sie solche Zettel oder Dokumente, und wenn, dann sperren Sie es in einen hochwertigen Tresor. Denn sollte ein Aggressor physischen Zugang zu Ihrem PC oder Laptop haben, werden Ihre Daten trotz der sichersten Passwörter in kürzester Zeit gestohlen. Der Angreifer wird Ihren Zettel unter der Tastatur finden oder auch das Word-Dokument auf Ihrem Desktop. Die daraus resultierenden Folgen reichen vom Diebstahl intimer Fotos, Vermögensverlusten bis hin zu einem kompletten Identitätsdiebstahl. Notieren Sie also nie Ihre Passwörter auf einem Zettel oder ungeschützt in irgendwelchen Worddokumenten.

Der digitale Schlüsselbund aka Passwort-Manager

Eine ernstzunehmende Alternative zu dem Zettel unter Ihrer Tastatur, um sich Ihre Passwörter zu notieren, stellen Passwort-Manager dar. Dabei handelt es sich um eine Anwendungssoftware, die eine verschlüsselte Datenbank für Sie bereitstellt. Hier können Sie Webadressen, Benutzernamen und dazugehörige Passwörter gesichert an einem Ort speichern und bei Bedarf darauf zurückgreifen. Die Passwortdatenbank kann zentral auf Ihrem PC, einem USB-Stick oder auch systemübergreifend in einer Cloud gespeichert werden. Idealerweise ist der Passwortmanager dann mit sehr starken Algorithmen verschlüsselt und durch ein eigenes Master-Passwort geschützt. Das Master-Passwort ist Ihr Zugangsschlüssel zur Datenbank und sollte natürlich dementsprechend sicher sein.

Um die Sicherheit nochmal massiv zu erhöhen, können Sie auch eine Zwei-Faktor-Authentifizierung oder eine zusätzliche, extern gespeicherte Schlüsseldatei verwenden. Besonders bei Cloud-basierten Passwort-Managern ist das ratsam, da trotzdem ein physischer Zugriff durch ein Zweitgerät für die Entschlüsselung der Datenbank erforderlich ist.

Vorsicht müssen Sie natürlich auch bei der Auswahl des Passwort-Managers walten lassen. Nicht jeder im Internet zu findender Passwort-Manager ist sicher oder gar vertrauenswürdig (Passen Sie auch immer darauf auf, wo Sie sich Dateien aus dem Internet runterladen).

Auf jeden Fall empfehlenswert ist die open-source basierte, kostenlose Software KeePass, welche die Passwortdatenbank sicher mit AES-256 verschlüsselt. Ein KeePass lässt sich außerdem mit einer zusätzlichen Schlüsseldatei sichern. Bonus: Sollte ein Aggressor tatsächlich Malware wie einen Keylogger (eine Software, welche die Tasteneingabe protokolliert) auf Ihrem PC installiert haben, um Ihre Passwörter zu „erspähen“, besitzt KeePass mit der Auto-Type-Funktion trotzdem einen Schutzmechanismus. Aber: KeePass besitzt noch keine eigene Cloud-Lösung. Sollten Sie also von mehreren Geräten Zugriff auf Ihre Passwörter brauchen, ist dies momentan nur mit Hilfe anderer Clouddienste machbar.

Es gibt aber noch zahlreiche andere Passwort-Manager, die man plattformübergreifend mit eigener Cloud-Lösung benutzen kann. Es gibt zum Beispiel den renommierten, aber kostenpflichtigen LastPass Premium. Er bietet zudem noch sehr viele nützliche Features wie Passwort-Sharing und Zwei-Faktor-Authentifizierung.

Mehr Sicherheit durch Zwei-Faktor-Authentifizierung

Um seine Daten trotz möglichem Diebstahl des Passworts zu schützen, wird die Zwei-Faktor-Authentifizierung immer gängiger. Für diese benötigt es zwei Faktoren, um den Zugang zu Ihrem Konto zu ermöglichen. In den meisten Fällen ist das ein Passwort, und ein anderer Faktor zur Entschlüsselung.

Eine typische Zwei-Faktor-Authentifizierung ist eine externe Schlüsseldatei. Der auf unterschiedliche Weisen generierte Tan bei Banken ist auch ein möglicher zweiter Faktor. Gängig sind auch andere Lösungen wie RFID-Karten, Speicherchips, etc. Apple, Google und andere Big Player im Internet setzen inzwischen auch auf einmalige Bestätigungscodes. Biometrische Faktoren spielen hier zunehmend eine Rolle. Oft wird als Zweitgerät für den zweiten Faktor das Smartphone genutzt. Je nach Technologie des Smartphones können hier Fingerabdrücke, Gesichtserkennung oder Stimmenerkennung zum Einsatz kommen.

Egal welcher Faktor benutzt wird, es stellt für jeden Angreifer eine weitere Schranke dar, an Ihre Daten zu kommen. Es minimiert das Risiko vor unbefugten Datenzugriff und ist somit durchaus zu empfehlen. Ein gewissen Restrisiko besteht dennoch. Sollten ihre Daten entsprechend sensibel sein, lassen Sie sich auch mit mehreren Faktoren absichern. So können ein Passwort, ein einmaliger Bestätigungscode und eine externe Schlüsseldatei mit einer Drei-Faktor-Authentifizierung Ihre Daten schützen. Theoretisch lassen sich die Faktoren ins Unzählige addieren, jedoch wurde bisher noch keine wirkliche Schwachstelle in der Zwei-Faktor-Authentifizierung gefunden, weshalb wir diese in den meisten – vor allem im privaten Gebrauch – Fällen mit guten Gewissen empfehlen können. Bitte beachten Sie aber, dass die Faktoren voneinander unabhängig sein sollten.

Weitere nützliche Tool für Passwörter

Ein Tool, um Passwörter zu Freunden oder Kollegen zu schicken, ist der Password Pusher https://pwpush.com/p/a67o4d3sha8hn09x . Hier können Sie ein Passwort verschlüsselt zu anderen Personen via Link schicken. Sie können hier Bedingungen hinzufügen, ab welchem Zeitpunkt das Passwort unwiderruflich gelöscht wird. Beispielsweise nach zwei Tagen und drei Views, falls Sie es mit drei Personen teilen wollen. Natürlich bestehen auch hier einige Risiken, aber es ist auf jeden Fall besser als das Passwort unverschlüsselt in einer Nachricht zu schicken, welche auch noch auf mindestens zwei Endgeräten gespeichert werden kann. Der Password-Pusher ist ein Open-Source-Projekt.

Mit dem Password Generator können Sie sich ein nach Ihren Vorgaben kryptisches Passwort generieren lassen. In vielen Passwort-Managern ist diese Funktion bereits integriert. Es gibt aber auch im Internet auf verschiedenen Websites Generatoren. Oftmals können Sie hier präzise Einstellungen zu Länge und Sonderzeichen treffen. Ein Beispiel für einen umfangreichen Passwortgenerator ist https://passwordsgenerator.net/de/.

Fazit für ein sicheres Passwort

Verwenden Sie am besten ein kryptisches Passwort mit mindestens acht Zeichen. Ob Sie eine der Passwortstrategien anwenden oder sich eines generieren lassen, bleibt ganz Ihnen überlassen. Aber ein kryptisches Passwort mit mindestens acht Zeichen kann Brute-Force-Attacken sehr gut standhalten. Notieren Sie ihre Passwörter bitte nie auf einem Zettel in der Nähe ihres Computer. Wenn Sie ihre Passwörter notieren wollen, benutzen Sie einen vertrauenswürdigen Passwortmanager. Das Masterpasswort für diesen sollte ebenfalls sehr, sehr stark gewählt sein. Schützen Sie ihre sensiblen Daten wie Mails, Bankdaten, etc. am besten mit der Zwei-Faktor-Authentifizierung.

Selbst mit den sichersten Methoden besteht immer ein Restrisiko. Mit unseren Ratschlägen können Sie das Risiko einen Datendiebstahls mit geringem Aufwand massiv reduzieren. Gehen Sie dazu gerne in Ruhe nochmal unsere Passwort-Checkliste durch:

Unsere Passwort-Checkliste

Klicken Sie hier, um diesen Beitrag zu bewerten!
[Insgesamt: 5 Durchschnittlich: 5]
Inhaltsverzeichnis

Aktuelle Beiträge

Picture of rsadmin
rsadmin

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert