Nie wieder Zettelwirtschaft: Passwörter sicher per Software verwalten

"Passwörter sind etwas Kompliziertes - sie sollen nicht so kryptisch sein, dass man sie vergisst, aber so sicher, dass sie Dokumente und Zugänge schützen", sagt Günther Ennen, Leiter der IT-Sicherheitsberatung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn. Ein gutes Passwort müsse daher einfach zu merken sein, dürfe sich aber nur schwer erraten lassen.

"Dabei sollte alles, was man auf der Tastatur drücken kann, vorkommen" sagt Daniel Bachfeld, Redakteur bei der in Hannover erscheinenden Zeitschrift "c’t". Dazu gehören große und kleine Buchstaben, Zahlen und auch gängige Sonderzeichen. "Je gemischter und wilder, um so sicherer ist die Zugangssperre", sagt der Münchner Programmierer Andreas Selle. Seine Firma bietet mit dem Subsembly Wallet eine Software an, die nicht nur Passwörter, sondern auch PIN- und TAN-Nummern für das Online-Banking verwaltet.

Der Vorname des Lebenspartners, das Geburtsdatum oder auch Worte, die sich mit dem jeweiligen Angebot assoziieren lassen, seien als Passwort leicht auszuspionieren. Entschlüsselungsprogramme übernehmen die Arbeit für die Hacker. "Worte, die im Duden stehen oder nur aus Buchstaben bestehen, sind für die Programme keine große Hürde", sagt BSI-Experte Ennen. Kaum ein Programm brauche länger als einen Tag, um solche Kennwörter zu entschlüsseln.

Die Sicherheit eines Passworts hängt auch von seiner Länge ab: "Mit jeder Stelle potenziert sich die Anzahl der möglichen Kombinationen", sagt Ennen. Allerdings sei die mögliche Stellenanzahl je nach Software verschieden. "Selbst wenn man bis zu zwölf Zeichen eingeben kann - manche Programme brechen schon nach sechs oder acht Zeichen die Erkennung ab." Ein Mix aus Zahlen und Buchstaben sollte also zu Beginn der Zeichenfolge stehen und nicht erst am Ende.

Zwar seien Anwender auch mit einem noch so kryptischen Passwort nicht zu 100 Prozent vor Hackern geschützt. "Wer aber Kombinationen aus Buchstaben, Ziffern und Sonderzeichen auf mindestens acht Zeichen verteilt, zieht zumindest den Entschlüsselungsprozess in die Länge", sagt Ennen. Kreativität ist allerdings auch dabei gefragt: "123abc" etwa ist kein wirklich sicheres Passwort.

Laut "c’t"-Redakteur Bachfeld kann eine Eselsbrücke helfen: "Man kann zum Beispiel die Anfangsbuchstaben seines Lieblingsliedes nehmen und einige durch Zahlen ersetzen", sagt er. Das A lasse sich etwa gegen eine 4 austauschen oder ein I gegen eine 1. "Schon hat man etwas Kryptisches, das man selbst gut entschlüsseln kann." Das BSI rät dazu, Passwörter regelmäßig auszutauschen - "für jede Jahreszeit ein eigenes", sagt Ennen. Oft seien Programme mit Passwort-Generatoren ausgestattet, die Nutzern neue Codes vorschlagen.

Auf keinen Fall sollte für alle Anwendungen und Dienste derselbe Code benutzt werden. "Sonst ist gleich alles gehackt, wenn das Passwort ausspioniert wird", warnt Sicherheitsexperte Ennen. Eine weitere Variante sei es, drei oder vier gute Passwörter für Bank, E-Mail und Auktionshäuser zu nutzen.

Die besten Strategien nützen allerdings nichts, wenn Nutzer selbst einem Phisher auf den Leim gehen. "Wer selbst sein Password auf einer gefälschten Seite eingibt, ist reingefallen", sagt Ennen. Auch das Passwort etwa aus einer Word-Datei in Anwendungen hineinzukopieren, ist eine denkbar schlechte Methode. "Eine der Schwachstellen des Internet Explorers ist es, dass die Zwischenablage, in die man kopiert, leicht ausgelesen werden kann." Bei anderen Browsern wie etwa Firefox gehe das nicht so einfach. Zudem sei es ein Leichtes, Word-Dateien in Klarschrift auszuspionieren.

Mehr Sicherheit bieten Software, mit der Passwörter verwaltet und gesichert werden. Eine ganze Reihe dieser Programme gibt es auf dem Markt - einige