Regeln für starke Passwörter

Aus Userwiki
Wechseln zu: Navigation, Suche

Passwörter wollen sorgfältig gewählt sein. Zum einen sollten sie nicht einfach zu erraten sein, zum anderen muss man sich einige davon merken können.

Warum sind starke Passwörter wichtig?

"Ich habe keine Geheimnisse" ist ein oft gehörter Einwand von AnwenderInnen zu Sicherheitsmaßnahmen. Das Problem an Netzwerksicherheit ist, dass sie auf der Sicherung von Grenzen beruht (sog. "perimeter security"). Lokale Benutzer geniessen Vertrauen, unbekannte Fremde dagegen nicht. Wird nun jemandes Passwort geknackt, erringt ein Angreifer dieses Vertrauen. Denken Sie an ein Mehrfamilien-Wohnhaus mit einer starken Haustür und schwachen Wohnungstüren. Das beste Haustürschloss nützt Ihnen nichts, wenn ihr Nachbar im Erdgeschoss seine Terrassentür offenstehen oder jemand fremde Personen in den Hausflur läßt.

D.h.: Sie haben vielleicht keine Geheimnisse, Ihr Kollege aber durchaus. Die Sicherheit seiner Daten ist nur gewährleistet, wenn Sie gute Passwörter verwenden. Also tun sie's!

Wogegen muss man sich schützen?

Es gibt zwei Angriffsszenarien: die gezielte Attacke auf eine Einzelperson, oder der "Weg des geringsten Widerstands".

Gezielte Angriffe

Ein gezielter Angriff auf Ihre Daten ist denkbar, um z.B. an prüfungsrelevante Informationen oder unveröffentlichte Forschungsergebnisse zu gelangen. In diesem Fall wird der Angreifer versuchen, einige Informationen über Sie zu sammeln, und als Passwort den Namen ihres Partners, ihrer Kinder, Haustiere etc., deren Geburtsdaten usw. ausprobieren. Dies lässt sich maschinell machen, so dass auch wilde Kombinationen sehr einfach ausprobiert werden können.

Vermeiden Sie daher Passwörter, die auf solchen persönlichen Informationen beruhen.

Der "Weg des geringsten Widerstands"

Diese Variante kommt zum Tragen, wenn der Angreifer kein Interesse an bestimmten Daten, sondern lediglich an einer unberechtigten Nutzung des Systems hat. D.h. er wird versuchen, eine Liste aller Benutzerkonten zu bekommen (was nicht weiter schwierig ist), und dann einfach nacheinander viele Passwörter ausprobieren. Meist bedient sich ein Angreifer dazu eines oder mehrerer Wörterbücher, und variiert die Einträge. Auf normalen Wörtern basierende Passwörter sind unsicher!

Sie sehen: ein schwaches Passwort genügt, und der Angreifer ist im Netz!

Starke Passwörter

Ein gutes Passwort...

  • ist mindestens 10 Zeichen lang - gerne auch länger - eine Länge ab 12 Zeichen erhöht die Sicherheit signifikant;
  • besteht aus Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen;
  • ist kein einzelnes, existierendes Wort - auch nicht in anderen Sprachen;
  • beruht nicht auf persönlichen Daten
  • sollte trotzdem merkbar sein
Einfaches Ersetzen von Buchstaben durch Zahlen, z.B. "411e me1ne Entchen" wird routinemäßig von jedem Passwortknackprogramm versucht.


Niemals bei mehreren Konten das selbe Passwort verwenden! Durch zahlreiche Datendiebstähle bei großen Anbietern (Yahoo, Dropbox, Adobe ...) sind zahlreiche Nutzername/Email-Adresse - Passwort Kombinationen bekannt. Wenn die selben Daten bei anderen Anbietern verwendet werden, sind diese Zugänge quasi offen/ungeschützt. Auf der Seite https://haveibeenpwned.com/ kann man überprüfen, ob bestimmte Username-Passwort-Kombinationen unter den gestohlenen Daten sind.

Merkhilfen

Eine Möglichkeit ist, die Anfangsbuchstaben von Sätzen zu nehmen, und diese wo sinnvoll durch Sonderzeichen zu würzen. Zum Beispiel:

"Hei-ho, hei-ho, wir sind vergnügt und froh!" => 4xh,wsv+f! ("viermal 'h'")

"Gallia est omnis divisa in partes tres, quarum unam incolunt Belgae..." => G=o:ip3,q1iB" ("est" wird '=', "divisa" wird ':')

Diese beiden wunderbaren Passwörter sind damit leider für alle Zeiten tabu, aber das Prinzip ist beliebig erweiterbar.

Neuere Empfehlungen gehen dahin, mehr Wert auf die Länge eines Passworts zu setzen als auf dessen Komplexität. Die Aneinanderreihung von z.B. vier zufälligen und in keinem Zusammenhang stehenden Begriffen zu einem sehr langen Passwort gilt z.Z. als sicher. Generatoren für solche Passwörter finden sich z.B. unter https://gute-passwoerter.de/ (Eigene Kreativität ist aber allemal besser als Passwort-Generatoren.)

Mehr Infos auch unter: http://multimedia.gsb.bund.de/BSI/Video/Sicher_im_Internet/Passwoerter.mp4
oder
http://www.sueddeutsche.de/wirtschaft/sicherheitstipps-fuenf-regeln-fuer-bessere-passwoerter-1.3589857