Sichere Passwörter sind essenziell, wenn man viel im Internet unterwegs ist. Doch da fängt das Problem an; ob E-Mail-Konto, Web-Forum oder Social Media Webseite: Für jeden genutzten Dienst benötigt man Nutzername und Passwort. Wie soll man diese Ansammlung an Zugangsdaten verwalten geschweige denn, sich die Passwörter merken?
Mit den richtigen Werkzeugen und einer praktikablen Strategie zur Passwortverwaltung ist diese Herausforderung relativ einfach gemeistert. Wir haben für Sie die wichtigsten Methoden und Tipps zusammengestellt, damit Sie die Übersicht über Ihre Passwörter behalten ohne Kompromisse bezüglich der Sicherheit einzugehen.
An vielen Stellen heißt es, ein gutes Passwort sollte möglichst lang sein (idealerweise 20 Zeichen oder mehr) und eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Das ist als generelle Richtlinie nicht unbedingt verkehrt, ist aber oft unpraktikabel. Insbesondere wenn man viele verschiedene passwortgeschützte Dienste und Daten verwaltet, braucht man eine anwendbare Strategie.
Wer viele verschiedene Passwörter benutzt, sollte unbedingt einen Passwort-Manager in Betracht ziehen. Es gibt dazu eine Auswahl an Software, die Passwörter (und andere Zugangsdaten aller Art) verschlüsselt speichern und verwalten können. Eine der bekanntesten Software dafür ist KeePass (Linux/Windows), beziehungsweise KeePassX (macOS). Dieses Passwort-Tool ist Open Source und gilt allgemein als vertrauenswürdig. KeePass ist dabei in der Lage, sichere Passwörter nach nahezu beliebigen Mustern zu generieren.
Für solche Passwort-Manager gibt es oft auch eine Browser-Integration (KeeFox für Firefox zum Beispiel), doch diese sind mit Vorsicht zu genießen: Während nach derzeitigem Kenntnisstand keine kritischen Sicherheitsprobleme bekannt sind, ist der Browser prinzipiell eine Schwachstelle: Sollte im Browser eine ausnutzbare Sicherheitslücke auftauchen, so kann das auch die Browser-Erweiterung des Passwort-Managers betreffen, selbst wenn diese allein genommen keine Sicherheitslücke aufweist.
Wer Passwort-Managern grundsätzlich nicht vertrauen möchte, kann natürlich auch einfach eine Textdatei benutzen, um das Passwort zu speichern. Hier sollte man dann aber natürlich darauf achten, dass diese in einem verschlüsselten Container liegt (beispielsweise auf einem vollverschlüsselten USB-Stick, der nur bei Bedarf eingesteckt wird).
In beiden Fällen benötigt man entweder einen privaten Schlüssel und/oder ein Master-Passwort, welche unabhängig verwahrt werden müssen. Wenn Sie ein Passwort verwenden, sollten Sie dieses unbedingt schriftlich notieren. Selbst wenn Sie sicher sind, dass Sie sich das Passwort gut eingeprägt haben, mag das nicht mehr der Fall sein, wenn Sie aus irgendwelchen Gründen mehrere Wochen nicht mehr auf die Passwort-Datenbank zugegriffen haben.
Egal, ob man sich für Password-Safe oder verschlüsselte Textdatei entscheidet, man sollte in jedem Fall sicherstellen, regelmäßig Backups dieser Datenbank beziehungsweise Datei anzulegen, denn ein unwiderruflicher Verlust aller Passwörter ist eines der ärgerlichsten (wenngleich nicht das schlimmste) Szenario.
Eine weitere Methode zur Eindämmung der Unübersichtlichkeit von vielen Passwörtern ist die Kategorisierung in verschiedene Sicherheitsklassen. Nicht jedes Passwort beschützt wirklich sensible Daten und braucht daher auch nicht den höchsten Sicherheitsansprüchen genügen. Als Beispiel: In vielen Web-Foren hat man erst dann Leserechte, wenn man angemeldet ist. Oft will man dort gar nichts posten, sondern nur passiv „lurken“.
Solche Dienste brauchen nicht unbedingt mit sicheren Passwörtern versehen werden, da es Ihnen de facto egal sein kann, ob diese Zugangsdaten eingenommen werden. In solchen Fällen genügt ein kurzes, einfach zu merkendes Passwort. Aber Vorsicht: Auch bei unwichtigen Zugängen sollten Sie dort gesetzte Passwörter grundsätzlich nicht für andere unwichtige Seiten nutzen, sondern immer zumindest eine geringe Abweichung einbauen (beispielsweise Teile der URL integrieren). Denn wenn mehrere Zugänge gleichzeitig gehackt sind, kann das möglicherweise gravierendere Konsequenzen haben als der Einzelfall.
Auf der anderen Seite gibt es natürlich Daten, die auf keinen Fall Unbefugten zugänglich sein dürfen. Beispielsweise alles, was den Zugriff auf Finanzen erlaubt, fällt unter diese Kategorie (zum Beispiel Zugangsdaten für Online-Banking, Kreditkarteninformationen oder das Passwort für die Bitcoin-Wallet). Solche Zugänge und Daten sollten mit einer starken Passphrase versehen werden.
Wir sagen an dieser Stelle „Passphrase“ statt „Passwort“ um zu verdeutlichen dass es von der Länge her eher einen Satz als ein Wort darstellt – dazu gleich mehr.
Bevor man sich für ein Passwort entscheidet, sollten man sich überlegen, wie schlimm ein möglicher Hack der Daten ist. Im Zweifelsfall sollte man sich immer für das längere aber sicherere Passwort entscheiden.
Was genau macht also ein sicheres Passwort aus? Ein relativ verbreiteter Irrglauben ist, dass das Austauschen von Buchstaben durch Zahlen und Sonderzeichen die Sicherheit verbessert. Das ist heute nur noch bedingt richtig: Inzwischen sind Algorithmen und Software zum Passwortknacken wesentlich fortgeschrittener als simples raten („Brute-force“). Moderne Software greift auf Datensätze vorher geleakter Passwörter zurück – und davon gibt es sehr viele. Bei Adobe allein wurden im Jahre 2013 bei einem Angriff über 130 Millionen Kunden-Passwörter herausgetragen. Cracking-Programme greifen auf solche Datensätze zurück, um die am häufigsten verwendeten Muster zu erkennen und anzuwenden.
Ein weiterer Nachteil beim Benutzen von Zahlen und Sonderzeichen ist die erschwerte Merkbarkeit. Das Passwort „S1ch3re$*P4%%w0rT19“ lässt sich kaum merken, insbesondere dann nicht, wenn man es längere Zeit nicht mehr benutzt hat. Wenn Sie einen Passwort-Manager verwenden, ist dies natürlich nicht relevant aber dann sollten Sie lieber vom Passwort-Manager generierte Passwörter verwenden – diese bieten deutlich höhere Sicherheit.
Manche Passwörter, wie das Master-Passwort für die Datenbank, möchte man sich aber merken ohne einen Kompromiss zur Sicherheit einzugehen. Eine der besten Methoden dafür beschrieb Randall Munroe in seinem comic xkcd:
Anstatt schwer merkbare Sonderzeichen und Zahlen zu verwenden, sollte man stattdessen einfach die Anzahl der Wörter erhöhen, ohne einen sinnvollen Satz zu bilden (so dass aus dem Passwort eine richtige Passphrase entsteht). Auf das deutsche übertragen würde das Beispiel-Passwort „Richtig Pferd Batterie Heftklammern“. Diese kann man mit Bildern beziehungsweise einer Situation assoziieren, was die Merkbarkeit deutlich erhöht.
Es ist zwar richtig, dass solche Wörter an sich anfällig für Wörterbuch-Attacken sind, aber bei einer Kombination von vier oder gar fünf Wörtern ist ausreichend Entropie gegeben, dass Angriffe nicht mehr praktikabel sind. Außerdem kann man natürlich Phantasie-Wörter oder Eignnamen mit einbauen, um diesen Angriffsvektor auch noch auszuschalten.
Wie schwierig ein Passwort zu erraten ist, hängt von dessen Entropie ab. Es gibt zwei Wege, diese zu erhöhen: Durch Vergrößerung der Menge verwendeter Zeichen (Groß- und Kleinschreibung, Zahlen, Sonderzeichen) oder durch Verlängern der Gesamtlänge. Verlängerung empfiehlt sich für Passwörter, die man sich merken möchte. Bei von Passwort-Managern verwalteten Passwörtern spielt weder die Merkbarkeit noch die Länge eine Rolle, weshalb der volle Zeichensatz in einem sehr langen Passwort verwendet werden kann.
Fazit:
Für welche Methode Sie sich auch entscheiden: Mit einem gut gewählten Passwort und der richtigen Verwaltung können Sie bereits viele Angriffe aus dem Netz abwehren. Das VPN von Perfect Privacy bietet dabei zusätzlichen Schutz vor Eindringlingen, die versuchen Ihre Privatsphäre auszuspähen.