IT-Sicherheit: Tipps für sichere Passwörter

Besonders beliebt ist seit vielen Jahren die Ziffernfolge "123456". Mehr als 50 Millionen Menschen nutzen diese Kombination, hat das Hasso-Plattner-Institut herausgefunden, das jährlich die beliebtesten – und auch unsichersten – Passwörter veröffentlicht. In den Top 10 des Jahres 2019 finden sich etwa auch "abc123" oder "password".

In Windeseile geknackt

Wer ein solches Kennwort benutzt, muss damit rechnen, dass Hacker den Zugang in Windeseile knacken. Oft haben die Diebe durch ein Datenleck E-Mail-Adressen erbeutet. Damit haben sie schon die Hälfte des Schlüssels zu einem Benutzerkonto. Computerprogramme probieren dann alle möglichen Kombinationen durch, um den Zugang zu knacken, beliebte Zeichenabfolgen und Kennwörter probieren die Programme zuerst. Und Hacker wissen zum Beispiel, dass viele Internetnutzer zu einfachen Mitteln greifen und zum Beispiel in Wörtern den Buchstaben S lediglich durch ein $ ersetzen.

Wörterbuch-Angriffe sind Standard

Zum Standardprogramm der Hacker gehört außerdem die Wörterbuchsuche, sagt Prof. Christoph Meinel, Direktor des Hasso-Plattner-Instituts. "Computer rasen heute in großer Geschwindigkeit durch Wörterbücher durch. Wer also lediglich ein Wort benutzt, das dort vorkommt, ist aufgeschmissen."

Auch einfach Zahlen oder Zeichen an ein Wort zu hängen, ist nicht sicher. In Zeiten von sozialen Netzwerken ist es für Computerspezialisten außerdem keine große Herausforderung, die Lieblingsband, den Hochzeitstag oder die Namen der Kinder herauszufinden. Wörter mit persönlichem Bezug sollten Nutzer deshalb ebenfalls vermeiden.

Kniffliger wird es für Datendiebe, wenn die Programme einzelne Buchstabenkombinationen durchprobieren müssen. "Hat das Passwort Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, dauert es umso länger, alle durchzuprobieren", sagt Meinel.

Passwortstärke-Ampeln sind trügerisch

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt mindestens 8 Zeichen. Aber grundsätzlich gilt je länger, desto besser. Beim Erstellen eines Accounts helfen die Anbieter oft mit einer kleinen Ampel weiter, die die Passwortstärke farblich visualisiert. Die soll zeigen, wie sicher das gewählte Passwort ist. Doch: "Darauf kann man sich nicht unbedingt verlassen", sagt Jennifer Kaiser, Expertin für Digitales bei der Verbraucherzentrale Rheinland-Pfalz. In einem Marktcheck habe ihre Verbraucherzentrale unter anderem solche Ampel-Einschätzungen unter die Lupe genommen. "Manche Anbieter haben hohe Anforderungen an Kennwörter, andere eher nicht. Mitunter galt schon das Passwort 'qwertz' als mittelsicher. Die Buchstabenfolge der Tastatur gehört aber zum Standardrepertoire der Hacker."

Kryptisches Passwort per Merksatz behalten

Lieber also ein möglichst langes und kryptisches Passwort ausdenken. Um sich so ein Kennwort zu merken, rät Prof. Meinel zu einer Eselsbrücke. "Mit einem ganzen Passwortsatz ist das recht einfach. Von den Wörtern aus dem Satz nimmt man die Anfangs- oder Endbuchstaben, auch Satzzeichen und Zahlen." Aus dem Satz "Am liebsten esse ich Pizza mit vier Zutaten und extra Käse!" wird das Kennwort "AleiPm4Z+eK!".

Vorsicht allerdings bei Umlauten. Auf ausländischen Tastaturen gibt es die nicht. Im Urlaub kann das Einloggen dann schwierig bis unmöglich werden. "Auf keinen Fall sollten Nutzer bei mehreren Diensten das gleiche Passwort verwenden", warnt Meinel. "Haben die Hacker einen Zugang geknackt, kommen sie dann gleich in mehrere Accounts hinein." Und auch davon, ein Kennwort für verschiedene Konten leicht abzuändern hält er wenig. "Die verschiedenen Varianten müssen leicht zu merken sein. Dadurch entstehen dann wieder Schwachstellen."

Passwortmanager sind empfehlenswert

Wer sich mehrere komplizierte und einzigartige Passwörter weder merken kann noch möchte, sollte lieber einen Passwortmanager nutzen – etwa das Open-Source-Programm Keepass, zu dem es auch Apps gibt. Darin sind die Zugangsdaten für alle Dienste hinterlegt, Kennwörter werden nach dem Zufallsprinzip erstellt. Nutzer müssen sich nur ein Passwort merken und zwar das für den Passwortmanager. Das Masterpasswort sollte dann aber besonders sicher sein.

Sind meine Zugangsdaten gestohlen worden?

Lange Zeit rieten Computerexperten, Kennwörter regelmäßig zu ändern. Das gilt heute als überholt, verleitet es doch dazu dazu, möglichst einfache Kennwörter zu wählen. Allerdings sollten Internetnutzer regelmäßig prüfen, ob ihre Daten im Netz gestohlen wurden. Das ist möglich bei verschiedenen Datenbanken. Und sie sollten bei Diensten die Zweifaktor-Authentifizierung aktivieren, wo immer das möglich ist, ewa beim Identity Leak Checker des Hasso-Plattner-Instituts oder auf Haveibeenpwned.com. "Die Datenbanken prüfen, ob die E-Mail-Adresse in den Listen mit geklauten Daten vorkommt", erklärt Kaiser. Ist das der Fall, sollte der Nutzer direkt alle Zugänge ändern, die diese E-Mail-Adresse nutzen.