Die Sicherheit von Passwörtern ist in der IT ein Dauerthema. Ob Privatperson oder Mitarbeitende in Unternehmen beziehungsweise öffentlichen Institution, jeder braucht sichere Passwörter. Wir verwenden jeden Tag zahlreiche Kennwörter, z. B. bei dem Zugang zum E-Mail-Account, der Bildschirmsperre auf dem Smartphone, der Anmeldung auf Social-Media-Plattformen oder beim Onlinebanking. Allerdings schützt nicht jedes Passwort die Daten gleichermaßen und 100-prozentige Sicherheit gibt es ohnehin nicht. Wir können als Nutzende nur versuchen, es einem Angreifenden mit einem komplexen Passwort so schwer wie möglich zu machen. Leider sind in Zeiten von Digitalisierung und DSGVO unsichere Passwörter immer noch an der Tagesordnung. Dabei sind sichere Passwörter ganz einfach zu generieren und es gibt zahlreiche Hilfen bei Erstellung und Verwaltung.
Jedes Jahr am 1. Februar erinnert uns der „Ändere dein Passwort-Tag“ daran, unsere Passwörter zu ändern. Zudem kennt jeder im Unternehmensumfeld die wiederkehrenden Aufforderungen zum Passwortwechsel für den Systemzugang. Dabei sind Zeitpunkt und -raum, wann die Aufforderung zur Passwortänderung erscheint, unterschiedlich und variiert in der Praxis von wenigen Wochen bis zu mehreren Jahren. Ein zu häufiger Passwortwechsel ist jedoch nicht zu empfehlen, da die Nutzenden dann dazu tendieren, ihr Lieblingspasswort zu nehmen und durch eine laufende Nummer hochzuzählen (z. B. EingutesPasswort01, EingutesPasswort02, EingutesPasswort03, …). Die sich stets ähnlichen Passwörter beeinträchtigen die Sicherheit. Wer noch dieselben Passwörter für mehrere Zugänge benutzt, riskiert immense Schäden, falls der Angreifende ein Passwort herausfindet. Theoretisch lässt sich sich nämlich jedes Passwort durch Ausprobieren (Brute-Force) herausfinden.
So funktioniert die Brute-Force-Methode
Der Begriff Brute-Force steht für das simple Ausprobieren einer großen Zahl möglicher Passwörter durch einen Angreifenden.
Oft werden Passwörter mit kryptografischen Hashfunktionen verschlüsselt. Denn eine direkte Entschlüsselung eines Passworts, welches mit einem aktuellen Hashwert-Verfahren (z.B. SHA-256) gebildet wurde, ist praktisch unmöglich. Allerdings kann der Angreifende die Hashwerte vieler einfacher Passwörter schnell berechnen. Stimmt ein Wert mit dem Wert des hinterlegten Passwortes überein, hat er das Passwort schon gefunden. Die Brute-Force-Methode führt garantiert zum Erfolg, es ist nur eine Frage der Zeit. Bereits ein handelsüblicher Computer kann so in einer Sekunde mehrere Millionen Kombinationen durchtesten.
Der beste Schutz vor einem Brute-Force-Angriff ist ein Passwort mit einer umfangreichen Länge und Komplexität, sodass das Ausprobieren aller möglichen Kombinationen so aufwendig wird, dass sich die Attacke erst gar nicht lohnt.
Guide: Wie erstelle ich ein sicheres Passwort?
Ein sicheres Passwort schützt am besten vor Angriffen auf WLAN-Router, Online-Banking-Konto oder Unternehmensnetzwerk. Wir haben für Sie fünf Tipps zusammengestellt, die Ihnen bei der Erstellung eines sicheren Passwortes helfen.
- Komplexes Passwort nutzen.
Bei der Passwortgenerierung gilt das Motto: Desto länger, umso sicherer. Daher wählen Sie am besten ein Passwort, das aus mindestens 12 Zeichen und vier -arten besteht: Buchstaben in Groß- und Kleinschreibung (z. B. H, i, J, k), Ziffern (1, 2, 3, …) sowie Sonderzeichen (Leerzeichen, ?!:#). Vermeiden Sie die Verwendung von aufeinander folgenden Zeichen z. B. „aaaa“, „1234abcd“ genauso wie die Wahl einer Buchstabenabfolge auf der Tastatur (z. B. xcvb, rtzu). Zum Schutz von besonders wichtigen Zugängen wie E-Mail-Benutzerkonto, Online-Banking-Konto oder WLAN-Router, empfehlen wir Ihnen die Wahl eines besonders starken Passwortes. - Begriffe kombinieren.
Verwenden Sie keine offensichtlichen oder bekannten Begriffe wie die Namen von Familienmitgliedern, Haustieren, Freunden, Lieblingsstars oder Geburtsdaten. Auch Einzelbegriffe aus dem Wörterbuch sind tabu. Erst aus einer Kombination von mindestens vier Wörtern (besser sind fünf bis sechs) lässt sich ein sicheres Passwort erstellen. Die einzelnen Wörter können Sie zufällig auswählen und zur Stärkung der Sicherheit noch jeweils mit einem Leerzeichen oder einem anderen Sonderzeichen verbinden. - Ein Passwort für jeden Zugang erstellen.
Setzen Sie für alle Zugänge und Konten unterschiedliche Passwörter ein und verwenden Sie nicht dasselbe Passwort für mehrere Logins gleichzeitig. Ändern Sie das Passwort am besten regelmäßig, aber nicht zu häufig (z. B. zu Beginn eines jeden Quartals). Nach einer Passwortwiederherstellung durch ein System oder eine Anwendung, tun Sie ebenfalls gut daran ein neues Passwort zu erstellen. Denn wer weiß, wer alles das automatisch generierte Passwort mitlesen kann. - Zwei-Faktor-Authentisierung gebrauchen.
Ist eine Zwei-Faktoren-Authentisierung möglich, dann nutzen Sie diese. Die 2FA-Technologien (z.B. Code per SMS, TAN-Generator) erhöhen die Sicherheit zusätzlich. - Hilfen und Tools nutzen
Eselsbrücken helfen dabei, sich ein komplexes Passwort zu merken. Sie können beispielsweise die Anfangszeichen der Wörter eines nur Ihnen bekannten Satzes verwenden: „Neil Armstrong war der 1. Mann auf dem Mond.“ = „NAwd1.MadM.“ Hilfreiche und oft kostenlose Tools sind Passwort-Manager (oder auch Passwort-Safes genannt) wie KeePass und LastPass. Sie speichern komplexe Passwörter, bieten eine Passwortverwaltung und können in Kombination mit einem Passwortgenerator eingesetzt werden. Setzen Sie beim Master-Passwort auf ein starkes Kennwort, das den Zugriff auf die gespeicherten Passwörter schützt. Alternativ können Sie eine schriftliche Passwortliste im Safe aufbewahren. Besonders wichtig ist, die Passwörter geheim zu halten und niemanden weiterzusagen. Für weniger relevante Konten (z. B. bei Xing oder LinkedIn) eignen sich Wegwerfpasswörter. Das heißt, man nutzt für jedes Login ein Passwort nur einmal und erneuert es dann wieder (z. B. über die Passwort-Vergessen-Funktion). Prüfen Sie am besten, wo schützenswerte Daten hinterlegt und einsehbar sind und wo nicht. Passwörter, die sensible Daten schützen, sollten ohnehin nur an vertrauenswürdigen Rechnern eingegeben werden.
Fazit: Starke Passwörter schützen Daten besonders gut
Ständig neue Passwörter zu generieren, kann nervig sein. Wer aber Wert auf ein sicheres Passwort legt und dieses regelmäßig ändert, erhöht die Sicherheit von Daten hinter Zugängen und Konten vor einem Cyberangriff erheblich. Zudem gibt es zahlreiche, oft kostenlose Tools, welche die Passworterstellung vereinfachen. Passwortgenerator und -Manager zur Erstellung und Verwaltung von Passwörtern oder ein quartalsweiser Kalendereintrag zur Erinnerung an die Passwortänderung sind solche kleinen Helferlein. Die Angreifenden werden technisch immer versierter und ihre Methoden dreister. Lassen Sie nicht zu, dass Ihre Daten für immer verloren gehen oder Ihnen Ihre Identität im Netz gestohlen wird und kümmern Sie sich um sichere Passwörter für Ihre Zugänge. Ihre Daten werden es Ihnen danken.
Weiterführende Informationen bietet unser Beitrag zu sicheren Maßnahmen gegen den Identitätsklau: