Ob für das Abrufen der E-Mails, beim Online-Banking oder bei verschiedensten Websites und Apps: Immer wieder benötige ich im Alltag ein Passwort. Aber wie sollte ein sicheres Passwort aussehen? Und noch wichtiger: Wie merke ich mir dann den Zeichensalat?
Je mehr Online-Accounts und Programme ich habe, desto mehr Passwörter benötige ich – leider. Denn sie alle zu behalten ist nicht leicht – vor allem dann, wenn sie auch noch kompliziert sind. Kein Wunder, dass die Versuchung groß ist, es sich leicht zu machen: Ich suche mir ein Passwort aus, das ich mir gut merken kann und verwende das dann auf allen Seiten, auf denen eines gefordert wird. Praktisch – oder vielleicht doch nicht?
Experten warnen davor, es sich so einfach zu machen – denn das macht es auch kriminellen Hackern leichter, meine Daten zu erbeuten. "Vielen Nutzern ist nicht bewusst, dass Kriminelle mit dem Handel gestohlener Identitäten sehr viel Geld verdienen und welcher Schaden ihnen entstehen kann", erklärt Christoph Meinel vom Hasso-Plattner-Instituts (HPI). Für kriminelle Hacker sei es ein Leichtes, über schwache Passwörter Zugriff auf persönliche Informationen und Accounts zu bekommen
Keine normalen Wörter nutzen
Wie aber sollte ein sicheres Passwort aussehen? Ganz klar: "hallo", "passwort" oder "qwertz" sind zwar nach wie vor die absoluten Klassiker bei deutschen Passwörtern. Aber wenn ich mich vor Datenklau schützen möchte, sind solche einfachen Wörter tabu. Denn Hacker haben Software, die vollautomatisch alle möglichen Zeichenkombinationen ausprobieren oder ganze Wörterbücher einschließlich gängiger Kombinationen aus Worten und angefügten Zahlen testen.
Voreingestellte Passwörter immer ändern
Bei vielen Programmen und Apps sind simple Passwörter voreingestellt – das gilt beispielsweise auch für meinen WLAN-Router. Der Klassiker ist dabei oft "123456". Manchmal reicht es beim ersten Start auch aus, einfach beim leeren Passwortfeld "Enter" zu drücken und ich bin drin. Wenn ich dann im Eifer des Installierens oder Anmeldens vergesse, dieses voreingestellte Passwort zu ändern, droht ein Datenklau. Denn Hacker probieren bei einem Angriff meist als erstes aus, ob vergessen wurde, diese Accounts mit neuen Passwörtern zu versehen.
Deshalb sollte ich immer genau darauf achten, ob ein Programm ein voreingestelltes Standard-Passwort hat. Im Zweifelsfall kann ich das im Handbuch nachschauen. Ist das der Fall, dann sollte ich es unbedingt ändern und mir stattdessen ein sicheres Passwort wählen.
Wie sieht ein sicheres Passwort aus?
Ein gutes Passwort ist möglichst lang, nutzt ganz verschiedene Zeichen und ergibt keinen Sinn. Als Minimum für die Länge gelten acht Zeichen, mehr sind sogar noch besser. Das Passwort darf nicht in einem Wörterbuch vorkommen und sollte daher am besten gar kein Wort sein. Auch einfache Zahlenreihen oder Tastaturmuster sind zu einfach zu knacken. Tabu sind zudem Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten.
Auf der sicheren Seite bin ich, wenn mein Passwort aus Groß- und Kleinbuchstaben besteht und sowohl Sonderzeichen als auch Zahlen enthält. Ich sollte dabei aber vermeiden, einfach ein normales Wort mit ein paar zusätzlichen Zahlen und Sonderzeichen vorne und hinten zu garnieren – diesen Trick kennen die Hacker auch. Besser ist eine komplett kryptische Zeichenfolge, beispielsweise "mE4Ö+wbhH34".
Einfacher geht's mit der Satzmethode
Das große Problem ist: Ein so kryptisches Passwort kann ich mir nur schlecht merken. Aber es gibt einige Tricks, die mir das erleichtern. Ein Klassiker dabei ist die Satzmethode: Ich denke mir einen Satz aus und verwende von jedem Wort nur den 1. Buchstaben oder jeweils den letzten. Wichtig ist dabei, dass ich mir den Satz selbst ausdenke und nicht einfach ein Literaturzitat nehme – auch das würde es Hackern wieder zu leicht machen.
Aus dem Satz: "Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang" wird mit dieser Methode die Buchstabenfolge "MsiaupmmZdMl". Damit habe ich schon mal die geforderten Groß- und Kleinbuchstaben drin. Um das Passwort sicher zu machen, fehlen jetzt noch Sonderzeichen und Zahlen. Die baue ich ein, indem ich beispielsweise einige Buchstaben durch ähnlich aussehende Zahlen ersetze. "i" und "l" werden beispielsweise zu "1", wäre ein "E" enthalten, könnte ich daraus eine "3" machen. Um Sonderzeichen zu bekommen, kann ich beispielsweise ein "und" im Ursprungssatz durch ein "&" ersetzen.
Im obigen Beispiel bekomme ich durch solche Veränderungen das Passwort "Ms1a&pmmZ3M1". Das ist absolut kryptisch und schwer zu merken, aber dank meines Satzes habe ich dafür jetzt eine Eselsbrücke – die nur ich kenne.
Wie kann ich die Passwörter speichern?
Klar: Eine kryptische Kombination aus willkürlichen Zeichen und Zahlen kann ich mir nur schlecht merken. Was aber kann ich tun, damit ich es nicht vergesse und mich dann selbst aus E-Mail-Programm und Co aussperre? Eine klassische Möglichkeit ist es, die Passwörter auf Papier zu schreiben und dieses an einem sicheren Ort aufzubewahren. Aber: Bloß nicht diesen Zettel auf oder im Schreibtisch platzieren oder gar als Haftzettel am Computermonitor!
Besser ist es noch, die Passwort verschlüsselt auf dem Computer oder Handy abzuspeichern. Es gibt inzwischen auch zahlreiche Programme und Apps, die als Passwort-Manager fungieren. In diesen digitalen "Tresor" kann ich alle wichtigen Passwörter eintragen. Ich verschließe das Ganze dann mit einem Masterpasswort. Natürlich sollte dieses dann erst recht allen Anforderungen an die Sicherheit genügen. Der Vorteil dabei: Ich muss mir nur noch dieses Masterpasswort merken und kann alle anderen nachschauen.
Passwörter regelmäßig ändern
Auch wenn sie noch so unknackbar und sicher erscheinen: Ich sollte mir angewöhnen, alle meine Passwörter in regelmäßigen Zeitabständen zu ändern. Gut ist ein Turnus von einem halben oder einem Jahr. Denn auch das macht es Hackern schwerer, meine Accounts zu hacken.
Das kam übrigens so: als einmal vor einiger Zeit gigantische Passwortliste wegkamen, wurden die Strategien der Benutzer untersucht und daraus natürlich Knack-Algorithmen gebaut.
Folge: JEDE (!) Strategie wurde von irgendjemand schon einmal verwendet. Am sichersten sind Zufallspassworte.
Das Wechseln von Passworten halte ich in den meisten Fällen für kontraproduktiv. Es erhöht in der Regel die Sicherheit wenig - viel wichtiger: Passworte nur für einen Service verwenden.