Das Problem kennt jeder: Je mehr der Computer oder das Smartphone zum Alltagsinstrument werden, desto mehr Log-ins und damit auch Passwörter sammeln sich an. Für die Geräte selbst und einen oder mehrere E-Mail-Accounts natürlich. Womöglich auch für Facebook, Instagram, Twitter, YouTube und Co. Für personalisierte Informationsdienste und Abos, ob gratis oder kostenpflichtig. Für Online-Geschäfte von Amazon bis Zalando, für Dienstleister von Bahn bis TripAdvisor, für Mitgliedschaften in Vereinen und Vereinigungen. Für zusätzlichen Speicherplatz in der Cloud. Für das Log-in in den Firmenrechner. Oder letztlich für den Zugriff auf das Bankkonto.
Einhundert unterschiedliche Log-ins gelten für einen durchschnittlichen Internetnutzer als normal, 250 und mehr sind keine Seltenheit. Und damit sind wir auch schon beim Problem. Umfragen belegen mit schöner Regelmäßigkeit allzu große Sorglosigkeit oder Bequemlichkeit beim Umgang mit Passwörtern. Laut einer aktuellen Studie von web.denutzen zum Beispiel 60 Prozent aller deutschen Internet-Nutzer mehrfach dasselbe Passwort. Das ist nicht gut.
Passwörter sollte man sich ganz einfach als digitale Schlüssel vorstellen, die persönliche Bereiche vor fremdem Zugriff schützen sollen. Genauso wie beim Haus oder Auto müssen diese Schlüssel, um im Ernstfall zu nutzen, eine gewisse Qualität haben. Hier sind fünf Tipps, wie das gut gelingt:
Vorab: Ein Dutzend Passwörter mag man sich ja noch merken können, wenn sie nach einem bestimmten System aufgebaut sind. Aber bei hunderten von Passwörtern, die zudem gelegentlich geändert werden sollten, stößt auch der beste Kopf an seine Grenzen. Ein sogenannter Passwort-Manager, ein Programm also, das auf die Verwaltung von Zugangsdaten spezialisiert ist, ist deshalb zu empfehlen. Diese Helfer gibt es gratis und kostenpflichtig. Entscheidend ist nicht so sehr, welchen man nutzt. Entscheidend ist, dass man unterschiedliche und schwer zu knackende Passwörter verwendet. Und dabei ist ein Password-Manager eine große Hilfe.
Tipp 1: Mindestens 8 Zeichen ohne erkennbare Logik
Computer haben eine große Stärke: Sie führen langweilige Arbeiten mit großer Geschwindigkeit durch. Ein sogenannter „brute force“-Angriff auf ein digitales Schloss ist so eine langweilige Angelegenheit. Es werden schlicht und einfach zuerst wahrscheinliche und dann denkbare Kombinationen durchprobiert. Angefangen also mit unterschiedlichen Schreibweisen des Wortes „Passwort“ einschließlich „p@ssw0rt!“ über Zahlenreihen, nebeneinander liegenden Buchstaben auf der Tastatur, Postleitzahlen und Geburtsdaten bis hin zu Vor-, Haustier-, Marken- und Städtenamen, Sportvereinen und Sportarten oder einfach Wörtern aus dem Wörterbuch. Es ist erstaunlich, mit welcher Geschwindigkeit einschlägige Programme diese Arbeit erledigen.
Regel Nummer eins lautet deshalb, dass ein Passwort mindestens acht Zeichen lang und in keinem Wörterbuch zu finden sein soll. Eine ganz einfache Variante wären die Anfangsbuchstaben eines Satzes. „egnsaehd“ zum Beispiel kann man sich leicht merken: „es gibt nichts schöneres als eine heiße dusche“.
Tipp 2: Groß, klein, Sonder, leer
Für ein Passwort, das wie im Beispiel oben lediglich aus acht Kleinbuchstaben besteht, ergeben sich 26 hoch acht und damit 208.827.064.576 mögliche Kombinationen. Das klingt nach viel – aber ein schneller PC testet die mit entsprechender Software in weniger als zwei Minuten durch. Über eine Online-Verbindung dauert das ein wenig länger. Aber wenn Hackerprogramme von hunderten von Servern parallel zugreifen, geht auch das erschreckend schnell.
Besteht das Passwort aus Groß- und Kleinbuchstaben sowie Ziffern und damit 62 möglichen Zeichen, erhöht sich die benötigte Zeit auf etwas über einen Tag. Erhöht man die Länge des Passworts von acht auf 12 Zeichen, würde der gleiche Hochleistungs-PC knapp 48.000 Jahre brauchen, um alle Kombinationen durchzutesten. Und da wären natürlich noch Sonder- und womöglich sogar Leerzeichen, die sich einstreuen lassen.
Damit ist klar: Schon ein 8-stelliges Passwort, das mit Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen 75 mögliche Zeichen beinhaltet, kann als sehr sicher gelten. Und „Egn5@1hD“ könnte man sich sogar gut merken.
Tipp 3: Nicht aufschreiben
Das schönste Passwort nutzt nichts, wenn es im Umkreis des Rechners auf einem Post-it notiert klebt, vermeintlich gut versteckt unter der Schreibtischplatte oder Schreibtischunterlage, dem Mousepad, der Tastatur oder dem Telefon. Hier werden neugierige Menschen zuerst nachsehen.
In diese Falle tappen Nutzer häufig in Firmen oder Institutionen, in denen für einen wichtigen Zugang ein regelmäßiger Wechsel des Passworts eingefordert wird. Wie soll man sich schließlich andauernd neue Passwörter merken? Zum Beispiel, indem in einem starken Passwort zwei bestimmte Ziffern oder Buchstaben auf den aktuellen Monat hinweisen: „0Egn5@1hD6“. Eine ungeschützte Datei namens „Passwörter“ auf dem Rechner oder Smartphone wäre so, als legte man einem Einbrecher alle wichtigen Schlüssel in einer hübschen Schale gut sichtbar bereit.
Und die beste Antwort auf eine Sicherheitsfrage, die oft als zusätzlicher Schutz eingebaut wird, ist eine Antwort, die man selber und nur man selber kennt. Das gilt im Ernstfall weder für den Namen der Straße, in der man aufgewachsen ist, noch für den Mädchennamen der Mutter. Betrüger sind erfinderisch.
Tipp 4: Kein Passwort zweimal
Auch wenn es verlockend sein mag: Selbst ein starkes Passwort sollte man nicht für mehrere Log-ins nutzen. Weil damit das Risiko steigt, dass dieses Passwort bei einem Angriff erbeutet wird. Und weil im Fall der Fälle dieser eine Schlüssel gleich mehrere Türen öffnet.
Hypothetisches Beispiel: Hacker erbeuten bei einem Online-Dienstleister hunderttausende von Kundendaten. Wie schnell die Betroffenen das erfahren, ist ungewiss. In der Zwischenzeit zirkulieren die Daten im Internet und Hacker testen, wo die erbeuteten Schlüssel noch so passen. E-Mail-Konten? Online-Shopping? Online-Banking?
Ob man Opfer eines Datendiebstahls geworden ist, lässt sich mit dem Identity Leak Checker des Hasso-Plattner-Instituts der Universität Potsdam kostenlos überprüfen. Der Dienst ermöglicht den Abgleich mit mittlerweile mehr als 10 Milliarden gestohlenen und im Internet verfügbaren Identitätsdaten.
Wenn Zugangsdaten in falsche Hände geraten, dann ist es in der Regel wichtig, dass der entsprechende Zugang sofort gesperrt wird. Es vereinfacht die Sache ungemein, wenn den Dieben nicht ausgerechnet ein Generalschlüssel in die Hände gefallen ist.
Tipp 5: Passwort-Manager nutzen
Wir bei OwnChat bieten keinen Passwort-Manager an und wollen keine bestimmte Lösung empfehlen. Aber Datensicherheit ist bei uns ein zentrales Thema. Und deshalb wollen wir helfen, Fehler und Ärger zu vermeiden.
Das Online-Angebot an Produkten und Dienstleistungen wächst. Und damit auch die Zahl der personifizierten Log-ins. Solange sich keine besseren Lösungen wie eine zuverlässige biometrische Erkennung oder Single Sign-on Dienste durchgesetzt haben, wird die Verwendung von Passwörtern in Authentifizierungsprozessen eine notorische Schwachstelle bleiben.
Passwort-Manager können hier eine wertvolle Hilfe sein. Mit ihnen lassen sich neue Zugangsdaten bequem speichern, sei es unter Verwendung vorgeschlagener oder selbst definierter Passwörter. Die Informationen werden verschlüsselt gespeichert, wenn gewünscht auf einer Cloud, so dass von unterschiedlichen Geräten aus auf dieselben Daten zugegriffen wird. Sie erleichtern es, die wichtigsten Regeln konsequent zu befolgen:
- individuelle Passwörter zu nutzen,
- die mindestens acht, besser 12 Zeichen lang sind,
- Groß- und Kleinschreibung sowie Sonderzeichen verwenden,
- in keinem Wörterbuch zu finden sind
- und gelegentlich verändert werden.
Der Passwort-Manager selbst hat natürlich ein besonders schönes Passwort verdient: zum Beispiel „DPMsh@n1bsPv“.