Informationsportal
IT-Sicherheit / Ransomware

Sichere Passwörter erstellen - So geht's

29. Juni 2023 | Von: ,

Felix Bauer

Felix Bauer
Felix Bauer
Felix Bauer ist Security Consultant und beriet bereits zahlreiche Unternehmen als IT-Sicherheitsexperte. Felix Bauer schrieb zahlreiche Fachartikel für IT-Fachmagazine (u. a. für ITWELT, IT-Administrator und für die Nachrichten-Website Heise online). Zudem findet Felix Bauer Erwähnung in diversen Büchern sowie in Fach- und News-Beiträgen (u. a. in der Wiener Zeitung, in der Computerworld und auf dem Nachrichtenportal Watson). 2011 mitbegründete er die Initiative bleib-Virenfrei. Schauen Sie sich Felix Bauers Referenzen an.

Felix Bauer hat bereits mehr als 20 Jahre Erfahrung in der IT-Sicherheitsbranche.

Seit einigen Jahren beschäftigt sich Felix Bauer intensiv mit Virenscannern und deren verhaltensbasierter Erkennung. In seinem Blog berichtet er regelmäßig über aktuelle Themen der IT-Sicherheit.

Akademischer Grad: Felix Bauer besitzt den Abschluss Master of Science in Security and Forensic Computing.

Twitter Homepage YouTube

René Hifinger

René Hifinger
René Hifinger
René Hifinger beschäftigt sich bereits seit einigen Jahren mit den Themen IT-Sicherheit, Datenschutz und neue Technologien. Erste Erfahrungen sammelte er in verschiedenen Sicherheitsforen und auf diversen IT-Portalen. Er hat zahlreiche Fachartikel zu unterschiedlichen IT-Sicherheitsthemen veröffentlicht - u. a. für die österreichische Fachzeitung Computerwelt, für das Magazin Informatik-Aktuell und für das Magazin DIGITALE WELT. Weitere Fachartikel und Veröffentlichungen von René Hifinger finden Sie hier.

Abseits von Security-Themen verfügt René Hifinger über fundiertes Fachwissen im Bereich Softwareentwicklung. Er beherrscht die Programmiersprachen C, C ++, HTML, JavaScript, PHP und Python.

René Hifinger berät Unternehmen weltweit in den Bereichen IT-Sicherheit und Softwareentwicklung. Er bringt über 15 Jahre Erfahrung mit und hat für verschiedene Unternehmen gearbeitet. Er ist Mitbegründer der Initiative bleib-Virenfrei.

Twitter Homepage Medium
Sichere Passwörter
Sichere Passwörter sind immer noch eine Schwachstelle vieler Computernutzer. Für jedes E-Mail-Konto, jeden Online-Dienst, jeden Computer und jedes Smartphone soll ein eigenes, sicheres Passwort definiert werden! Unmöglich? Nein, denn es gibt eine Reihe praktischer Tipps, die den Aufwand verringern. Wir zeigen Ihnen, wie Sie sichere Passwörter erstellen und wie Sie Ihre Passwörter ganz einfach verwalten können.

Sichere Passwörter: Das Wichtigste in Kürze

Ein langes Passwort ist nicht immer ein gutes Passwort! Die Stärke eines Passworts hängt von mehreren Faktoren ab. Es sollte komplex genug sein, um als sicher zu gelten: Eine Kombination aus Klein- und Großbuchstaben mit Zahlen und Sonderzeichen. Außerdem sollten Sie für jedes Online-Konto ein eigenes Passwort verwenden.

Sicheres Passwort
Wie sollte ein sicheres Passwort aussehen?

Regeln für ein sicheres Passwort
  • Die einfachste Regel lautet: Keine Standardpasswörter verwenden. Das weltweit beliebteste Passwort ist „123456", die Deutschen sichern ihre Accounts am häufigsten mit dem Wort „hallo".
  • Verwenden Sie ein 10-stelliges Passwort, das Sonderzeichen (z. B. @ !? *; # ), Zahlen sowie Groß- und Kleinbuchstaben enthält. Beispiel: i9R%x-g&§2

    Passwort Sicherheit
    Tabelle: So schnell lassen sich Passwörter knacken
  • Verwenden Sie ein Passwort, das nichts mit Ihren persönlichen Daten zu tun hat. Wenn Sie Andreas heißen und 1981 geboren sind, ist ein Passwort wie "andreas1981" leicht zu erraten. Auch Ihr Geburtsdatum oder andere naheliegende Dinge wie der Name Ihres Haustiers sind tabu.
  • Verwenden Sie keine Wörter, die im Wörterbuch stehen.
  • Verwenden Sie niemals dasselbe Passwort für verschiedene Dienste.
  • Wer befürchtet, bei vielen, häufig wechselnden und komplizierten Passwörtern den Überblick zu verlieren, kann auf Passwort-Manager ↓, Merksätze ↓ oder Passwortkarten ↓ zurückgreifen.
  • Wenn Sie Ihr Passwort vergessen, müssen Sie auf den meisten Webseiten eine Sicherheitsfrage beantworten. Machen Sie diese Antwort so einzigartig wie ein Passwort, indem Sie Zahlen oder Symbole hinzufügen.
Der richtige Umgang
  • Verwalten Sie Ihre Passwörter mit einem Passwort-Manager ↓. Passwort-Manager erstellen sichere Passwörter für verschiedene Zugänge und speichern diese innerhalb des Programms. Das Programm kann nur mit einem "Master-Passwort" gestartet werden.
  • Versenden Sie keine Passwörter per E-Mail.
  • Schreiben Sie sich das Passwort nicht auf und kleben es unter den Monitor.
  • Um Kriminellen das Handwerk zu legen, bieten viele Internet-Unternehmen neue Sicherheitslösungen wie die Zwei-Faktor-Authentifizierung ↓ an. Dann reicht nicht mehr nur das Passwort, um sich einzuloggen. Eine gängige Lösung: Neben dem Passwort muss der Nutzer eine PIN eingeben, die an sein Handy geschickt wurde. Verwenden Sie (wenn möglich) eine Zwei-Faktor-Authentifizierung. Die Zwei-Faktor-Authentifizierung ist eine sehr gute Option, um Ihre persönliche Sicherheit zu erhöhen.
Lange Zeit galt die Faustregel, Passwörter regelmäßig zu ändern. Doch solche Regeln schaden mehr als sie nützen. Das Bundesamt für Sicherheit in der Informationstechnik rät davon ab, Passwörter regelmäßig zu ändern[1].
Inhaltsverzeichnis
  1. Passwort-Manager - Passwörter erstellen und verwalten
    1. Passwort-Manager im Überblick
  2. Merksätze als Passwörter
  3. Passwortkarten
  4. Zwei-Faktor-Verfahren (2FA)
  5. Wie kommen Diebe an Passwörter?
    1. Passwortdiebstahl durch Phishing
  6. Wie nutzen Datendiebe gestohlene Daten?
  7. Die Zukunft des Passworts
    1. Passkeys
  8. Einzelnachweise

Passwort-Manager - Passwörter erstellen und verwalten

Für jedes Online-Konto sollen wir ein anderes Passwort haben. Aber welches Passwort habe ich hier hinterlegt, welches dort? Eine schriftliche Liste aller Passwörter (ohne Angabe eines jeweiligen Verwendungszwecks) ist kein Problem, solange sie nicht sichtbar auf dem Schreibtisch liegen gelassen wird. Die Wahrscheinlichkeit, dass jemand diese Liste findet und einem Verwendungszweck zuordnen kann, ist sehr gering. Ein Textdokument auf dem PC, das Ihre Passwörter enthält, birgt dagegen ein hohes Risiko. Viel sicherer ist ein guter Passwort-Manager. Damit können Sie Ihre Passwörter auf dem PC in einer passwortgeschützten Datenbank speichern. Wenn Sie ein sehr gutes Master-Passwort für den Zugang zum Passwort-Manager vergeben, sind alle anderen Passwörter sicher. Sie müssen sich dann nur noch ein Passwort merken und nicht mehr 10 oder mehr.

KeePass Passwort-Manager
KeePass Passwort-Manager
Passwortmanager (auch Passwortverwalter genannt) gibt es mittlerweile viele. Wer der Passwortspeicherung kommerzieller Anbieter misstraut, sollte auf Open-Source-Programme wie KeePass oder Password Safe zurückgreifen. Der Vorteil: Der Quellcode ist für jedermann zugänglich und Implementierungsfehler oder mögliche Hintertüren (Backdoors) sollten schnell entdeckt werden. Denn hier ist eine vollständige Überprüfung des Quellcodes von jeder unabhängigen Stelle möglich.

Passwort-Manager unterscheiden sich untereinander sehr. Einige werden als Software auf Ihrem Computer geladen. Andere werden als Erweiterung in Ihrem Webbrowser installiert oder sind per Online-Dienst erreichbar. Zudem unterscheiden sie sich in den Funktionen, die sie über das sichere Generieren und Speichern von Passwörtern hinaus noch anbieten. So bieten beispielsweise einige Programme einen Passwort-Generator an, der die Passwörter automatisch über mehrere Geräte synchronisieren kann.

Passwort-Manager im Überblick

Die nachfolgende Tabelle soll Ihnen einen Überblick über die bekanntesten Passwort-Manager geben.

Passwort-Manager Betriebs­system Bemerkungen
KeePass
Kostenlos (Open Source)		 Alle Windows-Versionen (ab Windows 98), Android, iOS, macOS, Linux. KeePass ist eine starke Passwort-Manager-Software. Die deutsch­sprachige Unterstützung der Software muss als separate Erweiterung heruntergeladen und installiert werden.
1Password
2,99 Dollar / Monat		 Windows 7 / 8 / 10, Android, iOS, macOS, Linux Die Software ist für zahlreiche Plattformen erhältlich, jedoch vergleichsweise teuer.
Clipperz
Kostenlos (Open Source)		 Zugriff erfolgt über Web­browser Online-Dienst, der die Kennwörter und andere Daten auf den Servern des Anbieters speichert. Die Daten werden per SRP, AES, SHA2, PRNG verschlüsselt - vor dem Hochladen.
KeePassX
Kostenlos (Open Source)		 Windows ab 2000; Mac OS X ab 10.4; Linux "KeePassX" und "KeePass" sind trotz Namens­ähnlichkeit unterschiedliche Programme. KeePassX wird kaum noch weiterentwickelt.
LastPass
Kostenlos oder kosten­pflichtig		 Windows ab 2000; Mac OS X ab 10.5; Linux Ubuntu Online-Dienst, der die Kennwörter und Daten auf den Servern des Anbieters speichert. Benötigt Installation einer Browser-Erweiterung. Die "Premium"-Edition bietet auch Anbindung an mobile Geräte (Smartphones).
Password Safe
Kostenlos (Open Source)		 Windows ab XP Die deutsch­sprachige Unterstützung der Software muss als separate Erweiterung heruntergeladen und installiert werden.
Schlüssel­bund­verwaltung
Kostenlos		 Eingebaut in Mac OS X Wird standardmäßig mit dem Betriebssystem Mac OS X ausgeliefert, und von vielen Mac-Programmen (Mail, Safari, iChat; Dritt­programme) standardmäßig verwendet.
Auch einige Anbieter von Sicherheitspaketen koppeln ihre Virenschutz-Software mit einem Passwort-Manager.

Merksätze als Passwörter

Sichere Passwörter sind nicht leicht zu merken. Wie würden Sie sich das Passwort „MHi4Ja&hC.“ merken, das aus Kleinbuchstaben, Großbuchstaben, Sonderzeichen und Zahlen besteht? In diesem Beispiel wird ein kleiner Merksatz als Eselsbrücke verwendet. Ein Merksatz kann aus dem Alltag, dem beruflichen oder privaten Umfeld stammen.

Bei dem hier verwendeten Passwort lautet der Merksatz wie folgt:

Mein Hund ist 4 Jahre alt & heißt Charly.
„MHi4Ja&hC.“

Von jedem Wort wurde der erste Buchstabe genommen. Diese Methode gilt als sehr sicher, solange der Merksatz nicht veröffentlicht, niedergeschrieben oder an eine andere Person weitergegeben wurde.

Eselsbrücken machen das Merken leichter. Im Laufe der Jahre sind viele konstruktive Hinweise entstanden, wie man sich Passwörter merken kann:
  • Liedertext: Von den ersten zehn Wörtern, immer nur den ersten Buchstaben verwenden.
  • Zahlenersetzung: Bei Buchstaben i durch 1 ersetzen, e durch 3 ersetzen und o durch 0.

Passwortkarten

Passwortkarten wie die DSiN-Passwortkarte (Video auf youtube.com) sind einfache Hilfsmittel, die dem Benutzer das Leben etwas leichter machen. Sie ermöglichen die Generierung von kryptischen Passwörtern, die nach einfachen Musterregeln erstellt werden. Aber auch hier gilt: Werden zu einfache Regeln verwendet, ist der Schutzfaktor gering. Vor allem dann, wenn ein Angreifer die verwendete Passwortkarte kennt.

Zwei-Faktor-Verfahren (2FA)

Zwei-Faktor-Authentisierung
Mittlerweile bieten einige Online-Dienstleister die so genannte Zwei-Faktor-Authentifizierung (2FA) an. Dabei muss der Nutzer zusätzlich zu Benutzername und Passwort einen Bestätigungscode eingeben. Dieser wird z.B. per SMS zugesandt. Auch gibt es spezielle Chipkarten, die vor der Passworteingabe in ein Lesegerät am Computer eingesteckt werden müssen.

Für den Datendieb werden die gestohlenen Zugangsdaten so wertlos. PayPal bietet zum Beispiel das Zwei-Faktor-Verfahren an. Jedes Mal, wenn man sich von einem neuen Gerät einloggen möchte, muss man eine PIN eingeben, die per Handy zugeschickt wird. Das bedeutet allerdings auch, dass man seine Handynummer preisgeben muss. Manche Anbieter arbeiten mit anderen Verfahren - Facebook zum Beispiel mit einer Authentifizierungs-App eines Drittanbieters. Ein Blick in die Sicherheitseinstellungen eines Online-Dienstes lohnt sich: Bei vielen großen Tech-Unternehmen wie Amazon, Apple, Google und Microsoft können sich Nutzer bereits doppelt schützen.

Wie kommen Diebe an Passwörter?

Um einen kleinen Einblick in die Methoden der kriminellen Hacker zu bekommen, listen wir hier einige Methoden auf, mit denen Cyberkriminelle Passwörter knacken:
  • Ein Wörterbuchangriff ist die einfachste und je nach Passwort auch die schnellste Art, ein Passwort zu erraten. Wie der Name bereits vermuten lässt, werden mithilfe eines elektronischen Wörterbuchs zahlreiche Passwort-Kombinationen ausprobiert. Unter Berücksichtigung aller möglichen Groß-/Kleinbuchstaben, Sonderzeichen und Zahlen. Hacker verteilen die Aufgabe so, dass Tausende Computer (Botnetze) verschiedene Wörter und Kombinationen ausprobieren, mit unterschiedlichen IP-Adressen.
  • Internetkonzerne müssen regelmäßig einräumen, dass Hacker ihre Datenbanken gehackt und Nutzerdaten geklaut haben. Beinahe täglich werden Datensätze gefunden, die gehackte Zugangsdaten enthalten. Also Kombinationen aus Benutzername und Passwort. Irgendwo geklaut oder abgegriffen – aber in jedem Fall in Listen geführt, die Hacker nutzen und/oder verkaufen. Die „Ernte“ aus diversen cyberkriminellen Aktivitäten. Und für jeden Betroffenen eine Bedrohung.

    Einen Hinweis, dass man Opfer eines Hacks wurde, können E-Mails liefern, die man bekommt. Enthält eine Nachricht Infos, die man dem Absender nicht gegeben hat, wie zum Beispiel die eigene Adresse oder das Geburtsdatum, stammen diese Daten möglicherweise aus einem Hack.

    Tipp: Im Identity Leak Checker des Hasso Plattner Instituts (HPI) wird eine Datenbank mit Zugangsdaten von Dutzenden bekannt gewordener Hacks geführt. Hier kann jeder herausfinden, ob er selbst Opfer eines Hackangriffes geworden ist. Einfach Mail-Adresse eingeben – und abwarten. Kurz danach erhält man eine Mail mit Infos, ob man auf der Liste steht und bei welchen Hackaktionen man Opfer wurde. Steht man auch nur auf einer Liste sollte man unverzüglich bei diesem Konto sein Passwort ändern – in allen Onlinediensten, wo man diese Zugangsdaten verwendet. Auch Have I Been Pwned ist eine Webseite, die es Benutzern ermöglicht zu überprüfen, ob ihre persönlichen Daten in Datenlecks veröffentlicht wurden. Die Webseite enthält eine Sammlung von über 12 Milliaren Datenlecks, die im Laufe der Jahre im Internet aufgetreten sind.
  • „Man in the middle“ Angriffe werden in öffentliche WLAN-Hotspots durchgeführt. Der betroffene Benutzer surft im Internet ohne zu wissen, dass die Datenkommunikation unbemerkt mitgelesen wird. Damit Ihre sensiblen Daten nicht in die falschen Hände gelangen, sollten Sie Passwörter oder sonstige sensible Daten keinesfalls in einem öffentlichen WLAN übertragen. Oder stellen Sie sicher, dass die Webseiten, die Sie besuchen, verschlüsselt sind. Alternativ benutzen Sie für die Übertragung ein gesichertes Netz - zum Beispiel unter Zuhilfenahme eines VPNs. Der Vorteil bei der Nutzung eines VPNs: Alles, was ein Hacker sehen wird, ist, dass jemand eine VPN-Verbindung einsetzt.
  • Keylogger sind, wie der Name bereits vermuten lässt, Datenspione, die alle Tastenanschläge auf einer Tastatur aufzeichnen und an den Angreifer übermitteln. Generell gilt: Niemals verdächtige Dateien oder E-Mail-Anhänge von unbekannten Absendern öffnen. Eine Antivirus-Software hilft ebenfalls. Weitere Virenschutz Empfehlungen finden Sie hier.
  • Denkbar ist außerdem das Ausspähen von Passwörtern durch Phishing-Mails. Bei einem Phishing-Angriff versucht ein Angreifer mit gefälschten E-Mails, täuschend echt aussehenden Internetseiten und entsprechend formulierten Texten, vertrauliche Informationen von den Benutzern zu erfahren. Nachfolgend finden Sie weitere Informationen über Phishing-Betrug.

Passwortdiebstahl durch Phishing

Beim Phishing versuchen Betrüger, Sie dazu zu bringen, sensible Daten (meist Passwörter) preiszugeben. Früher waren betrügerische Nachrichten leicht zu erkennen. Sie waren in schlechtem Deutsch verfasst, voller Grammatik- und Rechtschreibfehler. Sie wurden einfach von einem Übersetzungsdienst aus einer anderen Sprache übersetzt. Außerdem fehlte meist eine persönliche Anrede. Heute gehen die Betrüger viel professioneller vor. Die Nachrichten sehen aus, als kämen sie von offizieller Seite, etwa von einem medizinischen Dienstleister oder einer Bank. Stutzig sollte man immer werden, wenn man aufgefordert wird, auf einen Link zu klicken oder Konto- oder Login-Daten einzugeben. Das würde Ihre Bank niemals tun!

Wenn Sie auf einen solchen Link klicken, landen Sie nicht bei Ihrer Bank, sondern auf einer manipulierten Internetseite. Prüfen Sie deshalb genau, zu welcher Zieladresse ein Link führt. Diese wird angezeigt, wenn Sie mit der Maus über den Link fahren (nicht klicken).

Lesen Sie auch: Was ist Phishing und wie kann ich mich schützen?

Wie nutzen Datendiebe gestohlene Daten?

Hacker wollen in erster Linie persönliche Daten wie E-Mail-Adressen oder Passwörter stehlen, um damit Geld zu verdienen. Meist verschaffen sich die Datendiebe Zugang zu Bankkonten, Kreditkartendaten und Online-Bezahldiensten. Im Namen der Bestohlenen können sie dann Waren im Internet bestellen - und bleiben dabei oft unentdeckt.

Persönliche Daten gehören zu den beliebtesten Angriffszielen von Hackern. Wie beliebt diese Daten sind, zeigt eine Umfrage des Branchenverbands Bitkom[2]. Allein im vergangenen Jahr wurde jeder zweite Internetnutzer Opfer eines Cyber-Angriffs. In 34 Prozent der Fälle ging es dabei um Daten (siehe Grafik).

Cyberkriminalität Statistik

Die Zukunft des Passworts

Wie wichtig Passwörter sind, merkt man vielleicht erst, wenn man eines verloren hat oder es von Dritten geknackt wurde. Alternativen sind gefragt. Nicht nur, weil Passwörter geknackt und gestohlen werden können, sondern vor allem, weil wir immer mehr Geräte nutzen, bei denen die Eingabe von Passwörtern gar nicht oder nur sehr schwer möglich ist. Man denke nur an IoT-Geräte (Internet of Things), an Sprachassistenten im Haus. Apple zeigt mit der Gesichtserkennung FaceID im neuen iPhone, wohin die Reise geht: Wir entsperren die Geräte durch unsere biometrischen Daten (Fingerabdruck, Stimme, Iris, Gesicht). Wenn der Datenschutz beachtet wird, eine durchaus praktische Methode - bequem sowieso.

Einige Alternativen gibt es auch schon, etwa Windows Hello[3]. Hier können sich Benutzer mit biometrischen Daten wie Fingerabdruck, Iris oder Gesicht anmelden. Ebenfalls möglich: Das Login per Smartphone. Hier wird kein Anmeldecode im Handy erzeugt, sondern die Authentifizierungs-App von Microsoft[4] (verfügbar für Android, iOS und Windows) meldet, dass man sich in einem anderen Gerät anmelden möchte – und das bestätigt man dort durch einfaches Tippen. Also kein Passwort mehr nötig, keine PIN-Übermittlung etc.

Passkeys

Passkeys sind ein Authentifizierungssystem, das normalerweise in Verbindung mit einem Benutzernamen verwendet wird, um sich bei einem System oder Dienst anzumelden. Sie können als eine Art Passwort betrachtet werden, können aber auch zusätzliche Sicherheitsmerkmale aufweisen, die sie von herkömmlichen Passwörtern unterscheiden.

Es gibt verschiedene Arten von Passwörtern:
  • Statische Passcodes: Dies sind Passcodes, die unverändert bleiben, bis sie vom Benutzer oder vom System geändert werden. Sie werden ähnlich wie herkömmliche Passwörter verwendet.
  • Dynamische Passkeys: Sie ändern sich automatisch bei jeder Anmeldung oder nach einer bestimmten Zeitspanne. Beispiele hierfür sind One-Time-Passcodes (OTP), die entweder per SMS verschickt oder von einer Anwendung generiert werden.
  • Biometrische Passcodes: Hierbei handelt es sich um Merkmale des Benutzers selbst, wie z.B. Fingerabdruck, Gesichtserkennung oder Iriserkennung.
Um Passkeys verwenden zu können, benötigen Sie in der Regel ein System oder einen Dienst, der diese Art der Authentifizierung unterstützt. In der Regel geben Sie Ihren Benutzernamen und dann Ihren Passkey ein, ähnlich wie bei einem herkömmlichen Passwort. Wenn Sie einen dynamischen Passkey verwenden, müssen Sie möglicherweise einen neuen Passkey generieren oder warten, bis Sie einen neuen per SMS oder E-Mail erhalten.

Einzelnachweise

  1. heise.de - Passwörter: BSI verabschiedet sich vom präventiven, regelmäßigen Passwort-Wechsel
  2. bitkom.org: - Jeder zweite Internetnutzer von Cyberkriminalität betroffen
  3. microsoft.com: - Informationen zu Windows Hello und zur Einrichtung
  4. microsoft.com: - Herunterladen und Installieren der Microsoft Authenticator-App

Letzte Änderung am 29.06.2023: Kleinere Änderungen.
↑ Nach oben