Wie erzeugt man ein sicheres Passwort?

Sichere Passworte

Viele Accounts, die der durchschnittliche User hat, sind mittlerweile über Webdienste erreichbar. Insbesondere soziale Netzwerke werden heutzutage besonders intensiv genutzt. Fast jeder hat einen Account in einem sozialen Netzwerk wie Facebook oder Twitter. Um diese Accounts ausreichend zu schützen, braucht man sichere Passwörter.

Was macht ein sicheres Passwort aus?

Ein sicheres Passwort ist im World Wide Web alternativlos, um einen Account und somit auch die Privatsphäre und die eigenen Datenausreichend zu schützen. Aber auch für den Zugang zum heimischen Computer ist ein sicheres Passwort dringend zu empfehlen.

Was macht nun ein sicheres Passwort aus? Dafür gibt es einige Grundregeln, die man unbedingt beachten sollte.

WICHTIG: Die hier aufgeführten Grundsätze sind ausschließlich für den privaten Gebrauch gedacht und nur bedingt für Umgebungen geeignet, die eine höhere Sicherheit verlangen! Insbesondere im beruflichen Umfeld halten Sie sich bitte ausschließlich an die Passwort-Policies Ihres Arbeitgebers!

  • Je kürzer ein Passwort ist, umso schneller und leichter ist es durch simples Raten, das man auch automatisieren kann, zu knacken. Das Passwort sollte daher mindestens 8, besser 10 Zeichen lang sein. Ein längeres Passwort ist dabei unter Umständen einem komplexeren Passwort vorzuziehen!
  • Neben dem Raten von Passwörtern sind sogenannte Wörterbuchattacken ein beliebtes Mittel, um ein Passwort herauszufinden. Ein Angreifer probiert dabei automatisiert Wörter aus Wörterbüchern als Passwort aus. Das Passwort darf daher kein Wort sein, das man in irgendeinem Wörterbuch findet. Das gilt nicht nur für deutsche Wörter und Wörterbücher, sondern auch für fremdsprachige.
  • Das Passwort darf aus denselben Gründen kein Name sein. Auch Namen sind leicht zu erraten und finden sich nicht selten in Wörterbüchern.
  • Angreifer versuchen oft, an persönliche Informationen des Account-Inhabers heranzukommen, um so auf ein Passwort schließen zu können. Das Passwort darf aus diesem Grund nicht aus dem sozialen Umfeld des Account-Inhabers erschließbar sein. Somit darf es auch kein Geburtsdatum oder ähnliches sein.
  • Das Passwort sollte aus einer Mischung aus Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen zusammengesetzt sein. Auch hierbei gilt jedoch, dass Vereinfachungen wie Geburtsdaten tabu sind! Aus diesen Erfordernisssen ergibt sich die letzte zusammenfassende Regel:
  • Das Passwort muss – mit einer Ausnahme, die am Ende diskutiert wird – für Außenstehende zufällig aussehen und darf für sie nicht erratbar sein, muss aber für den Account-Inhaber wiederum leicht zu merken oder wiederherzustellen sein.

Insbesondere der letzte Punkt stellt bei der Erstellung eines sicheren Passworts ein Problem dar. Denn ein Passwort wie R4)daK(90 mag durchaus sicher sein. Aber das kann sich kein Mensch merken.

Wie erzeugt man ein sicheres Passwort?

Wie kann man nun aber überhaupt ein hinreichend sicheres Passwort generieren, das man sich auch merken kann? Ich möchte in diesem Artikel eine praktische Methode vorstellen, mit der jeder auf einfache Art und Weise ein sicheres Passwort erzeugen kann. Dabei helfen sogenannte Bildungsregeln. Will man ein Passwort erzeugen, überlegt man sich zunächst einen Satz, den man sich ruhig aufschreiben darf, sowie eine Bildungsregel für das Passwort, das aus diesem Satz erzeugt werden soll. Nehmen wir an, der Satz, den wir uns ausdenken, heißt:

In den USA habe ich mir in der 4. Woche Schuhe von NIKE für 40 $ gekauft.

Aus diesem Satz wollen wir jetzt ein Passwort bilden. Also brauchen wir eine Bildungsregel. Damit es jemand, der den Satz vielleicht erfährt, nicht so einfach hat, das Passwort zu ermitteln, legen wir fest, dass wir das Passwort aus dem zweiten Zeichen des jeweiligen Wortes bilden wollen, wobei wir das $-Zeichen zusätzlich einbauen. Wenn Sie eine Zufallskomponente einbauen wollen, können Sie die Nummer des zu verwendenden Zeichens auch auswürfeln. Das Passwort würde dann folgendermaßen gebildet:

In den USA habe ich mir in der 4. Woche Schuhe von PIKI für 40 $ gekauft.

Die Zeichen, die nun das Passwort bilden sollen, sind hier fett markiert. Das Passwort sähe dann so aus:

neSacine.ocoIü0$e

Dieses Passwort erfüllt alle unsere Regeln: Es hat eine Länge von mehr als 10 Zeichen, enthält Klein- und Großbuchstaben, Zahlen und Sonderzeichen gemischt, wirkt auf Außenstehende zufällig und ist somit für sie nicht zu erschließen, für uns aber aus unserer Bildungsregel jederzeit wieder herstellbar.

Wie oben schon erwähnt, ist es in diesem Fall durchaus erlaubt, den Satz, aus dem das Passwort gebildet wird, aufzuschreiben, solange aus der Notiz nicht ersichtlich ist, dass es sich um einen Satz zur Bildung eines Passworts handelt und Sie sich zudem die Bildungsregel merken. Wenn Sie es einem Angreifer noch schwerer machen wollen, können Sie sich natürlich auch eine komplexere Bildungsregel ausdenken, beispielsweise indem Sie den ersten Buchstaben des ersten Wortes, den zweiten Buchstaben des zweiten Wortes usw. zur Erzeugung des Passworts wählen.

Last but not least ist bei der Generierung des Passworts allerdings noch zu beachten, dass unter Umständen Sonderzeichen vermieden werden sollten. Wenn Sie beispielsweise im Ausland auf einen Account zugreifen müssen, kann es durchaus sein, dass Sie eine Tastatur zur Verfügung haben, die ein von Ihnen verwendetes Sonderzeichen, zu denen auch deutsche Umlaute zu zählen sind, nicht enthält. In diesem Fall sollten Sie bei der Erzeugung von Passwörtern auf Sonderzeichen verzichten und eher ein etwas längeres Passwort erzeugen.

Weitere wichtige Hinweise

Das sicherste Passwort ist natürlich sinnlos, wenn andere leicht an das Passwort herankommen. Beachten Sie daher zusätzlich folgende Regeln im Umgang mit Passwörtern im Web:

  • Schreiben Sie das Passwort selbst nicht auf, es sei denn, Sie können es ganz sicher so verwahren, dass niemand anderes herankommt.
  • Speichern Sie das Passwort nicht im Browser.
  • Geben Sie Ihr Passwort nur in ein Formular einer Webseite ein, der Sie hundertprozentig vertrauen. Insbesondere wenn Sie in einer Mail dazu aufgefordert werden, ist Vorsicht geboten. Klicken Sie dann nicht auf einen evtl. angegebenen Link, sondern geben Sie den Ihnen bekannten URL zu Ihrem Account von Hand ein und tippen Sie dann dort das Passwort ein.

Es gibt darüber hinaus noch eine weitere Methode, um sichere Passwörter zu erzeugen, die in jüngerer Zeit – teils kontrovers – diskutiert wird und die ich hier kurz erwähnen möchte, weil man mit dieser Methode sehr leicht merkbare und dennoch sichere Passwörter erzeugen kann.

Thomas Baekdal schlägt in einem interessanten Artikel diese Methode vor. Ihr Reiz besteht darin, dass dabei nicht zufällige Zeichenfolgen, sondern natürlichsprachliche Sätze zur Bildung eines Passworts gewählt werden. Denn im Gegensatz zu einzelnen Wörtern, die durch Wörterbuchattacken in kürzester Zeit ermittelbar sind, sind ganze Sätze mit Leerzeichen, die eventuell auch nocht Satzzeichen und Zahlen enthalten, laut Baekdal sehr sicher und zudem extrem leicht zu merken. Baekdal rät, mindestens drei Wörter und zudem ungewöhnliche Wörter zu wählen, um Wörterbuchattacken zu erschweren.

Zwar wird dieser Ansatz von anderen Autoren als unzulänglich kritisiert, weil die generierten Passwörter nicht komplex und nicht zufällig genug seien. Baekdal zeigt jedoch, dass es bei entsprechend langen Sätzen auch ohne zufällige Zeichen sehr lange dauert, bis ein Passwort geknackt ist.

Die größte Gefahr bei Baekdals Methode sehe ich in Social Engineering. Es besteht die Möglichkeit, dass jemand durch geschicktes Ausfragen einer Person an die Passwort-Phrase kommt. Dem lässt sich meines Erachtens entgegenwirken, indem man Sätze wählt, die nur schwer erratbar sind, und zwar vor allem auch dann, wenn man die Person, die das Passwort verwendet, kennt, die man sich selbst aber leicht merken kann. Dies ist zum Beispiel bei Sätzen der Fall, deren Bedeutung nur Sie verstehen. Haben Sie zum Beispiel einen Hund namens Bello, so dürfte der Satz „Mein Hund heißt Bello“ keine gute Wahl sein, weil ein Angreifer, der davon weiß, diesen Satz ausprobieren wird. Wenn aber nur Sie wissen, dass Bello eine Spielzeugpuppe hat, die Lulu heißt, so ist der Satz „Bello spielt mit Lulu“ wesentlich sicherer, weil er nicht erratbar ist und „Lulu“ zudem wahrscheinlich in keinem Standardwörterbuch vorkommt.

Welche Methode finden Sie sicherer? Vertrauen Sie lieber auf zufällig generierte oder komplexere Passwörter nach der ersten erläuterten Methode, die dafür aber schwerer zu merken sind, oder könnten Sie sich vorstellen, natürlichsprachige Sätze als Passwort zu verwenden?

3 Gedanken zu “Wie erzeugt man ein sicheres Passwort?”

Schreibe einen Kommentar