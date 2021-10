So finden Sie ein sicheres Passwort

Bild: teltarif.de Ein sicheres Pass­wort für den E-Mail-Account ist heut­zutage Pflicht, nicht zuletzt, da dieser in der Regel mit weiteren Accounts verknüpft ist. Wer das Pass­wort knackt, kann somit zum Beispiel bei Amazon mit Ihren Daten einkaufen. Und auch für Online-Shops, für Foren, Cloud-Spei­cher und vieles mehr werden sichere Pass­wörter benö­tigt. Gegen den Dieb­stahl durch Hacker aus Daten­banken hat der Nutzer trotzdem keine Schutz­möglich­keit. Hier hilft zunächst nur der Tipp, für jede Anwen­dung ein anderes Pass­wort zu verwenden.

Ob Ihr Pass­wort schon einmal bei einem Hacker-Angriff erbeutet wurde, können Sie auf diversen Internet-Portalen selbst über­prüfen. Doch abseits des Klaus bei Anbie­tern kann Ihr Pass­wort auch ganz simpel geknackt werden - wenn Sie eine unsi­chere Vari­ante verwenden. An dieser Stelle können Sie selbst für Sicher­heit sorgen - mit dem rich­tigen Pass­wort. Doch was ist richtig?

Kombi­nieren Sie Groß- und Klein­buch­staben, Zahlen und Sonder­zeichen

Bild: teltarif.de Pass­wörter sind durch mehrere Szena­rien bedroht: Bei Wörter­buch­angriffen werden einfach Listen mit poten­ziellen Pass­wörter abge­fragt - hierbei geht es nicht nur um Wörter aus dem Lexikon, sondern auch Namen und ähnli­ches. Bei Brute-Force-Angriffen indes werden - kurz gesagt - Zeichen-Kombi­nationen in schneller Folge abge­fragt. Wer auf ein gutes Pass­wort setzt, kann trotzdem sicher sein, dass Angreifer im Zweifel Jahre (oder, bei wirk­lich guten Pass­wörtern, nach aktu­ellem Stand der Technik zehn­tausende Jahre) brau­chen würden, um es mit einer solchen Methode zu knacken.

Grund­legende Regel also: Nutzen Sie keine realen Wörter oder Namen als Pass­wort. Auch in Kombi­nationen bieten diese wenig Schutz. Geeignet ist viel­mehr eine Kombi­nation aus Groß- und Klein­buch­staben, Zahlen, Sonder­zeichen, am besten in wahl­loser Mischung. Pass­wörter sollten zudem nicht zu kurz sein - wer 12 oder mehr Zeichen verwendet, ist zum Beispiel laut dem Bundesamt für Sicher­heit in der Infor­mati­onstechnik auf der sicheren Seite.

Pass­wort aus Phrase bilden

Ein gutes Pass­wort braucht also diese Mindest­länge - klingt kompli­ziert, denn wie sollen Sie sich eine solche Folge merken? Doch so schwierig ist das nicht: Nehmen Sie einen Satz, der nicht allge­mein bekannt ist und verwenden Sie die Anfangs­buch­staben in Groß und Klein­schrei­bung. Lassen Sie zum Beispiel an jeder zweiten Stelle eine Zahl aus einem Geburts­jahr einfließen. Hierzu ein Beispiel. Als Satz nehmen Sie: "Mit teltarif.de sind Sie rundum gut infor­miert" "MtsSrgi". Das Magazin gibt es seit 1998, Platz­halter ist ein #, alle drei Para­meter sind leicht merkbar. Das zuge­hörige Pass­wort ist: "M1t9s9S8r#g#i".

Noch ein paar Hinweise: Auch wenn es kryp­tisch aussieht, sind Buchstaben­folgen auf der Tastatur nicht sicher. Hängen Sie bei Ihrem Pass­wort ein Jahr oder eine Zahlen­folge wie 123 nicht einfach hinten an oder setzen Sie es an den Anfang - lassen Sie es viel­mehr wie gezeigt einfließen. Dies gilt auch für Sonder­zeichen.

Alter­native Pass­wort-Erstel­lung

Auch wenn obige Methode wie zusam­men­gewür­felt aussieht, ist sie es natür­lich nicht, wie aus der Herlei­tung hervor­geht. Die Sonder­zeichen und Groß- und Klein­schrei­bung machen ein solches Pass­wort sehr sicher (quasi lebens­lang, wie weiter unten ausge­führt werden wird). Anders sieht es mit tatsäch­lich zusam­men­gewür­felten Pass­wörtern aus, die im schlimmsten Fall weder Sonder­zeichen noch Groß- und Klein­buch­staben enthalten.

Bei der Menge an Pass­wörtern, die man sich mitt­ler­weile irgendwie merken muss, kann trotz einer sinn­vollen Herlei­tung schnell Verwir­rung entstehen oder es kann zu Verwechs­lungen kommen. Daher gibt es eine sehr einfache Alter­native. Der IT-Spezia­list Thomas Baekdal zeigt, dass ein Pass­wort aus nur drei Wörtern, die mit Leer­zei­chen getrennt werden, absolut sicher ist - wie auch unser oben vorge­schla­genes. Als Beispiel wählt er "this is fun". Wie man sieht, besteht das poten­zielle Pass­wort weder aus gängigen Sonder­zeichen noch aus Groß­buch­staben. Hier sorgt das Leer­zei­chen für die sehr hohe Sicher­heit. Da es manchmal jedoch nicht erlaubt ist, Leer­zei­chen zu benutzen, kann hier dann alter­nativ eines der gängigen Sonder­zeichen benutzt werden, sodass auch durch "this-is-fun" eine hohe Sicher­heit gewähr­leistet wird.

Während bei zwei Wörtern wie etwa "alpine fun" die Zeit zum Knacken nur zwei Monate beträgt, braucht es für das Knacken von "this is fun" bereits 2537 Jahre, für ein Pass­wort aus unge­bräuch­lichen Wörter wie "fluffy is puffy" gut 39.000 Jahre und schließ­lich für ein Pass­wort aus fünf Wörtern wie "du-bi-du-bi-dub" - also auch ohne Leer­zei­chen - gut 531 Milli­arden Jahre (je nach Knack-Methode). Weitere Beispiele, Rech­nungen und Erklä­rungen finden sich auf der Home­page von Thomas Baekdal.

Kryp­towal­lets und Quan­ten­com­puter

Wer schon einmal ein Kryp­towallet einge­richtet hat, dem wird die eben vorge­stellte Methode sehr vertraut vorkommen. Hier wird dem Benutzer eine Abfolge von vielen sehr einfa­chen und gebräuch­lichen Wörtern an die Hand gegeben, mit der er z. B. bei Verlust seines Pass­worts oder ähnli­chen Miss­geschi­cken den ursprüng­lichen Zustand wieder­her­stellen kann. Daher wird eine solche Abfolge auch "backup phrase", "reco­very phrase" o. ä. genannt.

Gerade in Bezug auf Kryp­towal­lets, in denen manchmal ein ganzes Vermögen schlum­mert, ist die Sicher­heit natür­lich oberstes Gebot. Sind solche Pass­wörter oder Wieder­her­stel­lungs-Phrasen für die heutige Absi­che­rung absolut ausrei­chend, muss mit Betrach­tung der Fort­schritte im Quan­ten­com­puting die gesamte Kryp­tografie neu durch­dacht werden, was aktuell auch geschieht. Die soge­nannte Post-Quanten-Kryp­tografie hat verschie­dene Ansatz­punkte, von denen einige sehr viel­ver­spre­chend aussehen. Weiß man heute also noch nicht genau, wie sich Quan­ten­com­puter auf die Sicher­heit von Pass­wörtern auswirken, scheint es doch so, als könnte dieses Problem recht­zeitig gelöst werden.

Als weitere Sicher­heits­funk­tion zusätz­lich zum Pass­wort gibt es inzwi­schen auch die Zwei-Faktor-Authen­ti­sie­rung (2FA), die im Bank- und Finanz­wesen bei Online-Accounts verpflich­tend ist.