Facebook Icon Twitter Icon

Sichere Passwörter erstellen - So geht's

10. März 2020 | Autor:
Sichere Passwörter
Sichere Passwörter stellen nach wie vor einen Schwachpunkt bei vielen Computernutzern dar. Unser Zugang zu den eigenen Daten oder Onlinediensten ist meist nur eine Zeichenfolge entfernt. Und ist die Zeichenfolge nicht komplex genug und obendrein noch für alle Dienste die gleiche, dann ist ein Einbruch in Computer oder Online-Konten vorherbestimmt.

Unbestritten ist, dass der Umgang mit Passwörtern nicht einfacher wird. Für jedes E-Mail-Konto, jeden Online-Dienst, jeden Computer und Smartphone soll man ein eigenes sicheres Passwort definieren! Unmöglich? Nein, denn es gibt eine Reihe von praktischen Tipps, wie man diesen Aufwand verringern kann. Wir zeigen, wie Sie sichere Passwörter erstellen und wie Sie Ihre Passwörter ganz einfach verwalten.

Sichere Passwörter: Das Wichtigste in Kürze

Ein langes Passwort muss nicht immer ein gutes Passwort sein! Die Stärke eines Passworts hängt von mehreren Faktoren ab. Das sollte komplex genug sein, um als sicher zu gelten: Eine Kombination aus Klein- und Großschreibung mit Ziffern und Sonderzeichen. Zudem sollten Sie für jedes Onlinekonto ein individuelles Passwort verwenden.

Regeln für ein sicheres Passwort
  • Die einfachste Regel lautet: Keine Standardpasswörter wählen. Das beliebteste Passwort weltweit lautet „123456", die Deutschen sichern ihre Konten am häufigsten mit dem Wort „hallo".
  • Verwenden Sie ein 10-stelliges Passwort mit Sonderzeichen (z.B. @ ! ? * ; # ), Zahlen und Groß-/Kleinbuchstaben. Zum Beispiel: i9R%x-g&§2

    Passwort Sicherheit
    Tabelle: So schnell lassen sich Passwörter knacken
  • Verwenden Sie ein Passwort, das nichts mit Ihren persönlichen Daten zu tun hat. Wenn Ihr Name Andreas ist und Sie 1981 geboren wurden, wird ein Passwort wie "andreas1981" sehr leicht zu erraten sein. Auch das Geburtsdatum oder andere naheliegende Dinge wie der Name des Haustiers sind tabu.
  • Verwenden Sie keine Wörter, die im Wörterbuch stehen.
  • Nutzen Sie niemals das gleiche Passwort für unterschiedliche Dienste.
  • Wer befürchtet, bei vielen, häufig wechselnden und komplizierten Passwörtern den Überblick zu verlieren, kann auf Passwort-Manager oder Merksätze zurückgreifen.
  • Wenn Sie Ihr Passwort vergessen, werden Sie auf den meisten Webseiten eine Sicherheitsfrage beantworten. Machen Sie diese Antwort so einzigartig wie ein Passwort, indem Sie Zahlen oder Symbole hinzufügen.
Der richtige Umgang
  • Verwalten Sie Ihre Passwörter über einen Passwort-Manager. Passwort-Manager erstellen sichere Passwörter für verschiedene Zugänge und speichern diese innerhalb des Programms. Dieses wiederum lässt sich nur über ein "Masterpasswort" starten.
  • Versenden Sie keine Passwörter per E-Mail.
  • Schreiben Sie sich das Passwort nicht auf und kleben es unter den Monitor.
  • Um Kriminellen das Handwerk zu legen, bieten viele Internet-Unternehmen neue Sicherheitslösungen wie die Zwei-Faktor-Authentifizierung an. Dann reicht nicht mehr nur das Passwort, um sich einzuloggen. Eine gängige Lösung: Neben dem Passwort muss der Nutzer eine PIN eingeben, die an sein Handy geschickt wurde. Verwenden Sie (wenn möglich) eine Zwei-Faktor-Authentifizierung. Die Zwei-Faktor-Authentifizierung ist eine sehr gute Option, um Ihre persönliche Sicherheit zu erhöhen.
Lange lautete die Faustregel, Passwörter regelmäßig zu ändern. Solche Regeln schaden jedoch eher, als das sie etwas Gutes bewirken. Das Bundesamtes für Sicherheit in der Informationstechnik rät von regelmäßigem Änderungen ab[1].

Passwort-Manager - Passwörter erstellen und verwalten

In jedem Onlinekonto sollen wir ein anderes Passwort haben. Aber welches Passwort habe ich hier hinterlegt, welches dort? Eine schriftliche Liste aller Passwörter (ohne Angabe eines jeweiligen Verwendungszwecks) ist kein Problem, solange sie nicht sichtbar auf dem Schreibtisch liegen gelassen wird. Die Wahrscheinlichkeit, dass jemand diese Liste findet und einem Verwendungszweck zuordnen kann, ist sehr gering. Ein Textdokument auf dem PC, das Ihre Passwörter enthält, birgt dagegen ein hohes Risiko. Viel sicherer ist ein guter Passwort-Manager. Damit können Sie Ihre Passwörter auf dem PC in einer passwortgeschützten Datenbank speichern. Sofern Sie ein sehr gutes Masterpasswort vergeben, um in den Passwort-Manager zu gelangen, sind alle anderen Passwörter sicher. Sie müssen sich dann nur noch ein Passwort merken und nicht 10 oder mehr.

KeePass Passwort-Manager
KeePass Passwort-Manager
Passwort-Manager (auch Kennwortverwalter & Passwortverwalter genannt) gibt es inzwischen eine Menge. Wer der Passwortspeicherung der kommerziellen Anbieter misstraut, sollte zu Open Source Programmen wie KeePass oder Password Safe greifen. Der Vorteil: Der Quellcode steht für jeden offen und Implementierungsfehler oder mögliche Hintertüren (Backdoors) sollten schnell entdeckt werden. Da hier eine vollständige Prüfung des Quellcodes von einer beliebigen unabhängigen Stelle möglich ist.

Passwort-Manager unterscheiden sich untereinander sehr. Einige werden als Software auf Ihrem Computer geladen. Andere werden als Erweiterung in Ihrem Webbrowser installiert oder sind per Online-Dienst erreichbar. Zudem unterscheiden sie sich in den Funktionen, die sie über das sichere Generieren und Speichern von Passwörtern hinaus noch anbieten. So bieten beispielsweise einige Programme einen Passwort-Generator an, der die Passwörter automatisch über mehrere Geräte synchronisieren kann.

Passwort-Manager im Überblick

Die nachfolgende Tabelle soll Ihnen einen Überblick über die bekanntesten Passwort-Manager geben.

Passwort-Manager Betriebs­system Bemerkungen
KeePass
Kostenlos (Open Source)
Alle Windows-Versionen (ab Windows 98), Android, iOS, macOS, Linux. KeePass ist eine starke Passwort-Manager-Software. Die deutsch­sprachige Unterstützung der Software muss als separate Erweiterung heruntergeladen und installiert werden.
1Password
2,99 Dollar / Monat
Windows 7 / 8 / 10, Android, iOS, macOS, Linux Die Software ist für zahlreiche Plattformen erhältlich, jedoch vergleichsweise teuer.
Clipperz
Kostenlos (Open Source)
Zugriff erfolgt über Web­browser Online-Dienst, der die Kennwörter und andere Daten auf den Servern des Anbieters speichert. Die Daten werden per SRP, AES, SHA2, PRNG verschlüsselt - vor dem Hochladen.
KeePassX
Kostenlos (Open Source)
Windows ab 2000; Mac OS X ab 10.4; Linux "KeePassX" und "KeePass" sind trotz Namens­ähnlichkeit unterschiedliche Programme. KeePassX wird kaum noch weiterentwickelt.
LastPass
Kostenlos oder kosten­pflichtig
Windows ab 2000; Mac OS X ab 10.5; Linux Ubuntu Online-Dienst, der die Kennwörter und Daten auf den Servern des Anbieters speichert. Benötigt Installation einer Browser-Erweiterung. Die "Premium"-Edition bietet auch Anbindung an mobile Geräte (Smartphones).
Password Safe
Kostenlos (Open Source)
Windows ab XP Die deutsch­sprachige Unterstützung der Software muss als separate Erweiterung heruntergeladen und installiert werden.
Schlüssel­bund­verwaltung
Kostenlos
Eingebaut in Mac OS X Wird standardmäßig mit dem Betriebssystem Mac OS X ausgeliefert, und von vielen Mac-Programmen (Mail, Safari, iChat; Dritt­programme) standardmäßig verwendet.
Auch einige Anbieter von Sicherheitspaketen koppeln ihre Virenschutz-Software mit einem Passwort-Manager.

Merksätze als Passwörter

Sichere Passwärter sind alles andere als leicht zu merken. Wie würden Sie versuchen, sich das Passwort „MHi4Ja&hC.“ bestehend aus Kleinbuchstaben, Großbuchstaben, Sonderzeichen und Ziffern zu merken? In dem hier verwendeten Beispiel ist ein kleiner Merksatz als Eselsbrücke zum Einsatz gekommen. Einen Merksatz können Sie aus ihrem Alltag, aus ihrem beruflichen oder privaten Umfeld beziehen.

Bei dem hier verwendeten Passwort lautet der Merksatz wie folgt:

Mein Hund ist 4 Jahre alt & heißt Charly.
„MHi4Ja&hC.“

Von jedem Wort wurde der erste Buchstabe genommen. Diese Methode gilt als sehr sicher, solange der Merksatz nicht veröffentlicht, niedergeschrieben oder einer anderen Person weitererzählt wurde.

Zwei-Faktor-Verfahren (2FA)

Zwei-Faktor-Authentisierung
Inzwischen bieten einigen Online-Dienstleister die sogenannte Zwei-Faktor-Authentisierung (2FA) an. Dort muss der Benutzer zusätzlich zu seinem Usernamen und Passwort einen Bestätigungscode eingeben. Dieser wird z. B. per SMS verschickt. Auch gibt es spezielle Chipkarten, die vor der Passworteingabe in ein Lesegerät am Computer eingesteckt werden müssen.

Für den Datendieb werden die gestohlenen Zugangsdaten so wertlos. PayPal bietet zum Beispiel das Zwei-Faktor-Verfahren an. Jedes Mal, wenn man sich von einem neuen Gerät einloggen möchte, muss man eine PIN eingeben, die per Handy zugeschickt wird. Das bedeutet allerdings auch, dass man die Handynummer preisgeben muss. Manche Anbieter arbeiten mit anderen Verfahren - Facebook zum Beispiel mit einer Authentifizierungs-App eines Drittanbieters. Ein Blick in die Sicherheitseinstellungen eines Online-Dienstes lohnt sich: Bei vielen großen Tech-Unternehmen wie Amazon, Apple, Google und Microsoft können sich Nutzer bereits doppelt schützen.

Eine Übersicht von 2FA-Anbietern finden Sie auf der Webseite https://twofactorauth.org/.

Wie kommen Diebe an Passwörter?

Um einen kleinen Einblick in die Methoden der kriminellen Hacker zu bekommen, listen wir hier einige Methoden auf, mit denen Cyberkriminelle Passwörter knacken:
  • Eine Wörterbuchangriff ist die einfachste und je nach Passwort auch die schnellste Art, ein Passwort zu erraten. Wie der Name bereits vermuten lässt, werden mit Hilfe eines elektronischen Wörterbuchs zahlreiche Passwort-Kombinationen ausprobiert. Unter Berücksichtigung aller möglichen Groß-/Kleinbuchstaben, Sonderzeichen und Zahlen. Hacker verteilen die Aufgabe so, dass tausende Computer (Botnetze) verschiedene Wörter und Kombinationen ausprobieren, mit unterschiedlichen IP-Adressen.
  • Internetkonzerne müssen regelmäßig einräumen, dass Hacker ihre Datenbanken gehackt und Nutzerdaten geklaut haben. Beinahe täglich werden Datensätze gefunden, die gehackte Zugangsdaten enthalten. Also Kombinationen aus Benutzername und Passwort. Irgendwo geklaut oder abgegriffen – aber in jedem Fall in Listen geführt, die Hacker nutzen und/oder verkaufen. Die „Ernte“ aus diversen cyberkriminellen Aktivitäten. Und für jeden Betroffenen eine Bedrohung.

    Einen Hinweis, dass man Opfer eines Hacks wurde, können E-Mails liefern, die man bekommt. Enthält eine Nachricht Infos, die man dem Absender nicht gegeben hat, wie zum Beispiel die eigene Adresse oder das Geburtsdatum, stammen diese Daten möglicherwiese aus einem Hack.

    Tipp: Im Identity Leak Checker des Hasso Plattner Instituts (HPI) wird eine Datenbank mit Zugangsdaten von Dutzenden bekannt gewordener Hacks geführt. Hier kann jeder herausfinden, ob er selbst Opfer eines Hackangriffes geworden ist. Einfach Mail-Adresse eingeben – und abwarten. Kurz danach erhält man eine Mail mit Infos, ob man auf der Liste steht und bei welchen Hackaktionen man Opfer wurde. Steht man auch nur auf einer Liste sollte man unverzüglich bei diesem Konto sein Passwort ändern – in allen Onlinediensten, wo man diese Zugangsdaten verwendet.
  • „Man in the middle“ Angriffe werden in öffentliche WLAN-Hotspots durchgeführt. Der betroffene Benutzer surft im Internet ohne zu wissen, dass die Datenkommunikation unbemerkt mitgelesen wird. Damit Ihre sensiblen Daten nicht in die falschen Hände gelangen, sollten Sie Passwörter oder sonstige sensible Daten keinesfalls in einem öffentlichen WLAN übertragen. Oder stellen Sie sicher, dass die Webseiten, die Sie besuchen, verschlüsselt sind. Alternativ benutzen Sie für die Übertragung ein gesichertes Netz - zum Beispiel unter Zuhilfenahme eines VPNs. Der Vorteil bei der Nutzung eines VPNs: Alles, was ein Hacker sehen wird, ist, dass jemand eine VPN-Verbindung einsetzt.
  • Keylogger sind, wie der Name bereits vermuten lässt, Datenspione, die alle Tastenanschläge auf einer Tastatur aufzeichnen und an den Angreifer übermitteln. Generell gilt: Niemals verdächtige Dateien oder E-Mail-Anhänge von unbekannten Absendern öffnen. Eine Antivirensoftware hilft ebenfalls. Weitere Virenschutz Empfehlungen finden Sie hier.
  • Denkbar ist außerdem, das Ausspähen von Passwörtern durch Phishing-Mails. Bei einem Phishing-Angriff versucht ein Angreifer mit gefälschten E-Mails, täuschend echt aussehenden Internetseiten und entsprechend formulierten Texten, vertrauliche Informationen von den Benutzern zu erfahren. Nachfolgend finden Sie weitere Informationen über Phishing-Betrug.

Passwortdiebstahl durch Phishing

Per Phishing-Betrug versuchen Betrüger Sie dazu zu bringen, dass Sie sensible Daten (meist Passwörter) preisgeben. Früher konnte man betrügerische Nachrichten leicht erkennen. Sie waren in fehlerhaftem Deutsch verfasst, voller Grammatik- und Rechtschreibfehler. Sie wurden einfach per Übersetzungsdienst aus einer anderen Sprache übersetzt. Zudem fehlte meist eine persönliche Anrede. Heute gehen die Betrüger deutlich professioneller vor. Die Nachrichten sehen so aus, als ob sie aus offiziellen Quellen stammen, wie etwa von einem medizinischen Anbieter oder einer Bank. Stutzig werden sollten Sie immer bei der Aufforderung, einen Link anzuklicken oder Konto- bzw. Login-Daten einzugeben. Ihre Bank würde das nie tun!

Klicken Sie auf einen solchen Link, landen Sie nicht bei Ihrer Bank, sondern auf einer manipulierten Internetseite. Prüfen Sie daher genau, auf welche Zieladresse ein Link führt. Diese wird eingeblendet, wenn Sie mit der Maus über den Link fahren (nicht anklicken).

Siehe auch: Was ist Phishing und wie kann ich mich schützen?

Wie nutzen Datendiebe gestohlene Daten?

Vorrangig wollen Hacker, die persönlichen Daten wie Mailadressen oder Passwörter stehlen, damit Geld verdienen - und dafür gibt es zahlreiche Methoden. Datendiebe verschaffen sich meist Zugriff auf Bankkonten, Kreditkartendaten und Online-Bezahldienste. Im Namen der beklauten Person können sie dann Waren im Internet bestellen - und bleiben dabei oft unentdeckt.

Persönlich Daten gehören zu den beliebtesten Angriffszielen von Hackern. Wie beliebt diese Daten sind, zeigt eine Umfrage des Digitalbranchenverbands Bitkom[2]. Allein im vergangenen Jahr wurde jeder zweite Internetnutzer Opfer eines Cyber-Angriffs. In 34 Prozent aller Fälle ging es um Daten (siehe Grafik).

Cyberkriminalität Statistik

Die Zukunft des Passworts

Es braucht Alternativen. Nicht nur, weil Passwörter geknackt und gestohlen werden können, sondern vor allem, weil wir immer mehr Geräte benutzen, an denen gar keine Passwörter eingegeben werden können – oder nur sehr schwierig. Man denke nur an IoT-Geräte (Internet of Things), an Sprachassistenten in der Wohnung. Apple zeigt mit der Gesichtserkennung FaceID im neuen iPhone, wohin die Reise geht: Wir entsperren die Geräte durch uns, indem wir biometrische Daten vorlegen (Fingerabdruck, Stimme, Iris, Gesichts). Wenn der Datenschutz beachtet wird, eine durchaus praktische Methode – bequem sowieso.

Einige Alternativen gibt es auch schon, etwa Windows Hello for Business. Hier können sich Benutzer mit biometrischen Daten wie Fingerabdruck, Iris oder Gesicht anmelden. Ebenfalls möglich: Das Login per Smartphone. Hier wird kein Anmeldecode im Handy erzeugt, sondern die Authentifizierungs-App von Microsoft (gibt’s für Android, iOS und Windows) meldet, dass man sich in einem anderen Gerät anmelden möchte – und das bestätigt man dort durch einfaches Tippen. Also kein Passwort mehr nötig, kein Übertagen eines PIN-Codes etc.

Einzelnachweise

  1. heise.de - Passwörter: BSI verabschiedet sich vom präventiven, regelmäßigen Passwort-Wechsel
  2. bitkom.org: - Jeder zweite Internetnutzer von Cyberkriminalität betroffen
↑ Nach oben