Sie begleiten uns täglich, überall braucht man sie… Passwörter! Hier ein Google-Konto, da Amazon, das E-Mail-Postfach, Soziale Netzwerke, ebay, diverse Online-Shops und Webforen, sonstige Webdienste, der eigene Rechner, der PC am Arbeitsplatz… Überall benötigt man Passwörter. Natürlich sollen Passwörter möglichst komplex sein, und nach Möglichkeit sollte auch bei jedem Dienst ein anderes Passwort verwendet werden.

Doch wer kann sich das alles merken? Da wird sich schnell mal ein halbwegs sicheres Passwort ausgedacht, welches dann aber in jedem Dienst verwendet wird. Dass das nicht sicher ist oder sein kann, dürfte klar sein. Im Licht immer neuer Enthüllungen über gehackte E-Mail-Konten, und Facebook-Zugänge sollte man sowas in jedem Fall vermeiden!

Und es ist gar nicht so schwer, komplexe Passwörter zu verwenden und auch überall ein anderes zu benutzen.

Was ist ein sicheres Passwort?

Passwörter sollten nicht einfach aus Namen zusammengesetzt werden, da der Angreifer recht schnell den Namen des Ehepartners oder des Kindes herausfinden kann. Klar lesbare Wörter können mit Hilfe von Wörterbuchangriffen relativ effektiv gehackt werden.

Ebenso problematisch sind kurze Passwörter, selbst wenn sie nur aus wirren Zeichen bestehen. Hier kann durch simples Ausprobieren aller Zeichenkombinationen das Passwort schnell ermittelt werden, wenn auch nur automatisiert. Das ist die sog. Brute Force Attacke.

Ein sicheres Passwort hat mindestens 12 Zeichen, oder mehr. Je mehr Zeichen, desto besser! Darüber hinaus sollte ein Passwort Groß- und Kleinbuchstaben, sowie Ziffern und Sonderzeichen enthalten.

Nehmen wir als Beispiel nur Kleinbuchstaben, und dann ein 3 Zeichen langes Passwort. Der Zeichenvorat besteht hier also aus 26 Zeichen. Das ergibt 17.576 mögliche Kombinationen. Nehmen wir allein die Großbuchstaben und Ziffern dazu, besteht der Zeichenvorrat schon aus 26 + 26 + 10 = 62 Zeichen. Um unser 3-Zeichen-Paswort zu knacken, brauchen wir dann also schon schlimmstenfalls 238.328 Versuche, das immerhin ein Faktor von ca. 13,5!

Nehmen wir ein viertes Zeichen dazu, so braucht der Angreifer bis zu 14.776.336 Versuche. Man sieht hier also sehr schön, wie stark die Komplexität bei Vergrößerung des Passwortes schon zunimmt, wenn man nur ein Zeichen hinzufügt. Haben wir 12 Zeichen, so haben wir bereits 3,776 * 10⁸86 Kombinationsmöglichkeiten. Einmal ausgeschrieben sind das rund…

3776000 0000000000 0000000000 0000000000 0000000000 0000000000 0000000000 0000000000 0000000000

…Kombinationsmöglichkeiten. Hierbei sind jetzt wie gesagt nur Groß- und Kleinbuchstaben, sowie Ziffern berücksichtigt, aber noch keine Sonderzeichen. Man sieht hier also sehr schön, dass es bei einem langen Passwort sehr schnell eine Komplexität annimmt, die nicht mehr so leicht zu knacken ist.

Ein Beispiel für solch ein Passwort: FjikvTnu3qdB!

13 Zeichen, damit kann man schonmal was anfangen! Nur wer merkt sich sowas? An späterer Stelle zeige ich, dass es einfacher ist, sich solche Passwörter zu merken, als es jetzt den Anschein hat.

Paswort-Manager

Mit Hilfe eines Passwort-Managers braucht man sich nur noch ein Passwort zu merken, nämlich das für den Passwort-Safe. Sobald dieser entsperrt ist, so kann man in diesen sämtliche Zugangsdaten ablegen und kann diese dann bequem bei Bedarf abrufen. Die Passwörter werden verschlüsselt gespeichert, so dass man hier relativ wenig Sorgen haben muss, dass da jemand unbefugtes dran kommt. Darüber hinaus bieten diese Passwort-Manager in der Regel auch die Möglichkeit, komplexe Passwörter per Zufallsgenerator zu generieren. Da wir uns die ja nicht mehr merken müssen, können wir hier also problemlos auch zusammengewürfelte Passwörter mit 20 Zeichen generieren lassen.

KeePass ist ein solcher Passwort-Manager, welcher als OpenSource verfügbar ist und somit als sicher gilt. Den gibt es für Linux, Windows, MacOS, aber auchals App (zumindest für Android, was den Apfel angeht, bin ich da nicht im Bilde), so dass man seine Passwörter auch auf dem Telefon mit sich führen kann. Selbst bei geöffnetem Tresor muss man zur Erlangung des Passwortes immernoch auf “Passwort anzeigen” klicken, so das man immer nur maximal einen Zugang mit Passwort auf dem Bildschirm sehen kann.

KeePass gilt als sicher, allerdings sollte man sich klar machen, dass die Passwörter in einer verschlüsselten Datei abgelegt werden. Das ist zwar bisher noch nicht geknackt, aber es wäre zumindest denkbar. Wer professionell versucht, solche Dateien zu knacken, hat in der Regel deutlich bessere Rechenpower als selbst der best ausgestattetste Heim-PC. Einen 100%igen Schutz gibt es da also nicht!

Passwörter ohne Passwort-Manager

Wem es zu riskant ist, einen Passwort-Manager zu benutzen, der muss sich eine Eselsbrücke bauen, um sein Passwort nicht zu vergessen. Errinnern wir uns an mein Beipsiel von oben:

FjikvTnu3qdB!

Sicher fragt man sich, wie kann man sich denn sowas merken? Das ist aber wieder ganz einfach, denn es handelt sich hier um den jeweils ersten Buchstaben oder das erste Zeichen eines jeden Wortes in folgendem Satz, den sog. Kernsatz:

Franz jagt im komplett verwahrlosten Taxi nachts um drei quer duch Bayern!

aus der “drei” in dem Satz habe ich für die Verwendung im Passwort eine “3” gemacht, das Ausrufezeichen übernehmen wir einfach als Sonderzeichen. Mit Hilfe dieses Satzes, den man sich sehr leicht einprägen kann, kann man sich schnell wieder das kompliziert anmutende Passwort herleiten.

Den Kernsatz können wir bei Bedarf auf einen Zettel schreiben und im Safe deponieren.

Ja aber, ich brauche 30 verschiedene Passwörter, oder mehr!

Richtig, und hier kommt dann doch wieder der Passwort-Manager ins Spiel, oder ein Zettel. Wir kombinieren jetzt einfach beide Methoden. Wir denken uns genau einen Kernsatz aus, welchen wir uns einprägen und im Gedächtnis behalten und nirgends niederschreiben. Es ist wichtig, dass dieser Kernsatz auch nicht als Passwort für den Passwort-Manager genutzt wird, damit dieser nicht bekannt wird, sollte doch mal jemand den Passwort-Safe knacken.

Als zweite Komponente kommt dann nun ein weiteres Passwort, welches wir wie gehabt mit dem Zufallsgenerator des Passwort-Managers generieren und dort auch speichern. Für den eigentlichen Zugang, setzen wir beide Passwörter zusammen und erhalten so eine maximale Sicherheit.

Beispiel für Facebook - Wir generieren ein 8 Zeichen langes Zufallspasswort:

Cheika2G

Dieses speichern wir zusammen mit dem zugehörigen Benutzernamen im Passwortmanager.

Nun fügen wir noch unser Kernsatz-Passwort am Anfang hinzu und erhalten somit:

FjikvTnu3qdB!Cheika2G

Dieses Passwort setzen wir bei Facebook. Das dürfte wohl so schnell niemand knacken!

Sollte nun jemand den Passwort-Manager knacken, so findet er nur den Benutzernamen und den zweiten Teil des Passworts, nämlich “Cheika2G”. Damit kommt er nicht weiter!

Sollte jemand zufällig an den Kernsatz herankommen, so ist das zwar auch blöd, aber auch damit kommt er nicht weiter, weil die zweite Hälfte des Passworts fehlt, ebenso verfügt er nicht über den Benutzernamen, oder wofür das Passwort verwendet wurde.

Sollte das Passwort für einen Dienst verwendet worden sein, bei dem die Passwörter unverschlüsselt in der Datenbank abgelegt wurden, so bekommt der Angreifer im Erfolgsfall Zugriff auf dieses eine Benutzerkonto, kann aber nicht auf andere Verwendungen zurückschließen.

Wie heißt Ihr Haustier?

Diese und ähnliche Fragen sieht man immer wieder mal als Passwort-Wiederherstellungsfrage. Was nützt uns also das komplizierteste Passwort, wenn der Name der Katze oder des Hundes womöglich noch mit einem schönen Foto bei Facebook gepostet werden?

Oft muss man zwar inzwischen 2 bis 3 solcher Fragen beantworten, aber oft lässt sich die Antwort zumindest bei näherer Bekanntschaft der Zielperson ermitteln.

Da wir ja unsere Passwörter jetzt gut gesichert haben, und diese Fragen eigentlich nie präsentiert bekommen sollten, können wir hier wieder genauso vorgehen, und generieren ein Zufallspasswort mit mindestens 32 Zeichen, speichern dieses wieder im Passwortmanager und setzen unser Kernsatz-Passwort davor. Auf diese Weise kann der Angreifer sich die Zähne ausbeißen :-)

Fazit

Wenn man die Disziplin wahrt, und den gleichbleibenden Teil seines Passworts stets im Gedächtnis behält und nicht im Passwort-Manager oder womöglich im Browser speichert, bietet diese Methode eine hohe bis sehr hohe Sicherheit. Gerade dieses Aufteilen stellt eine Art hausgemachte Zweifaktor-Authentifizierung dar, und auf Grund der hohen Länge des Gesamtpassworts erhöht sich die Sicherheit des Passwortes deutlich.

Wird eines dieser Passwörter dennoch einmal ausgespäht, so ist dem Angreifer die Zusammensetzung des Passworts weiterhin unbekannt, und es besteht noch keine Gefahr für die anderen Passwörter.

Problematisch wird es erst, wenn ein und derselbe Angreifer 2 oder mehr dieser Passwörter ausgespäht hat und das System erkannt hat. Aber auch dann braucht er natürlich zusätzlich noch Zugriff auf die restlichen Teilpasswörter, um weiter zu kommen.

Gerade Windows-Systeme sind aber auch anfällig für Spionagesoftware, insbesondere Keylogger, welche alle Tastatureingaben mitprotokollieren. Dagegen ist selbst das sicherste Passwort nicht gefeit. Ebenso stellen Webcams ein Risiko dar, insbesondere, wenn diese auf die Tastatur gerichtet sind.

Alles in allem sollte man von Zeit zu Zeit seine Passwörter ändern, insbesondere wenn der Verdacht besteht, dass ein Benutzerkonto gehackt wurde.

Denn es gilt wie immer… Diesen Satz kann man gar nicht oft genug wiederholen… 100%ige Sicherheit gibt es nicht!