Hauptinhalt

Passwörter

I love you: für immer und ewig ein schlechtes Passwort
Foto: Stabsstelle Informationssicherheit

Warum muss das so kompliziert sein?

Groß- und Kleinbuchstaben, mindestens 11 bis 16 Zeichen aber besser noch länger und auf jeden Fall bitte noch Zahlen und Sonderzeichen; die Vorgaben für ein sicheres Passwort sind sehr kompliziert. Das diese Vorgaben trotzdem sinnvoll sind verdeutlicht ein Perspektivwechsel. Als Hacker/in gibt es mindestens zwei lukrative Methoden zum Passwortdiebstahl: Phishing und Brute Force. Bei letzterem setzen Hacker/innen fertige Tools und schnelle Rechner ein, um beispielsweise bei einem Login Millionen von Kombinationsmöglichkeiten pro Sekunde durchzuprobieren. Das Bingo-Spiel dauert so lange, bis Tür und Tor zum Rechner oder E-Mail Postfach offen stehen. Je länger (und auch komplexer) allerdings das Passwort ist, desto schwerer tun sich die Tools und Rechner der Hacker/innen. Für ein 11-stelliges Passwort mit Sonderzeichen, Zahlen, Groß- und Kleinschreibung kann ein handelsüblicher Prozessor schon mal  11.000 Jahre brauchen. Es gilt also die Faustregel: Je einfacher und kürzer ein Passwort ist, umso leichter ist es zu knacken.

Wie mache ich das?

Um ein möglichst schwer zu erratendes Passwort zu erstellen, gibt es verschiedene Möglichkeiten. Eine einfache, aber zugleich effektive ist die sogenannte "Merksatzmethode". Sie funktioniert in drei einfachen Schritten:

  1. Wählen Sie ein Zitat oder den Anfang eines Gedichts, Songs oder Romans. Noch sicherer ist es, sich einen Satz komplett auszudenken. Als Beispiel wählen wir den Satz: "Morgens stehe ich auf und putze meine Zähne". 
  2. Von diesem Satz nehmen Sie nur die ersten Buchstaben jeden Wortes und lassen Zahlen und Satzzeichen so, wie sie sind: "MsiaupmZ".
  3. Im letzten Schritt werden einzelne Buchstaben durch ähnlich aussehende Sonderzeichen ausgetauscht (bspw. a durch @): "Msi@upmZ".

Da so erstelle Passwort erhält alle wichtigen Vorgaben, ist ausreichend lang und lässt sich durch den Merksatz jederzeit wieder herleiten. Das genannte Beispiel sollten Sie allerdings nicht verwenden, es ist nicht mehr geheim. Alternativ können Sie auch ganze Sätze als Passwort verwenden. Wichtig ist vor allem, dass Ihr Passwort ausreichend lang ist. Achten Sie aber auch auf die Zeichenbegrenzung der jeweiligen Anwendung für das Passwort.

Werfen Sie auch einen Blick auf die Passwort-Richtlinien und die Möglichkeit zur Passwortänderung. Übrigens sind regelmäßige Passwortänderungen nicht mehr up to date. Wenn Sie ein sicheres Passwort haben, können Sie es so lange nutzen, bis Hacker:innen es knacken oder Sie einem Phishing-Angriff ins Netz gehen.

Machen Sie sich Ihr Leben leichter.

  • Nutzen Sie einen Passwortmanager wie KeePass, mit dem Sie Zugangsdaten sicher, einfach und schnell verwalten können. Mit KeePass müssen Sie sich nicht jedes Ihrer Passwörter merken, sondern nur ein einziges Masterpasswort. Weitere Informationen zu KeePass
  • Nutzen Sie nicht überall das selbe Passwort. Gelangt Ihr Passwort in die Händer von Hacker:innen, haben sie Zugang zu all Ihren Accounts (und das probieren die definitiv auch aus).
  • Nutzen Sie wo möglich neben Ihrem Passwort eine Zwei-Faktor-Authentifizierung ein. Ist diese aktiviert, benötigen Sie zur Anmeldung einen zweiten Faktor. Das prominenteste Beispiel für einen zweiten Faktor sind die TANs, die Sie für das Online-Banking brauchen. Haben Hacker:innen Ihr Passwort erbeutet, brauchen sie für die Anmeldung immernoch den zweiten Faktor (bspw. die TAN). Für eine steigende Anzahl von Webdiensten können Sie an der Philipps-Universität eine Zwei-Faktor-Authentifizierung nutzen.
  • Machen Sie Schluss mit Passwort-Zetteln. Die sind unsicher und unkomfortabel. Nutzen Sie lieber einen Passwortmanager, der Ihnen auch gleich Ihr Passwort in digitaler Form zur Verfügung stellt. Der Umstieg lohnt sich!
  • Ihr Passwort ist geheim! Geben Sie es an niemanden weiter! Nur Sie dürfen es kennen.