Sichere Passwörter erstellen: Kriterien & Informationen von IT-Experten

Inhaltsverzeichnis:

• Warum sind viele Menschen so nachlässig mit der Sicherheit ihrer Passwörtern?
• Wie kann ich herausfinden, ob meine Accounts gehackt wurden?
• Sicheres Passwort erstellen: Reichen 8 Zeichen?
• Braucht es Sonderzeichen für ein sicheres Passwort?
• Wie wichtig ist es, das Passwort regelmäßig zu wechseln?
• Welche Rolle spielen Passwortmanager?
• Sind Sicherheitsfragen sinnvoll?
• Wie wichtig ist die Zwei-Faktor-Authentifizierung für ein sichereres Passwort?
• Die 5 besten Tipps der IT-Experten für ein sicheres Passwort im Überblick

Dass "Schnucki47" alles andere als ein sicheres Passwort ist, hat sich herumgesprochen. Was es rund um die Sicherheit von Online-Accounts noch zu beachten gilt, verraten IT-Experten.

Ein vermeintlich sicher erscheinendes Passwort ist – ziemlich unsicher. Wer nämlich das (vorbildlich erscheinende) Passwort "ji32k7au4a83" benutzt, ist alles andere, als auf der sicheren Seite. Laut der Plattform "Have I Been Pwned" wurde das Passwort schon in über 140 geleakten Datenbanken gefunden. Die Lösung dafür kommt von Hacker Robert Ou. "ji32k7au4a83" ist nämlich keine zufällige Zeichenfolge, sondern eine Transkription für bestimmte chinesischen Schriftzeichen. Diese Zeichen heißen übersetzt "Mein Passwort“. Werden diese in der vor allem in Taiwan verbreiteten Zhuyin-­Tastatur eingegeben, entsteht daraus "­ji32k7au4a83“. Welche Kriterien ein Passwort erfüllen muss, warum "Schnucki47" keine gute Idee ist und worauf noch zu achten ist, verraten zwei IT-Experten ­anhand von acht Fragen.

Vorfälle rund um gehackte Konten und entwendete Daten gibt es immer wieder. Warum gehen trotzdem so viele Menschen so nachlässig mit Passwörtern um? Die simple Antwort: Vielen ist das lästig. "Alle Fehler, die Menschen im Umgang mit Passwörtern machen, rühren daher, dass sie sich die Passwörter auch irgendwie merken müssen. So werden zu kurze, zu einfache und zu naheliegende Passwörter gewählt, weil der Aufwand unterschätzt wird, diese zu erraten oder zu erlangen“, sagt Linus Neumann vom Chaos Computer Club, der größten europäischen Hackervereinigung. Oft fehlt auch das Bewusstsein für die Thematik – und das kann schnell schiefgehen. "Es geht nicht darum, ob man von Hackern erwischt wird, die Frage ist vielmehr, wann“, sagt Matthias Jax, Projektleiter beim Österreichischen Institut für angewandte Telekommunikation ÖIAT. Die gängige Antwort "Ich bin ja gar nicht wichtig genug, um gehackt zu werden“ lässt er jedenfalls nicht gelten. "Die Wichtigkeit einer Person spielt keine Rolle. Das sind automatisierte Programme, die im Netz aktiv sind – und irgendwann ist man halt mal dran.“

Auch interessant: Bitcoins - Die wichtigsten Fakten zum virtuellen Zahlungsmittel

Erste Anlaufstelle ist die Plattform "Have I Been Pwned“, wo sehr viele Leaks eingespeist werden. Hier kann auch eine Mailadresse hinterlegt werden. Taucht ein ­neuer Leak auf, wird man informiert.

Leider nein. Als Faustformel gilt vielmehr: je mehr Zeichen, umso besser – am besten 30, 40 und mehr. "Bei einem Passwort mit acht Zeichen braucht man zweieinhalb Stunden, um alle Möglichkeiten einmal durchzuprobieren“, erklärt Jax. Die Empfehlung des Experten lautet daher, sich einen Pass-Satz aus Wörtern auszudenken und so viele Zeichen wie möglich zu verwenden. Ein Beispiel: Pflanze, Einhorn, Leberkäse, dazwischen eine Zahl und am Anfang und am Ende Sonderzeichen.

"Ob Sonderzeichen im Passwort vorkommen oder nicht, spielt zumindest eine sehr viel geringere Rolle als die Länge des Passwortes“, sagt Linus Neumann. "Dies liegt an der für viele Menschen nicht besonders intuitiven Exponentialrechnung: Eine Erhöhung des Nenners (der Anzahl der Zeichen) hat einen weit größeren Einfluss als die ­Erhöhung der Basis (der Anzahl möglicher Zeichen pro Stelle).“ Hinzu kommt: Oft werden die gleichen Sonderzeichen verwendet. So wird zum Beispiel das Ausrufezeichen sehr viel häufiger gewählt, als das Paragraphensymbol. "Ein paar Buchstaben hinten dran stärken das Passwort daher stärker als das Ersetzen einzelner Buchstaben durch Sonderzeichen“, betont Neumann.

Wichtiger als ein Passwort regelmäßig zu wechseln ist es, für jeden Account ein anderes Passwort zu verwenden – möglichst lang, möglichst zufällig. "Der regelmäßige Passwortwechsel verleitet die Menschen zu einfacheren Passwörtern, weil sie sich oft neue Passwörter merken müssen“, sagt Neumann. "Außerdem machen die häufigen Passwortwechsel anfälliger für PhishingAngriffe. Wer ein gutes Passwort hat, hat keinen Grund, es zu ändern.“

Lesen Sie hier: Was hinter dem Hype um NFTs steckt

Eine sehr wichtige, sagen die Experten unisono. "Es gibt keine Zugänge die ‚egal‘ genug wären, als dass sie nicht auf diese Weise gesichert werden sollten“, sagt Neumann. Die Software erzeugt und speichert schwer zu knackende Kennwörter. Beim Surfen fügt sie Passwort und Benutzername automatisch in das Anmeldefeld der jeweiligen Seite ein. Netter Nebeneffekt: Es muss sich folglich auch nur ein Passwort gemerkt werden – nämlich jenes zum Passwortmanager. Der Haken: Seine Daten hier zu deponieren, kostet zunächst einmal Zeit. "Man muss sich zwei Stunden hinsetzen“, sagt Matthias Jax – und fügt schmunzelnd hinzu: "Und darf sich davon nicht frustrieren lassen.“ Stiftung Warentest in Deutschland hat neun kostenpflichtige Passwortmanager-Programme nach Schwachstellen abgeklopft – vier von ihnen sind empfehlens­wert. Empfohlen werden Passwortmanager mit Zwei-Faktor-Authentifizierung, die bei der Anmeldung neben dem Masterpasswort einen zweiten Schlüssel, etwa einen Fingerabdruck, verlangen. Einige Programme stehen für PC bzw. Mac kostenlos zur Verfügung, wer über ein weiteres Gerät auf die Passwörter zugreifen will, muss zahlen – je nach Programm zwischen fünf Euro einmalig und jährlich 33 Euro. Bekannte Programme sind Lastpass, 1Password und Keepass.

Passend dazu:
• Handysignatur: Sicher unterschreiben im Internet
• Apps: Welche brauche ich, welche nicht?
• Widgets: Wie sie funktionieren und was sie können
• Messenger Apps: Kommunikation via Handy

Nicht wirklich, findet Experte Linus ­Neumann: "Die Antworten auf die sogenannten ‚Sicherheitsfragen‘ sind oft noch einfacher zu erraten als das Passwort: Die Schule hatte nicht viele Lehrkörper, die als Lieblingslehrerin infrage kommen, und der Zoo der Lieblingstiere ist auch klein …“ ­Allzu viele Gedanken über das Lieblingsessen oder den Geburtsnamen der Mutter braucht man sich ohnehin nicht mehr zu machen. "Die Sicherheitsfrage stirbt Gott sei Dank aus“, sagt Matthias Jax. Und falls sie doch noch abgefragt wird, dann lieber statt dem tatsächlichen Geburtsnamen der Mutter "Wackelpudding“ eingeben.

Wer mit der Kreditkarte online zahlt, kennt das längst: Die Bezahlung kann erst abgeschlossen werden, wenn neben Namen und Passwort auch die sechsstellige mobile TAN-Nummer eingegeben wird, die via SMS an eine hinterlegte Handynummer verschickt wird. Der Code ist nur einmal gültig und verliert nach einer bestimmten Zeit automatisch seine Gültigkeit. "Die Zwei-Faktor-Authentifizierung sollte immer aktiviert werden, wenn dies möglich ist“, sagt Jax. Wichtig ist, sich auch eine Notfall-PIN zu besorgen und ­auszudrucken. Sonst ist man von seinen Diensten ausgesperrt, wenn etwa das Handy verloren geht.

Dieser Artikel ist ursprünglich in der Printausgabe von News erschienen

1. Länge des Passworts: Verwenden Sie Passwörter mit möglichst vielen Zeichen, idealerweise 30, 40 oder mehr. Ein Pass-Satz aus Wörtern mit Zahlen und Sonderzeichen ist besser als kurze Passwörter.
2. Sonderzeichen sind hilfreich, aber nicht entscheidend: Die Verwendung von Sonderzeichen in einem Passwort ist weniger wichtig als die Gesamtlänge des Passworts. Dennoch können sie die Sicherheit weiter verbessern, vor allem wenn sie nicht vorhersehbar sind.
3. Regelmäßiger Passwortwechsel ist nicht entscheidend: Statt Passwörter regelmäßig zu ändern, ist es wichtiger, für jeden Account ein anderes, starkes Passwort zu verwenden. Häufiger Passwortwechsel kann zu schwächeren Passwörtern führen und macht anfälliger für Phishing-Angriffe.
   
4. Passwortmanager nutzen: Ein Passwortmanager ist eine effektive Möglichkeit, sichere Passwörter zu erstellen und zu verwalten. Passwortmanager generieren komplexe Kennwörter und speichern sie sicher. Es ist nur notwendig, sich ein starkes Passwort für den Passwortmanager selbst zu merken.
5. Zwei-Faktor-Authentifizierung aktivieren: Die Zwei-Faktor-Authentifizierung ist ein zusätzlicher Sicherheitsschritt, der die Sicherheit erheblich erhöht. Falls verfügbar, sollte sie für alle relevanten Konten aktiviert werden, um einen zusätzlichen Schutz zu bieten. Eine Notfall-PIN ist wichtig, um bei Verlust des Hauptgeräts den Zugang nicht zu verlieren.