Passwörter: Der endgültige Ratgeber

News
Von TechRadar Deutschland
veröffentlicht

Zwischen digitaler Sicherheit und haarsträubenden Lücken stehen oftmals nur ein paar Symbole – die jedoch den totalen Unterschied ausmachen können.

Ein Passworteingabefeld mit 9 Sternchen
(Bildnachweis: (stock.adobe.com © jamdesign))

Man kann nicht digital agieren, ohne immer wieder auf Passwörter zu treffen. Der Grund dafür ist, dass sie an vielen Stellen zwischen WLAN, Smart Home und Mobile Payment das Einzige sind, was zwischen einem privaten Konto und katastrophalen Sicherheitslücken steht. Allerdings zeigt die Zahl erfolgreicher Hacks, dass nach wie vor viele nicht wissen, was es zu dieser so wichtigen Kombination aus Buchstaben, Ziffern und Sonderzeichen zu wissen gibt. Wir verraten es dir jetzt und erklären dir alles, was du als normaler Anwender wissen solltest.

DISCLAIMER

Du wirst in diesem Artikel verschiedene Beispiele für schlechte als auch sehr gute Passwörter lesen. Bitte kopiere jedoch keines davon, weder 1:1 noch annäherungsweise. Dadurch, dass diese Passwörter im öffentlichen Netz stehen, musst du sie grundsätzlich als kompromittiert und somit unsicher betrachten.

1. Passwörter und ihre Arten

Das Passwort als hat seine Ursprünge im militärischen Bereich: Pass Word – also ein Wort, nach dessen Nennung man passieren durfte. Schon dieses Detail zeigt, dass es signifikante Unterschiede gibt.

Das Einmalpasswort

Jemand sitzt vor einem Laptop und hält einen roten Tan-Generator in der Hand

Eine TAN aus dem Generator ist ein ganz typisches Beispiel für ein nur einmal benutzbares Passwort. (Image credit: (stock.adobe.com © Guntar Feldmann))

Das Einmalpasswort ist das sicherste Passwort überhaupt. Es ist, wie der Name sagt, dafür designt, nur ein einziges Mal verwendet zu werden und verliert danach seine Gültigkeit.

Diese innewohnende enorme Sicherheit wird nochmals verbessert, weil digitale Technik es ermöglicht, solche Passwörter mit einem Zeitfenster zu koppeln. Beim Onlinebanking ist das beispielsweise häufig mit der TAN so.

Allerdings hat diese Sicherheit ihren Preis: Ein solches Passwort kannst du dir nicht auf herkömmliche Weise merken, zumindest nicht für Anwendungen, bei denen du dich immer wieder einloggen möchtest.

WICHTIG

Passwörter sind die Quintessenz der Maxime, wonach etwas entweder komfortabel oder sicher sein kann. Je komfortabler du es dir hierbei in jeglicher Hinsicht machst, desto wahrscheinlicher ist es, dass dein Passwort einem (entschlossenen, fähigen) Angreifer nicht lange standhalten wird.

Das persönliche Passwort

Dieser Begriff klingt ein bisschen nach Geheimdienst. Die Wahrheit hinter dem persönlichen Passwort ist jedoch viel einfacher. Es ist ein Passwort, das dir allein zugeordnet ist. Es ist der Schlüssel zu deinem Amazon-Account; das Wort, das deinen Rechner entsperrt und die PIN, mit der du Geld abhebst.

Doch merke dir: Die Übergänge sind fließend. Denn dass ein Passwort wirklich persönlich bleibt, hängt stark von deinen Geheimhaltungsfähigkeiten ab – womit wir dann doch wieder ein bisschen bei James Bond wären.

Das geteilte Passwort

Dein WLAN-Router ist das perfekte Beispiel für den Einsatz eines geteilten Passworts. Diesen Code kennt also jeder, dem du Zugriff gestattest. Im Unterschied zu einem kompromittierten persönlichen Passwort geschieht dies jedoch freiwillig.

Aus Geheimhaltungssicht hat ein solches Passwort jedoch sowohl Stärken als auch Schwächen:

+ Es kann ein kryptographisch sehr sicheres Passwort für mehrere Personen angelegt werden. Das eliminiert die Wahrscheinlichkeit, dass jemand ein zu   schwaches persönliches Passwort nutzt, wodurch die anderen Passwörter nicht so wirksam wären.

+ Wenn jeder Passwortbesitzer weiß, welche Personen das Passwort haben, kann jede Nutzung eines Dritten sofort als Kompromittierung erkannt werden.

-  Die Passwortnutzung lässt sich, ungleich zu persönlichen Passwörtern, keiner    Person zuordnen.

-  Es lässt sich teilweise kaum verifizieren, ob ein Passwortnutzer ein legitimer User ist. Denke beispielsweise an eine per geteiltem Passwort abgesicherte Konferenz-Schaltung.

Wenn das Passwort kompromittiert wurde, lässt sich kaum herausfinden, wo die Quelle lag. Und es ist nötig, allen ein neues Passwort zu übermitteln. Das gilt auch, wenn ein Mitglied aus der Gruppe austritt.

Abermals haben wir es mit der Diskrepanz von Komfort und Sicherheit zu tun. Aus diesem Grund sollte ein geteiltes Passwort ausschließlich vertrauenswürdigen Leuten gegeben werden. Andernfalls ähnelt die Situation einem Schloss, von dem eine unkontrollierte Zahl von Schlüsseln im Umlauf sind.

Das zufällige Passwort

Viele Würfel landen auf einer Oberfläche, einige befinden sich noch in der Luft, andere liegen bereits

Zufallspasswörter sind zwar nicht im mathematischen Sinn wirklich zufällig, wohl aber nach menschlichem und technischem Ermessen, das genügt völlig. (Image credit: (stock.adobe.com © Exposé GmbH))

Das zufällige Passwort kann sowohl ein einmaliges als auch persönliches oder geteiltes Passwort sein. Seine Besonderheit liegt darin, dass dahinter kein Mensch steht, sondern ein Algorithmus. Wir haben es deshalb mit einer ganz speziellen Technik zu tun, die sowohl beim Online Glücksspiel Verwendung findet als auch bei vielen Browsern, wenn du sie ein Passwort erstellen lässt und an vielen anderen Stellen, wo wirklich starke Passwörter nötig sind oder „zufällig“ generierte Folgen. Hierbei überschneiden sich die Themenbereiche Kryptographie, Statistik und Gaming.

Dazu sei aber angemerkt, dass wir es hier eigentlich mit sogenannten Pseudozufällen zu tun haben. Das sind solche zufällig wirkenden Ereignisse, die sich in Wahrheit anhand diverser Faktoren berechnen lassen – das Gegenteil wäre der objektive Zufall. Damit befänden wir uns aber schon weit in den Themengebieten Hochphysik und Quantenmechanik.

Doch was macht ein (pseudo)zufälliges Passwort so gut? Es ist die Tatsache, dass seine Erstellung vom Menschen entkoppelt ist. Wie du später noch genauer lesen wirst, neigt der Mensch dazu, unabsichtlich beim Erstellen von Passwörtern bestimmte Muster zu erzeugen – und Muster sind eine Schwachstelle.

Zufällige Passwörter dagegen, selbst wenn sie „nur“ pseudozufällig sind, enthalten keine Muster, die ein Mensch erkennen könnte. Oftmals nicht einmal solche, die von Programmen unterhalb einer sehr fähigen schwachen KI erkannt werden könnten.

2. Was ein Passwort sicher oder unsicher macht

Was ist Passwortsicherheit? Strenggenommen handelt es sich um eine Zeiteinheit: Ein Passwort ist umso sicherer, je länger ein Angreifer benötigt, um es herauszufinden. Damit kannst du dir gleich eine Konstante merken: Kein Passwort, ja sogar keine andere Sicherheitsmaßnahme, ist hundertprozentig sicher. Mit genügend Zeit kann alles überwunden werden.

Jedoch spricht man in der Kryptographie von Sicherheit in menschlichen Zeiträumen. Wenn ein moderner Computer zehntausend Jahre benötigen würde, um alle Stellen eines Passworts herauszufinden, dann dürfte es nach menschlichen Maßstäben ziemlich sicher sein, oder?

Allerdings ist der Mensch vielfach das Problem, wenn es darum geht, ein nach seinen Maßstäben sicheres Passwort zu erstellen und geheim zu halten.

Geheimhaltung – die wichtigste Basis

Jemand gibt am Geldautomaten seine Geheimzahl ein

Ein Passwort geheimzuhalten ist die eigentliche Kunst – und benötigt je nach Anwendung unterschiedliche Maßnahmen. (Image credit: (stock.adobe.com © LianeM))

Eigentlich ist es ganz einfach: Ein Passwort, das nur in deinem Kopf existiert, kann mit heutigen Techniken nicht ausgelesen werden. Bloß bringt es dir dort nichts, weil du es ja benutzen musst. Sicherheit und Unsicherheit entstehen deshalb an diesem Punkt.

  • Gib Passwörter immer so ein, dass es möglichst unmöglich ist, die Eingabe zu beobachten. Achte zudem darauf, dass die Symbole nicht in Klarzeichen auf dem Bildschirm lesbar sind (leider ein Komfort-Feature vieler digitaler Anwendungen).
  • Sei unsagbar vorsichtig, wenn das Eingabefeld öffentlich ist. Dann nämlich könnte unter anderem durch Keylogging die Eingabe mitgelesen werden. Leider gilt dies auch für Privatgeräte, zu denen sich Kriminelle bereits Zugang verschafft haben.
  • Speichere ein Passwort niemals im Browser oder einer App ab. Wenn es digital sein soll, dann nutze einen professionellen Passwortmanager. Möchtest du es nur analog speichern, dann gib dieses Schriftstück niemals aus der Hand und verschlüssele die Symbole nach einem passenden System.
  • Lass dich unter keinen Umständen dazu verlocken, dein Passwort irgendjemandem mitzuteilen. Nach wie vor müssen beispielsweise Banken immer wieder warnen, dass sie niemals am Telefon oder in E-Mails die PIN abfragen würden – etwas, mit dem Kriminelle leider immer noch Erfolge einfahren.
  • Achte darauf, dass die von dir genutzten Dienste sorgsame Geheimhaltung betreiben. Wichtig ist ein SSL-Zertifikat für die Übertragung beim Einloggen. Leider hast du jenseits davon kaum Kontrolle darüber, ob die Passwörter beim Dienst sicher gespeichert werden – hier gibt es immer wieder haarsträubende Leaks, weil Dienste die Passwörter in Klarschrift abspeichern.

Damit muss klar sein, dass Geheimhaltung zwar stark, aber nicht ausschließlich von dir abhängt. Definitiv ein Malheur, zu dem es bislang noch keine echte Lösung gibt.

Menschliche Logiken

Einmal angenommen, du würdest den Kardinalsfehler begehen, und dein Passwort tatsächlich mit Passw… beginnen lassen. Dann könnte ein Angreifer mit ziemlicher Sicherheit schließen, dass es mit …ort weitergeht. Er bekäme also drei Symbole auf dem Silbertablett serviert, anstatt das ganze Alphabet in Groß- und Kleinschreibung, sämtliche Ziffern und Sonderzeichen ausprobieren zu müssen. Übrigens wäre es kaum besser, wenn du Buchstaben im Leetspeak-Stil durch optisch ähnliche Ziffern ersetzen würdest.

Wie wir bereits kurz angeschnitten haben, neigt der Mensch unbewusst immer dazu, Passwörter nach menschlichen Mustern zu erstellen.

  • Namen,
  • Jahreszahlen,
  • Wörter,
  • optisch ähnliche Symbole, aber auch
  • sich wiederholende Vorgehensweisen

stellen ein schwerwiegendes Problem dar. Denn alles, was nach einem menschlichen Muster aufgebaut ist, lässt sich mit hoher Wahrscheinlichkeit vorhersagen. Dazu gibt es sogar eine sehr umfassende wissenschaftliche Analyse. Sie zeigt, dass Millionen User äußerst menschlich und somit fehleranfällig vorgehen. Hier kommt nun ein wichtiges Konzept ins Spiel:

Das Thema Entropie

Ein Laptop und ein Smartphone liegen auf einem Tisch, auf dem Display des Handys sind Zahlenreihen erkennbar

Entropie kannst du dir als eine kryptographische Zeiteinheit vorstellen. Je größer die Entropie, desto länger braucht jemand, um dein Passwort zu knacken. (Image credit: (stock.adobe.com © bestforbest))

Ein Passwort wird umso unsicherer, je weniger chaotisch / pseudozufällig / unvorhersehbarer Anordnung und Auswahl seiner Zeichen erfolgt. Damit bewegen wir uns auf dem Gebiet der Entropie. Letztlich steht dieser Begriff für eine Fragestellung:

Wie viele Versuche sind nötig, um jedes Zeichen eines Passworts und somit das gesamte Passwort zu erraten?

Je mehr Versuche nötig sind, desto größer ist die Entropie eines Passworts und desto sicherer ist es – immer davon ausgehend, dass ein Angreifer keine Abkürzungen nehmen kann, weil er das Passwort ganz oder in Teilen anderweitig herausfindet. Entropie fokussiert sich also auf eine Umgebung, in der der Angreifer jedes technisch mögliche Symbol für jede Stelle des Passworts und sämtliche Kombinationen mehrerer Symbole ausprobieren müsste. Ergo: Eine klassische Brute-Force-Attacke, bei der dein Angreifer unbegrenzt Möglichkeiten hat, um falsche Passwörter einzugeben.

In diesem Umfeld gibt es viele Dinge, die ein Passwort unsicher machen. Neben den bereits angesprochenen menschlichen Mustern sind dies

  • Einseitigkeit: Etwa, wenn jedes deiner Passwörter immer dieselbe Anzahl von Zeichen hätte.
  • Wiederholungen: Beispielsweise, wenn du dasselbe Passwort für mehrere Anwendungen nutzen würdest.
  • Limitierungen: Du nutzt beispielsweise nur Großbuchstaben des lateinischen Alphabets und/oder nur Ziffern von 0 bis 9.
  • Kürze: Je weniger Stellen dein Passwort erhält, desto weniger müssen ausprobiert werden und lassen sich kombinieren.
  • Langfristigkeit: Je länger ein Passwort verwendet wird, desto geringer wird mit der Zeit seine Entropie, weil ein Angreifer seltener „bei Null“ beginnen muss.

Dazu sei allerdings angemerkt, dass kryptographische Entropie ein riesiges Feld für sich ist und wir dir an dieser Stelle nur die absoluten Basics zeigen können. Wir haben es hier mit Wahrscheinlichkeitsrechnung zu tun und gleich mehreren komplizierten Rechenformeln. Wenn du dich aber tiefer einarbeiten möchtest, dann sei dir ein Sheet der Uni Bochum ans Herz gelegt.

Passwörter vs. biometrische Merkmale

jemand nutzt touch ID auf seinem Smartphone, im Hintergrund steht ein Laptop auf einem Schreibtisch

Biometrie ist nicht der Sicherheit letzter Schluss, dazu lassen sich die Merkmale zu leicht fälschen. Sie ist jedoch besser als ein halbherziges Passwort. (Image credit: (stock.adobe.com © tippapatt))

Wahrscheinlich hast du dir im Verlauf dieses Artikels die Frage gestellt, warum du überhaupt Passwörter verwenden solltest, wenn doch heute fast jedes Handy mit Iris-, Gesichts- oder Fingerabdruck-Scanner ausgerüstet ist und sich solche Lesegeräte zudem an anderen Computern problemlos nachrüsten lassen.

Es gibt einen guten Grund: Sicherheit. Biometrische Merkmale sind nur so (fälschungs)sicher, wie die Technik der dahinterstehenden Sensoren und die Abspeicherungsmethode der einzelnen Punkte, aus denen sich das biometrische Gesamtbild zusammensetzt.

Außerdem zwingen dich biometrische Sicherheitssysteme dazu, bei mehreren Anwendungen dasselbe „Passwort“ zu benutzen – also beispielsweise deinen Fingerabdruck. Last but not least können viele biometrische Merkmale recht einfach kopiert werden. So fand eine niederländische Studie anno 2019 heraus, dass sich die Gesichtserkennung bei bedenklich vielen Smartphones mit ausgedruckten Portraits überlisten ließ.

Natürlich sind biometrische Merkmale sicherer als ein schlechtes Passwort. Doch der Grat, auf dem der Vorteil Richtung Passwort kippt, ist äußerst schmal. Wenn du die Möglichkeit hast, solltest du beides in Kombination nutzen. Dann hätte es ein Angreifer wirklich extrem schwer.

3. Wirklich sichere Passwörter für alle Lebenslagen

Du hast in den vorangegangenen Kapiteln bereits viel darüber erfahren, was du für ein sicheres Passwort anstellen musst. Insbesondere für den digitalen Alltag möchten wir dir jedoch noch auf den folgenden Zeilen die wichtigsten Regeln mit auf den Weg geben, damit du wirklich nie der Gefahr unterliegst, dass irgendeines deiner Geräte oder Konten kompromittiert wird.

Size matters!

Länge mag nicht immer zählen. Was die Passwortsicherheit anbelangt, tut sie das aber sehr wohl. Es ist eine ganz einfache Rechnung. Jedes zusätzliche Symbol …

  • bedeutet eine Stelle mehr, die sich ein Angreifer merken muss oder die er herausfinden muss.
  • erhöht die Kombinationsmöglichkeiten, aus denen das gesamte Passwort bestehen könnte.

Der Rest ist nüchterne Mathematik. Bei einem zehnstelligen Passwort nur aus Ziffern kann ein moderner Rechner alle Kombinationen innerhalb von 4,6 Sekunden durchprobieren. Bei einem dreizehnstelligen Passwort aus Groß- und Kleinbuchstaben sowie Ziffern wären dagegen knapp 3.000 Jahre nötig.

Ergo: Keines deiner Passwörter sollte kürzer als zwölf Stellen sein. Je länger, desto besser.

Jedem Dienst sein eigenes Passwort

Jemand nutzt einen Laptop um sich bei einer Website anzumelden

Wenn du bei mehreren Diensten nicht nur dieselbe E-Mail-Adresse, sondern auch dasselbe Passwort nutzt, begehst du einen absoluten Kardinalsfehler. (Image credit: (stock.adobe.com © Andrey Popov))

Je mehr Dienste dasselbe Passwort benutzen, desto mehr potenzielle Angreifer gibt es und desto größer ist die Gefahr, wenn das Passwort kompromittiert wurde. Insbesondere deshalb, weil du wahrscheinlich nur eine oder zwei E-Mail-Adressen nutzen wirst, empfehlen wir dir dringend, wirklich für jeden Dienst ein eigenes Passwort zu benutzen.

Aber: Ein wirklich eigenes Passwort. Also nicht beispielsweise sowas wie L30N1e_13/07/1995 bei Facebook und 13/07/1995_L30N1e bei Instagram. Sondern Passwörter, von denen keines etwas mit dem anderen zu tun hat. Und ändere deine Passwörter mindestens alle drei Monate.

Menschlich hochkomplex oder lieber gleich zufällig?

Ein gutes Passwort, das hast du gelernt, enthält mindestens Groß- und Kleinbuchstaben und Ziffern – Sonderzeichen sind nicht unbedingt nötig, können aber deinen Spielraum erweitern, um möglichst viele „chaotische“ Passwörter für verschiedene Dienste zu erstellen.

Allerdings musst du dich fragen, wie du vorgehen willst.

  • Eine Möglichkeit wäre es, dich vor eine Tastatur zu setzen und einfach willkürlich Symbole davon aufzuschreiben und zu Passwörtern zu formen.
  • Eine andere Möglichkeit wäre es, einen Passwortgenerator im Netz zu bemühen. Allerdings bedeutet der das zumindest theoretische Risiko, dass ein Passwort an mehrere Leute vergeben wird.

Was du jedoch auf keinen Fall tun solltest ist, Passwort-Checker-Seiten zu benutzen. Du kannst kaum abschätzen, wie diese es mit der Sicherheit handhaben und willst deshalb dort keinesfalls ein womöglich sehr gutes Passwort veröffentlichen.

WICHTIG

Absolut jeder kann heute zum Ziel von Angreifern werden. Glaube deshalb bitte nicht, dass solche Maßnahmen für dich als Privatmensch übertrieben wären. Im Gegenteil, gerade hier ist eine gesunde Portion „Paranoia“ der Schlüssel, der für wirklichen Schutz sorgt.

Der Passsatz: Leichte Anwendung, schwierige Überwindbarkeit

Normale Wörter sind menschlich, sind leicht zu erratende Muster und deshalb trotz vieler Stellen relativ einfach zu knacken – besonders wenn eine IT am Werk ist, die menschliche Begriffe erkennen kann. M3rceD3s-8EnZ wäre deshalb trotz Einhaltung aller Regeln ein eher schlechtes Passwort.

Deutlich besser ist es, wenn du dir einen leicht merkbaren Satz ausdenkst. Dann baust du dir einfach aus den Anfangs- oder Endbuchstaben der jeweiligen Wörter ein Passwort zusammen:

  • Passsatz:
    TechRadar liefert jeden Tag frische News aus allen Bereichen der digitalen Technik
  • Daraus erstelltes Passwort:
    TRljTfN44BddT

Hierbei wäre es nicht nur okay, sondern wirklich von Vorteil, Buchstaben durch ähnlich aussehende Ziffern zu ersetzen – es kann ja niemand ein echtes Wort aus diesem Passwort erkennen. Dazu noch ein Tipp: Beende dein Passwort immer mit einem Satzzeichen, beispielsweise !, ? oder .

Zwei-Faktor-Authentifizierung

Ein Passwort allein kann schon sehr stark sein. Wenn seine Eingabe jedoch nur auslöst, dass ein weiteres Passwort erforderlich ist, können sogar Geheimdienst-Hacker einpacken – und erst recht ganz normale Kriminelle.

Ergo: Wenn ein Dienst es dir erlaubt, dann schalte immer die Zwei-Faktor-Authentifizierung ein. Beispielsweise, dass du nach Passworteingabe ein Einmalpasswort als SMS bekommst. Das solltest du zumindest dort tun, wo deine Zahlungsdaten hinterlegt sind.

WICHTIG

Das beste Passwort ist nur so gut wie das Verhalten seines Benutzers. Deaktiviere deshalb sämtliche Funktionen, bei denen du dauerhaft irgendwo eingeloggt bleibst. Das geht beim Browser typischerweise deutlich besser als in Apps. Denke auch hier an die Maxime von Komfort vs. Sicherheit und gib niemals ersterem den Vorzug.

Zusammenfassung und Fazit

Isi&Ben2018, November_Passwort_2021, 51ch3r35 p455w0r7 – drei Beispiele für Passwörter, die sicher jeder von uns schon einmal verwendet hat und sich dabei sehr sicher fühlte. Tatsache ist jedoch: Die allermeisten genutzten Passwörter sind alles andere als sicher, erst recht nicht gegenüber Leuten, die sich ernsthaft vorgenommen haben, sie zu knacken.

Nach wie vor ist das Passwort allgemein jedoch die tatsächlich sicherste Methode, um digitale Zugänge abzusichern – egal wie leistungsfähig Rechner auch sind und wie sehr biometrische Sicherheitsmerkmale beworben werden. Achte deshalb darauf, dass du bei diesem Thema am Ball bleibst. Denn ein gehacktes Facebook-Konto ist vielleicht nur ärgerlich. Ein durch Passwortschwächen übernommenes PayPal-Konto und ähnliches ist jedoch eine riesige Katastrophe, die du wirklich niemals müde werden solltest, unter allen Umständen zu vermeiden.

TechRadar Deutschland