Sichere Passwörter im Internet

Ein Artikel wie dieser wurde wahrscheinlich schon einige tausend Mal im Internet veröffentlicht. Dann kommt es ja auf diesen hier auch nicht mehr an. Es geht um Passwörter, die man bei verschiedenen Diensten im Internet benötigt: Google, Amazon, GMX, eBay — um nur ein paar zu nennen.

Anlass für mein Gesülze ist, dass einige Inhalte hier bei Daa guggsch! nur einigen Auserwählten vorbehalten sind, die ebenfalls einen Benutzernamen und ein Passwort benötigen. Und eben jenen — zumindest einigen davon — will ich ein bisschen was über Sicherheit im Internet erzählen, weil das ja doch für manche noch so eine große Unbekannte ist. Es wird also nur so technisch, wie es werden muss, aber hoffentlich interessant.

Ich hoffe, es wird damit klarer, warum die von mir vorgegebenen Passwörter so kryptisch zu lesen sind. Und natürlich darf dieser Artikel gerne weiter empfohlen werden, wenn ich es denn schaffe, das Thema auch für die Nicht-Techniker verständlich zu vermitteln.

Passwortlänge

Nehmen wir einfach mal an, jemand — nennen wir ihn den Angreifer — programmiert einen Computer so, dass er automatisch versucht, sich mit allen möglichen Passwörtern irgendwo anzumelden. Der Angreifer kennt vielleicht Eure E-Mail-Adresse und weiß, dass diese der Benutzernamen bei Amazon ist. Er benötigt nur noch das Passwort, um auf Eure Kosten einkaufen zu können. Also probiert sein Programm einfach mal das Passwort „a“ aus. Gut, die Anmeldung schlägt fehl, also versucht er es nochmal mit dem Passwort „b“, danach mit „c“ und so weiter. Wenn er alle Buchstaben und Zahlen durch hat, geht es weiter mit „aa“, „ab“, „ac“, etc. Dabei braucht das Programm zwar einige Millionen, wenn nicht sogar Milliarden Versuche, bis es zufällig das richtige Passwort gefunden hat, aber der Angreifer hat ja Zeit. Wenn das Programm 10 Passwörter pro Sekunde ausprobiert, schafft es 600 pro Minute, 36.000 pro Stunde, 864.000 pro Tag.

Daraus schließen wir: Je länger ein Passwort ist, desto länger benötigt der Angreifer, bis er zufällig das richtige Passwort findet.

Das Passwort selbst

Nun ist sein Programm ja nicht doof. Es probiert gewisse Passwörter gar nicht erst aus. Wer nimmt schon „aaa“ als Passwort? Stattdessen bedient sich das Programm in einem Wörterbuch, um Buchstabenkombinationen zu finden, die mit höherer Wahrscheinlichkeit ein Passwort sein könnten. Es probiert also einzelne Wörter aus oder reiht mehrere Wörter aneinander: „hund“, „katze“, „maus“, „meinpasswort“, „mein_passwort“ und so weiter. Aus den Milliarden von möglichen Kombinationen werden also zuerst die probiert, die mit höherer Wahrscheinlichkeit als Passwörter verwendet werden. Dazu gehören auch Namen, denn die sind äußerst beliebt.

Daraus schließen wir: Je mehr Zeichenkombinationen ein Passwort enthält, die nicht in einem Wörterbuch zu finden sind, desto länger dauert es, bis der Angreifer das Passwort zufällig herausfindet — selbst wenn sein Programm dabei möglichst taktisch vorgeht.

Kurz und knapp:

  • Ein Passwort sollte mindestens 8 Zeichen lang sein, besser länger.
  • Ein Passwort sollte möglichst viele Zeichen enthalten, die keine normalen Buchstaben sind.
  • Im Idealfall sollte das Passwort ein völlig zufälliges Kauderwelsch aus kleinen und großen Buchstaben, Zahlen und Zeichen sein.

Ich erspare Euch an dieser Stelle die höhere Mathematik. Aber um das etwas zu entschärfen: Die meisten Dienste — zumindest die, wo sich ein Angriff lohnen würde — haben Sicherheitsvorkehrungen, damit das Ausprobieren von Passwörtern nicht möglich ist oder zu lange dauern würde. Generell würde die oben beschriebene Vorgehensweise bei einem einigermaßen sicheren Passwort Jahre dauern.

Damit Ihr Euch Passwörter nicht selbst ausdenken müsst (man neigt dabei dazu, gewisse Zeichenkombinationen häufiger zu verwenden), empfiehlt es sich, mal kurz das Stichwort Passwortgenerator bei Google einzugeben.

Passwörter nicht wiederverwenden

Die Gefahr, dass ein Passwort geknackt wird, kann man also selbst ganz einfach ausschließen, indem man ein ausreichend kompliziertes Passwort wählt.

Nun werden aber gelegentlich auch mal Passwörter aus großen Datenbanken geklaut, weil irgend eine Sicherheitslücke einen Angreifer dort rein gelassen hat. Man hört gelegentlich in den Nachrichten davon. So kommt der Angreifer an Euer Passwort — und an die von tausenden anderen — ohne sein Programm dafür jahrelang probieren zu lassen. Ganz so einfach, wie es sich anhört, ist es nicht, aber ab und zu passiert das schon mal.

Nun kann man darauf hoffen, dass der Dienst sich schnell um das Problem kümmert, damit nicht nochmal Passwörter geklaut werden. Am besten ändert man sein Passwort in so einem Fall, damit der Angreifer gleich mal veraltete Daten hat.

Was passiert aber, wenn Ihr den selben Benutzernamen und das selbe Passwort auch für die Anmeldung bei anderen Diensten verwendet?

Das Beste, was einem Angreifer passieren kann, ist, dass er Euer Passwort bei einem leicht zu knackenden Dienst klauen und sich dann damit auch bei Google, Amazon und eBay anmelden kann. Eine Kette ist immer nur so stark, wie ihr schwächstes Glied — und Dienste, für die Ihr das selbe Passwort verwendet, sind immer nur so gut geschützt, wie der schwächste davon.

Daraus schließen wir: Niemals das selbe Passwort für mehrere Dienste verwenden!

Besonders der Zugang zu Eurem E-Mail Postfach (GMX, Web.de, Google, Hotmail und so weiter) sollte ein eigenes und besonders starkes Passwort haben. Wer Zugang zu Euren E-Mails bekommt, kann die meisten Passwörter bei anderen Diensten ändern.

Reinfall auf Betrugsversuche

Das gehört jetzt gar nicht richtig hier her, denn es hat erstmal gar nichts mit dem Passwort selbst zu tun. Trotzdem ist „aktiver Betrug“ eines der erfolgreichsten Mittel, wie ein Angreifer an Eure Zugangsdaten kommen kann. Das beste Passwort nützt Euch nichts, wenn Ihr es — ohne es zu wissen — selbst verratet. Das bekannteste Beispiel dafür ist Phishing. Da das aber an dieser Stelle zu weit vom Thema abweichen würde, habe ich einen separaten Artikel dazu geschrieben.

Passwort regelmäßig ändern?

Gelegentlich hört man noch davon, dass es klug wäre, das Passwort ab und zu mal zu ändern. Vor allem in Firmen gibt es manchmal noch entsprechende Bestimmungen, die das von ihren Mitarbeitern einfordern.

Mal abgesehen davon, dass das bei hunderten Diensten, bei denen man angemeldet ist, einfach nicht vernünftig umsetzbar ist — man wäre Stunden damit beschäftigt — bringt es auch gar nicht viel. Sollte jemand wirklich an das Passwort heran kommen, würde er es möglichst schnell verwenden (und selbst ändern). Man müsste sein Passwort mindestens täglich ändern, damit das etwas bringt. Und selbst dann wäre der Nutzen viel zu gering im Vergleich zum Aufwand.

Wenn das Passwort ausreichend sicher ist und man es niemals jemandem weiter gegeben hat, gibt es nur einen Grund, das Passwort zu ändern: Wenn bekannt wird, dass bei dem Dienst Passwörter gestohlen wurden. Siehe oben.

Passwörter richtig verwalten

Bleibt noch die Frage, wie man so viele Passwörter richtig verwalten kann. Das kann sich doch kein Mensch merken! Richtig.

Es gibt viele Tipps, wie man sich Passwörter so ausdenkt, dass sie zwar sicher sind, man sie sich aber trotzdem noch merken kann. Meistens sieht das so aus, dass man ein Grund-Passwort hat, das immer gleich ist, und dieses dann nur um ein paar Zeichen erweitert, die von dem jeweiligen Dienst abhängig sind. Im Prinzip ist das in Ordnung, widerspricht aber der Regel, dass ein Passwort am besten nur völlig bedeutungslos aneinander gereihte Zeichen sind. Bei einem zusammengebauten Passwort besteht trotzdem noch die Möglichkeit, von einem Dienst auf einen anderen zu schließen. Wenn jemand weiß, dass mein Amazon-Passwort „amz@123abc“ ist, wie wird dann wohl das Passwort für GMX sein?

Alle Passwörter in einer Datei auf dem Computer zu speichern wäre natürlich denkbar. Wenn die Datei aber jemand in die Hände bekommt, zum Beispiel weil ihr euch einen Virus eingefangen habt, dann gibt es ein mittelschweres Problem. Das ist also keine gute Idee.

Was dagegen richtig gut funktionieren kann: Alles auf ein Blatt Papier aufschreiben! Klingt erstmal komisch, ist aber wahrscheinlich die zweitsicherste Methode, die es gibt. Da würden man nur ran kommen, wenn man in die Wohnung einbricht. Und Einbrecher suchen bekanntlich nicht nach Zetteln mit Passwörtern. Voraussetzung ist allerdings, dass der Zettel nicht am Monitor klebt, unter der Tastatur liegt oder sonst irgendwie leicht zu finden ist. Sonst muss man schon sehr viel Vertrauen in seine Mitmenschen haben.

Außerdem hat ein Zettel den Nachteil, dass man die Passwörter jedes Mal abtippen muss, was bei entsprechend sicheren Passwörtern ziemlich nerven kann.

Die mit Abstand sicherste Lösung ist eine Passwort-Datenbank. Das ist ein Programm, in das man alle Passwörter eingibt, sie ordnen, verwalten und sortieren kann. Die Datenbank wird als Datei gespeichert. Was macht sie aber sicherer als jede beliebige andere Datei? Verschlüsselung.

Alle Passwörter werden in der Datei mit speziellen Verfahren verschlüsselt. Um sie wieder zu entschlüsseln ist es erforderlich, den Schlüssel zu kennen. Der Schlüssel ist auch nur ein Passwort — das einzige, das Ihr Euch dann noch merken müsst. Da man damit Zugriff auf alle Passwörter bekommt, muss dieses sogenannte Master-Passwort auch besonders sicher sein.

Die Datenbank-Datei könnte man dann sogar überall an’s schwarze Brett hängen — es ist praktisch egal, wer sie in die Finger bekommt. Solange niemand den Schlüssel kennt, ist sie nutzlos. Das gilt natürlich auch für ihren Besitzer, wenn der das Master-Passwort vergessen hat. Würde man die Datei mit dem oben beschriebenen Verfahren knacken wollen, würde das selbst dann noch Jahrzehnte dauern, wenn man einen ganzen Haufen Super-Computer zusammen daran arbeiten lässt.

Als Passwort-Datenbank empfehle ich das kostenlose KeePass. Für den privaten Einsatz genügt das völlig, und hat dabei noch deutlich mehr Funktionen als so mancher kommerzielle Mitbewerber.

Kurz und knapp

Ich hoffe, diese paar Tipps helfen Euch dabei, in Zukunft ein wenig sicherer unterwegs zu sein. Hier nochmal die wesentlichen Punkte in Kürze:

  • Lange Passwörter verwenden, mindestens 8 Zeichen
  • Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen verwenden, am besten völlig bedeutungsloses Kauderwelsch
  • oder einfach gleich ein zufälliges Passwort generieren lassen
  • für jeden Dienst ein anderes Passwort verwenden
  • Passwörter niemals weitergeben (es sei denn, sie sind dafür bestimmt)
  • eine Passwort-Datenbank verwenden, oder alles auf Papier aufschreiben, wo es keiner so schnell findet

Eigentlich ganz überschaubar, wenn man bedenkt, dass sich das meiste davon von selbst versteht, oder?

4 Gedanken zu „Sichere Passwörter im Internet

  1. Lieber Bert,
    also ich denke, wenn Du diesen Lehrgang gehalten hättest, von den Stuttgarter Landfrauen, hätte ich gewiss vielmehr verstanden und vor allem begriffen als ich damals. Recht toll hast Du es geschrieben und ich werde mich in diesen kommenden Tagen intensiv damit beschäftigen. Auch werde ich dieses „KeePass“ untersuchen und mich informieren. Sollte ich irgendwo nicht weiter kommen, brauchte ich Deine Hilfe!!! Vorerst besten Dank für Deinen Vorschlag. Es gibt Mails und Telefon, also auf zur “ Sicherheit “ !!!
    Liebe Grüße an Euch „drei in der vier“ vom kühlen Nordberg.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.