Online-Accounts:

Sicher durch den Passwort-Buchstabensalat

Die besten Pass­wörter bestehen aus einem Salat von Buch­staben, Ziffern und Sonder­zeichen. Doch wie erstellt man die? Und wer kann sich solche Kenn­wörter über­haupt merken?
Von dpa /
AAA
Teilen (24)

Ein sicheres Pass­wort sieht unge­fähr so aus: "wEjfn30w9ei#6Kdn§f?$Ö". Nicht gerade einfach zu merken. Kein Wunder, dass viele Nutze­rinnen und Nutzer Kenn­wörter wählen, die so einprägsam wie unsi­cher sind. Beson­ders beliebt ist seit vielen Jahren die Ziffern­folge "123456".

Mehr als 50 Millionen Menschen nutzen diese Kombi­nation, hat das Hasso-Plattner-Institut heraus­gefunden, das jähr­lich die belieb­testen - und auch unsi­chersten - Pass­wörter veröf­fent­licht. In den Top 10 des Jahres 2019 finden sich etwa auch "abc123" oder "pass­word".

In Windes­eile geknackt

Passwort-Dieben die Arbeit erschwerenPasswort-Dieben die Arbeit erschweren Wer so ein Kenn­wort benutzt, muss damit rechnen, dass Hacker den Zugang in Windes­eile knacken, weiß Jennifer Kaiser, Expertin für Digi­tales bei der Verbrau­cher­zentrale Rhein­land-Pfalz. Oft haben die Diebe durch ein Daten­leck E-Mail-Adressen erbeutet. Damit haben sie schon die Hälfte des Schlüs­sels zu einem Benut­zerkonto.

Compu­terpro­gramme probieren dann alle mögli­chen Kombi­nationen durch, um den Zugang zu knacken. "Beliebte Abfolgen und Pass­wörter probieren die Programme zuerst. Die Hacker wissen zum Beispiel, dass viele Inter­netnutzer in Wörtern den Buch­staben S ledig­lich durch ein $ ersetzen", erklärt Kaiser.

Wörter­buch-Angriffe sind Stan­dard

Zum Stan­dard­programm der Hacker gehört außerdem die Wörter­buch­suche, sagt Prof. Chris­toph Meinel, Direktor des Hasso-Plattner-Insti­tuts. "Computer rasen heute in großer Geschwin­digkeit durch Wörter­bücher durch. Wer also ledig­lich ein Wort benutzt, das dort vorkommt, ist aufge­schmissen." Auch einfach Zahlen oder Zeichen an ein Wort zu hängen, ist nicht sicher.

In Zeiten von sozialen Netz­werken ist es für Compu­terspe­zialisten außerdem keine große Heraus­forde­rung, die Lieb­lings­band, den Hoch­zeitstag oder die Namen der Kinder heraus­zufinden. Wörter mit persön­lichem Bezug sollten Nutzer deshalb eben­falls vermeiden.

Kniff­liger wird es für Daten­diebe, wenn die Programme einzelne Buch­staben­kombi­nationen durch­probieren müssen. "Hat das Pass­wort Groß- und Klein­buch­staben, Ziffern und Sonder­zeichen, dauert es umso länger, alle durch­zupro­bieren", sagt Meinel.

Pass­wort­stärke-Ampeln sind trüge­risch

Das Bundesamt für Sicher­heit in der Infor­mati­onstechnik (BSI) empfiehlt mindes­tens acht Zeichen. Aber grund­sätz­lich gilt je länger, desto besser. Beim Erstellen eines Accounts helfen die Anbieter oft mit einer kleinen Ampel weiter, die die Pass­wort­stärke farb­lich visua­lisiert. Die soll zeigen, wie sicher das gewählte Pass­wort ist.

Doch: "Darauf kann man sich nicht unbe­dingt verlassen", sagt Verbrau­cher­schüt­zerin Kaiser. In einem Markt­check habe ihre Verbrau­cher­zentrale unter anderem solche Ampel-Einschät­zungen unter die Lupe genommen. "Manche Anbieter haben hohe Anfor­derungen an Kenn­wörter, andere eher nicht. Mitunter galt schon das Pass­wort "qwertz" als mittel­sicher. Die Buch­staben­folge der Tastatur gehört aber zum Stan­dard­reper­toire der Hacker." Kryp­tisches Pass­wort per Merk­satz behalten Lieber also ein möglichst langes und kryp­tisches Pass­wort ausdenken. Um sich so ein Kenn­wort zu merken, rät Prof. Meinel zu einer Esels­brücke. "Mit einem ganzen Pass­wort­satz ist das recht einfach. Von den Wörtern aus dem Satz nimmt man die Anfangs- oder Endbuch­staben, auch Satz­zeichen und Zahlen."

Aus dem Satz "Am liebsten esse ich Pizza mit vier Zutaten und extra Käse!" wird das Kenn­wort "AleiPm4Z+eK!". Vorsicht aller­dings bei Umlauten. Auf auslän­dischen Tasta­turen gibt es die nicht. Im Urlaub kann das Einloggen dann schwierig bis unmög­lich werden.

"Auf keinen Fall sollten Nutzer bei mehreren Diensten das gleiche Pass­wort verwenden", warnt Meinel. "Haben die Hacker einen Zugang geknackt, kommen sie dann gleich in mehrere Accounts hinein." Und auch davon, ein Kenn­wort für verschie­dene Konten leicht abzu­ändern hält er wenig. "Die verschie­denen Vari­anten müssen leicht zu merken sein. Dadurch entstehen dann wieder Schwach­stellen."

Pass­wort­manager sind empfeh­lens­wert

Wer sich mehrere kompli­zierte und einzig­artige Pass­wörter weder merken kann noch möchte, sollte lieber einen Pass­wort­manager nutzen - etwa das Open-Source-Programm Keepass, zu dem es auch Apps gibt.

"Der funk­tioniert wie eine Truhe", erklärt Jennifer Kaiser die Funk­tions­weise von Pass­wort­mana­gern. Darin lägen die Zugangs­daten für alle Dienste. Und Kenn­wörter erstelle der Manager nach Zufalls­prinzip: "Der Nutzer muss sich dann nur noch einen Zugang merken: den für den Pass­wort­manager." Dieses Master­pass­wort müsse dann aber auch beson­ders sicher sein.

Sind meine Zugangs­daten gestohlen worden?

Lange Zeit rieten Compu­terex­perten, Kenn­wörter regel­mäßig zu ändern. Das gilt heute als über­holt, verleitet es doch dazu dazu, möglichst einfache Kenn­wörter zu wählen. Aller­dings sollten Inter­netnutzer regel­mäßig prüfen, ob ihre Daten im Netz gestohlen wurden. Das ist möglich bei verschie­denen Daten­banken. Und sie sollten bei Diensten die Zwei­faktor-Authen­tifi­zierung akti­vieren, wo immer das möglich ist.

Etwa beim Iden­tity Leak Checker des Hasso-Plattner-Insti­tuts oder auf Haveibeenpwned.com. "Die Daten­banken prüfen, ob die E-Mail-Adresse in den Listen mit geklauten Daten vorkommt", erklärt Jennifer Kaiser von der Verbrau­cher­zentrale Rhein­land-Pfalz. Ist das der Fall, sollte der Nutzer direkt alle Zugänge ändern, die diese E-Mail-Adresse nutzen.

Teilen (24)

Mehr zum Thema Passwörter