Mein Vorteil von

Was man zu sicheren
Passwörtern wissen muss

Mein Vorteil - Was man zu sicheren
Passwörtern wissen muss © Bild: Shutterstock

Dass „Schnucki47“ alles andere als ein sicheres Passwort ist, hat sich herumgesprochen. Was es rund um die Sicherheit von Online-Accounts noch zu beachten gilt, verraten IT-Experten

Ein vermeintlich sicher erscheinendes Passwort ist – ziemlich unsicher. Wer nämlich das (vorbildlich erscheinende) Passwort „ji32k7au4a83“ benutzt, ist alles andere, als auf der sicheren Seite. Laut der Plattform „Have I Been Pwned“ wurde das Passwort schon in über 140 geleakten Datenbanken gefunden. Die Lösung dafür kommt von Hacker Robert Ou. „ji32k7au4a83“ ist nämlich keine zufällige Zeichenfolge, sondern eine Transkription für bestimmte chinesischen Schriftzeichen. Diese Zeichen heißen übersetzt „Mein Passwort“. Werden diese in der vor allem in Taiwan verbreiteten Zhuyin-­Tastatur eingegeben, entsteht daraus „­ji32k7au4a83“. Welche Kriterien ein Passwort erfüllen muss, warum „Schnucki47“ keine gute Idee ist und worauf noch zu achten ist, verraten zwei IT-Experten ­anhand von acht Fragen.

1. Vorfälle rund um gehackte Konten und entwendete Daten gibt es immer wieder. Warum gehen trotzdem so viele Menschen so nachlässig mit Pass­wörtern um?

Die simple Antwort: Vielen ist das lästig. „Alle Fehler, die Menschen im Umgang mit Passwörtern machen, rühren daher, dass sie sich die Passwörter auch irgendwie merken müssen. So werden zu kurze, zu einfache und zu naheliegende Passwörter gewählt, weil der Aufwand unterschätzt wird, diese zu erraten oder zu erlangen“, sagt Linus Neumann vom Chaos Computer Club, der größten europäischen Hackervereinigung. Oft fehlt auch das Bewusstsein für die Thematik – und das kann schnell schiefgehen. „Es geht nicht darum, ob man von Hackern erwischt wird, die Frage ist vielmehr, wann“, sagt Matthias Jax, Projektleiter beim Österreichischen Institut für angewandte Telekommunikation ÖIAT. Die gängige Antwort „Ich bin ja gar nicht wichtig genug, um gehackt zu werden“ lässt er jedenfalls nicht gelten. „Die Wichtigkeit einer Person spielt keine Rolle. Das sind automatisierte Programme, die im Netz aktiv sind – und irgendwann ist man halt mal dran.“

2. Was ist ein gutes Passwort und stimmt die Regel: acht Zeichen sind Minimum, zwölf erhöhen die Sicherheit signifikant?

Leider nein. Als Faustformel gilt vielmehr: je mehr Zeichen, umso besser – am besten 30, 40 und mehr. „Bei einem Passwort mit acht Zeichen braucht man zweieinhalb Stunden, um alle Möglichkeiten einmal durchzuprobieren“, erklärt Jax. Die Empfehlung des Experten lautet daher, sich einen Pass-Satz aus Wörtern auszudenken und so viele Zeichen wie möglich zu verwenden. Ein Beispiel: Pflanze, Einhorn, Leberkäse, dazwischen eine Zahl und am Anfang und am Ende Sonderzeichen.

3. Apropos Sonderzeichen. Müssen die wirklich sein?

„Ob Sonderzeichen im Passwort vorkommen oder nicht, spielt zumindest eine sehr viel geringere Rolle als die Länge des Passwortes“, sagt Linus Neumann. „Dies liegt an der für viele Menschen nicht besonders intuitiven Exponentialrechnung: Eine Erhöhung des Nenners (der Anzahl der Zeichen) hat einen weit größeren Einfluss als die ­Erhöhung der Basis (der Anzahl möglicher Zeichen pro Stelle).“ Hinzu kommt: Oft werden die gleichen Sonderzeichen verwendet. So wird zum Beispiel das Ausrufezeichen sehr viel häufiger gewählt, als das Paragraphensymbol. „Ein paar Buchstaben hinten dran stärken das Passwort daher stärker als das Ersetzen einzelner Buchstaben durch Sonderzeichen“, betont Neumann.

4. Wie wichtig ist es, das Passwort regelmäßig zu wechseln?

Wichtiger als ein Passwort regelmäßig zu wechseln ist es, für jeden Account ein anderes Passwort zu verwenden – möglichst lang, möglichst zufällig. „Der regelmäßige Passwortwechsel verleitet die Menschen zu einfacheren Passwörtern, weil sie sich oft neue Passwörter merken müssen“, sagt Neumann. „Außerdem machen die häufigen Passwortwechsel anfälliger für Phi­shing-Angriffe. Wer ein gutes Passwort hat, hat keinen Grund, es zu ändern.“

5. Welche Rolle spielen Passwortmanager?

Eine sehr wichtige, sagen die Experten unisono. „Es gibt keine Zugänge die ‚egal‘ ­genug wären, als dass sie nicht auf diese Weise gesichert werden sollten“, sagt ­Neumann. Die Software erzeugt und speichert schwer zu knackende Kenn­wörter. Beim Surfen fügt sie Pass­wort und Benutzername auto­matisch in das Anmelde­feld der jeweiligen Seite ein. Netter Neben­effekt: Es muss sich folglich auch nur ein Passwort gemerkt werden – nämlich jenes zum Passwortmanager. Der Haken: Seine Daten hier zu deponieren, kostet zunächst einmal Zeit. „Man muss sich zwei Stunden hinsetzen“, sagt Matthias Jax – und fügt schmunzelnd hinzu: „Und darf sich davon nicht frustrieren lassen.“ Stiftung Warentest in Deutschland hat neun kostenpflichtige Passwortmanager-Programme nach Schwach­stellen abge­klopft – vier von ihnen sind empfehlens­wert. Empfohlen werden Passwortmanager mit Zwei-Faktor-Authentifizierung, die bei der Anmeldung neben dem Masterpass­wort einen zweiten Schlüssel, etwa einen Finger­abdruck, verlangen. Einige Programme stehen für PC bzw. Mac kostenlos zur Verfügung, wer über ein weiteres Gerät auf die Pass­wörter zugreifen will, muss zahlen – je nach Programm zwischen fünf Euro einmalig und jährlich 33 Euro. Bekannte Programme sind Lastpass, 1Password und Keepass.

6. Hier und dort wird auch eine Sicherheitsfrage vom Nutzer abgefragt. Macht das Sinn?

Nicht wirklich, findet Experte Linus ­Neumann: „Die Antworten auf die sogenannten ‚Sicherheitsfragen‘ sind oft noch einfacher zu erraten als das Passwort: Die Schule hatte nicht viele Lehrkörper, die als Lieblingslehrerin infrage kommen, und der Zoo der Lieblingstiere ist auch klein …“ ­Allzu viele Gedanken über das Lieblings­essen oder den Geburtsnamen der Mutter braucht man sich ohnehin nicht mehr zu machen. „Die Sicherheitsfrage stirbt Gott sei Dank aus“, sagt Matthias Jax. Und falls sie doch noch abgefragt wird, dann lieber statt dem tatsächlichen Geburtsnamen der Mutter „Wackelpudding“ eingeben.

7. Wie wichtig ist die Zwei-Faktor-Authentifizierung?

Wer mit der Kreditkarte online zahlt, kennt das längst: Die Bezahlung kann erst abgeschlossen werden, wenn neben Namen und Passwort auch die sechsstellige mobile TAN-Nummer eingegeben wird, die via SMS an eine hinterlegte Handynummer verschickt wird. Der Code ist nur einmal gültig und verliert nach einer bestimmten Zeit automatisch seine Gültigkeit. „Die Zwei-Faktor-Authentifizierung sollte immer aktiviert werden, wenn dies möglich ist“, sagt Jax. Wichtig ist, sich auch eine Notfall-PIN zu besorgen und ­auszudrucken. Sonst ist man von seinen Diensten ausgesperrt, wenn etwa das Handy verloren geht.

8. Wie kann ich herausfinden, ob meine Accounts ins Visier von Hackern geraten sind?

Erste Anlaufstelle ist die Plattform „Have I Been Pwned“, wo sehr viele Leaks eingespeist werden. Hier kann auch eine Mailadresse hinterlegt werden. Taucht ein ­neuer Leak auf, wird man informiert.

Dieser Artikel erschien ursprünglich in der Printausgabe 10/2019