Mich fragen immer wieder Kunden, wie sie denn das mit den ganzen Passwörtern machen sollen. Ich verlange schon einiges von den Leuten… Wie denn ein Passwort aussehen soll? Nun so…
- Es soll lang sein – 12 Zeichen können nicht zu viel sein
- Es soll nicht immer und überall verwendet werden – am besten ist es einzigartig
- Die ein oder andere Zahl rundet das Bild ab
- Wir verwenden keinen Namen von Haustieren, Familienmitgliedern, Lieblingsbands oder dergleichen
- Noch einmal das selbe, auch nicht rückwärts geschrieben
- Ein Geburtsdatum ist ebenfalls keine gute Idee
- Die eigene Telefonnummer oder die von Ehegatten, Verwandten etc. sind ein NOGO
- Automarken und -typen sind tabu
- Das Wort „Passwort“ ist ganz sicher KEINE Option
- Man klebe keinen Zettel mit einem deutlichen Hinweis oder gar dem Passwort selbst, neben den PC
Diese Liste könnte ich mit häufigen Wünschen wirklich sehr lange fortführen. Der eine oder andere mag auch Schmunzeln ob der offensichtlichen Unmöglichkeiten, Tatsache ist aber, dass Passwörter noch immer eine echte Herausforderung für viele Menschen darstellen.
Viele Dienste setzen Mittlerweile auf eine Zwei-Faktor Authentifizierung, was nichts anderes bedeutet, als dass ich zum Login nicht nur ein Passwort, sondern noch ein zweites benötige, dass automatisch generiert auf einem anderen Weg zum Zeitpunkt des Logins zugestellt wird. Zum Beispiel per SMS oder auch mittels einer App.
Ich befasse mich hier mit dem klassischen Fall: Sie möchten sich irgendwo registrieren und sollen ein Passwort festlegen, um sich in Zukunft dort anmelden zu können. Häufig wählt man eines, dass man schon oft benutzt hat – keine gute Idee.
Klassische Wort oder Marken sind daher gefährlich, weil es sogenannte Wörterbuchangriffe gibt. Dabei werden Wörter aus dem Sprachgebrauch des Ziels eingesetzt und in Varianten versucht. Damit lässt sich die Anzahl der nötigen Versuche für ein Passwort drastisch reduzieren.
Warum nicht ein Passwort für viele Seiten verwenden?
Wie in der Vergangenheit immer wieder passiert, kann es vorkommen, dass Benutzerdaten abhanden kommen. Die Passwörter sollten nun nicht in Klarform gespeichert sein, aber auch das ist schon geschehen. Wenn nun also Ihr eines feines Passwort gemeinsam mit ihrer einen Mailadresse, die Sie für solche Registrierungen immer verwenden, gestohlen wird, ist nicht nur ihr Konto bei der gehackten Seite in der Hand der Datenräuber. Sie müssen nun jedes Passwort auf jeder Seite, auf der Sie registriert sind ändern. Nicht nur lästig sondern häufig auch schon zu spät.
Brute Force Angriffe
Angriffe bei denen Passwörter erraten werden, nennt man Brute Force Angriffe. Man versucht einfach mit „brutaler Gewalt“ jede Variante an Zeichen. Je kürzer ein Passwort, desto rascher ist man am Ziel. Normalerweise sind solche Angriffe schnell zu entdecken und auch zu blockieren, da sie sehr schnell hintereinander die verschiedenen Zeichenkombinationen versuchen müssen, um irgendwann ans Ziel zu kommen. Dazu werden ganze Netzwerke von infizierten Rechnern, sogenannte Botnets eingesetzt. Wenn ein Rechner / eine IP ausgesperrt wird, weil die Brute-Force Attacke erkannt wurde, kommt der nächste zum Einsatz.
In letzter Zeit fielen immer wieder Botnets auf, die ganz gezielt auf kurze Passwörter aus waren. Die Angriffe waren nicht rasend schnell, sondern einfach geduldig. Als Benutzernamen wurden die Mailadressen von den Firmenwebseiten versucht, die angegriffen wurden. Auch wenn sich so meist keine Administratorenaccounts kapern ließen, reichte es häufig aus, eine Webseite „heimlich“ mit unerwünschten Inhalten zu füllen.
Wie erstellt man ein gutes Passwort?
Dazu gibt es grob gefasst zwei Möglichkeiten: händisch oder mit einem Passwortgenerator. Letztere gibt es zu Hauf, ich gehe nachher noch auf eine andere Möglichkeit im Zusammenhang damit ein. Zunächst die Variante…
Ein gutes Passwort einfallen lassen
Natürlich können sie einfach auf die Tastatur einhauen und sehen was dabei raus kommt. Das so generierte Passwort ist wahrscheinlich sogar ganz gut – aber kaum zu merken. Wenn wir schon mit ausgedachten Passwörtern arbeiten, sollten wir in der Lage sein, sie uns auch zu merken.
Eine der einfachsten und gleichzeitig besten Varianten ist, sich einen ganzen Satz zu merken. Von diesem Satz nutzen Sie dann die Anfangsbuchstaben inkl. Satzzeichen am Ende, genau wie sie im Satz vorkommen.
Aus
„Meine Frau kocht schon immer gerne Gulasch mit Kartoffeln und Paprika.“
wird das Passwort:
MFksigGmKuP.
Damit haben Sie ein 12-stelliges Passwort mit Sonderzeichen und Groß- und Kleinschreibung und merken können Sie es sich auch. Wenn Sie nun Sätze variieren und mit Elementen versehen, die die Webseite für die Sie das Passwort erstellen repräsentieren, können Sie systematisch sehr gute Passwörter erstellen.
Ab einer gewissen Anzahl von Passwörtern, wird die Sache allerdings schon wieder kompliziert. Besser sind dann Hilfsprogramme.
Passwörter automatisch erstellen lassen
Programme, die Ihre Passwörter automatisch erstellen und am besten auch gleich abspeichern gibt es viele. Die Browser bieten auch eine Funktion, mit der Passwörter abgelegt werden können. Im Klartext sollten diese natürlich nicht gespeichert werden. Eine gute Anwendung, die sowohl mobil als auch auf dem Desktop funktioniert ist LastPass, das als Browsererweiterung zu Chrome und Firefox installiert werden kann.
LastPass – Passwortmanager
Mit diesem Tool benötigen Sie eben ein letztes Passwort, das Masterpasswort, hinter dem Sie dann alle anderen verstecken. Der Tresor mit Ihren Passwörtern ist gut geschützt, Sie sollten bei der Auswahl des Masterpassworts wirklich auf Sicherheit setzen. LastPass gibt es kostenlos und kostenpflichtig, wobei die kostenpflichtige Variante durchaus Sinn macht, lässt sie sich doch mit biometrischen Authentifizierungen wie z.B. Fingerabdruckscannern und dgl. nutzen. Mit solchen, sind dann auch Keylogger, die jeden Anschlag Ihres Keyboards mitschneiden, machtlos.
Keylogger sind kleine Programme die wie Trojaner auf Systemem aktiv werden, wenn jemand ein Passwort eingibt. Sie zeichnen die Anschläge auf der Tastatur auf und nicht, was auf dem Schirm zu sehen ist. Somit sind die klassischen Maskierungen der Passwörter in Passwortfeldern wirkungslos.
Zurück zu LastPasst. Kommen Sie nun auf eine Seite, bei der Sie sich anmelden möchten und LastPass ist aktiv, erledigt der Passwortmanager die Anmeldung für Sie. Sie brauchen weder Benutzername noch Kennwort einzugeben.
Wenn Sie sich auf einer Seite registrieren, schlägt LastPass vor, Ihnen ein automatisches Passwort zu generieren und zu speichern. Damit haben Sie Ihr Passwort nicht einmal selbst gesehen.
Der Vorteil von automatisch generierten Passwörtern
Nicht nur sind die Länge meist besser als bei ausgedachten, ein ganz wesentlicher Punkt dabei ist, dass sie gleichmäßig verteilt sind. Sie folgen absolut nicht dem Sprachgebrauch in irgendeiner Sprache sondern sind so angelegt, dass die Aufteilung und Nutzung der Zeichen gänzlich neutral ist.
