Vorsicht Hackalarm:

So erstellen Sie ein sicheres Passwort

Sicheres Passwort erstellen

(Quelle: https://www.flickr.com/photos/devdsp/6999839463)

 

Unabhängig, wofür und wie oft Sie den Computer und das Internet nutzen, an Passwörtern kommen Sie einfach nicht vorbei:

  • kein Zugang zum E-Mailpostfach,
  • kein Online-Einkauf bei Ebay
  • und auch kein Austausch über soziale Netzwerke ohne eigenes Profil und das dazugehörige Passwort.

Schnell gerät man dabei in Versuchung, überall dasselbe Passwort anzugeben und dabei auf den Namen der Katze, des Enkelkindes oder des Ehegatten zurückzugreifen. Wie soll man denn sonst den Überblick behalten? Selbst geübte Gedächtnisakrobaten dürften Schwierigkeiten haben, sich zwanzig unterschiedliche Passwörter bestehend aus komplizierten Buchstabenkombinationen, Zahlen und Sonderzeichen zu merken.

Kein Wunder also, dass viele Internetnutzer zu einem leichtfertigen Umgang mit ihren Passwörtern neigen. Aber nicht nur eine gewisse Bequemlichkeit ist der Grund dafür, dass Haustiernamen mit vier oder fünf Zeichen immer noch hoch im Kurs bei der Passwortwahl liegen. Auch Unwissenheit dürfte eine Rolle spielen. Die wenigsten Menschen denken doch, dass ihre Daten so wichtig sind, dass ein Hacker Tage damit verbringt, viele Kombinationen durchzugehen, um schließlich an das Mail-Passwort von Anna Müller zu gelangen. Und wer weiß denn schon, dass die Katze von Anna Müller Minka heißt? Gerade ältere Menschen sind da sehr arglos.

ABER: Jeder kann zur Zielscheibe von Hackern werden

Tatsächlich spricht die polizeiliche Kriminalstatistik 2013 eine deutliche Sprache. Ihr zufolge erreichte die sogenannte Cyberkriminalität (Internet-Kriminalität), zu welcher auch das Ausspähen von Konto-Daten im Internet zählt, in den letzten Jahren einen Rekordwert. Und nur 25% aller Straftaten im Bereich Internet-Kriminalität können aufgeklärt werden. Ist das nicht erschreckend?

Zudem ist Nutzern häufig nicht bewusst, dass die Opfer von Internetkriminellen selten gezielt, sondern meist durch Zufall ausgewählt werden und kaum ein Hacker je von Hand einzelne Kombinationen durchprobiert. Vielmehr erledigen dies leistungsstarke Computersysteme effektiv binnen weniger Sekunden. Laut Frank Timmermann, Hack-Experte und wissenschaftlicher Mitarbeiter am Institut für Internet-Sicherheit der westfälischen Hochschule, können moderne Grafikprozessor-Systeme bis zu 63 Milliarden Kombinationen pro Sekunde testen.

Wer einmal das Passwort zum E-Mail-Konto geknackt hat, erhält hierrüber dann meist Zugriff auf eine Vielzahl weiterer Zugangsdaten. Denn in der Regel kann man ganz einfach ein neues Passwort für Einkaufsportale und Co. über die angegebene E-Mail-Adresse anfordern lassen. Zudem erhalten und versenden die meisten Nutzer des öfteren E-Mails, welche Rückschluss auf weitere vertrauliche Informationen zulassen. Das Hacken von E-Mail-Postfächern stellt auch deshalb eine besondere Gefahr dar, weil Internetkriminelle fremde Postfächer dazu nutzen können, um Bekannte des Geschädigten zu kontaktieren und unter fremdem Namen Geld einzufordern. Deshalb ist es besonders wichtig, sein virtuelles Postfach durch ein möglichst hacksicheres Kennwort vor unbefugten Zugriffen zu schützen.

 

So erstellen Sie ein möglichst sicheres Passwort

Es sei zunächst vorweggestellt, dass es leider kein absolut sicheres, unknackbares Passwort gibt. Jedes Passwort kann mit „roher Gewalt“ bzw. dem Durchprobieren aller denkbaren Kombinationen theoretisch gehackt werden. Man muss es nur lange genug versuchen. Ziel ist es also, ein Passwort zu erstellen, das einen Hackerangriff zu langwierig und damit unwirtschaftlich machen würde.

Bei der Wahl eines solchen, möglichst sicheren Passwortes haben wir nun zunächst zwei Möglichkeiten:

Zum einen können wir die Anzahl der verwendeten Symbole erhöhen. Treffen wir eine Auswahl aus allen Zahlen von 0 bis 9 und allen Buchstaben des Alphabets sowohl groß- als auch kleingeschrieben, verfügen wir über eine Zeichenanzahl von insgesamt 62 (10 für die Zahlen „1“-„9“ und „0“, 26 für das kleine Alphabet sowie 26 für das große Alphabet).

Die Anzahl der Kombinationsmöglichkeiten ist bei einem aus drei Zeichen bestehenden Passwort dann 62^3 oder 238.328. Der Exponent „3“ steht für die 3 Stellen, die unser Beispiel-Passwort hat. Die maximale Hackzeit ergibt sich nun, wenn wir diese Zahl durch die Anzahl der möglichen Hackversuche pro Minute teilen. Geht man einfachheitshalber davon aus, dass manuell zwanzig Passwortkombinationen pro Minute durchprobiert werden können, liegt die Zeit, die notwendig ist, um unser dreistelliges Passwort durchzugehen bei 8 Tagen, 6 Stunden, 36 Minuten und 24 Sekunden. Das sieht schon mal nicht schlecht aus. Allerdings entspricht die hier angegebene Anzahl möglicher Hackversuche pro Minute nicht der Realität. Moderne Grafikprozessor-Systeme können wie erwähnt mehrere Milliarden Kombinationen pro Sekunde testen. Dieses Beispiel soll lediglich verdeutlichen, wie die Erhöhung der Anzahl verwendeter Symbole auch zu einer Erhöhung der Hackzeit beitragen kann. Verwendet man zusätzlich Satz- („!“, „.“, „?“ etc.) sowie Sonderzeichen („€“; „$“, „%“ etc.) im Passwort kann man die Anzahl der Zeichen auf über 90 erhöhen und damit die Hackzeit abermals verlängern.

Die zweite Möglichkeit zur Verbesserung des Passwortes ist die Erhöhung der Anzahl der Passwortstellen. Wir benutzen dafür nun als Beispiel 12 Stellen aus 62 Zeichen (Zahlen, Groß-, und Kleinbuchstaben) und erhalten nun 62^12, also 3.226.266.762.397.899.821.056 Kombinationsmöglichkeiten und eine Hackzeit, die bei 20 möglichen Knackversuchen pro Minute 3 Jahre überschreitet. Bei dieser Berechnung gehen wir davon aus, dass das Passwort in der Hälfte der Zeit geknackt wird, da man selten alle Kombinationen durchgehen muss, bis man auf das korrekte Passwort stößt. Ein Passwort, für das man wahrscheinlich über 3 Jahre zum Hacken braucht, klingt schon relativ sicher.
Aber Vorsicht: Hackersysteme werden immer leistungsfähiger.
Man sollte also in jedem Fall auch Gebrauch von den verschiedensten Sonderzeichen machen.

 

Auf Wörter aus dem Duden sollten Sie verzichten

Insgesamt lässt sich sagen, dass die Länge eines Passwortes (viele Stellen) entscheidender ist, als die Komplexität (viele Zeichen). Da liegt es nahe, sich zu fragen, ob man nicht einfach einen ganzen Satz oder ein langes Wort als Passwort bilden kann, um sich sein Passwort auch leicht zu merken.

Da Hacker aber gewieft sind und laut Herrn Timmermann unter anderem gezielt Wörter aus Wörterbüchern („Dictionary Attacks“) in verschiedenen Sprachen ausprobieren und Sprachen selten mehr als eine Million Wörter umfassen, ist dies keine gute Idee. Ein modernes Hackersystem dürfte nicht lange brauchen, um ein im Duden vorkommendes Wort zu entschlüsseln. Zudem werden gezielt Wörter ausprobiert, in denen einzelne Buchstaben durch ähnlich aussehende Zahlen oder Sonderzeichen ersetzt wurden (z.B. „Hallo“ wird zu „H@llo“) sowie generell häufig verwendete Passwörter (darunter z.B. „passwort“, „123456“). Aus diesem Grund scheiden Wörter in Kombination mit Zeichen sowie veränderte Wörter (Mehrzahl, Vergangenheitsform usw.) als sichere Passwörter aus.

Frank Timmermann von der Westfälischen Hochschule rät deshalb zu Passwörtern, die möglichst lang (mindestens 10 Zeichen) und komplex sind (Groß- und Kleinbuchstaben, Zahlen, Sonder- und Satzeichen) sowie nicht aus im Duden auffindbaren Worten bestehen.

Wie können Sie sich ein sicheres Passwort merken?

Wir wissen nun, dass ein einigermaßen sicheres Passwort komplex und lang ist. Dabei folgt es keinem (für Maschinen) feststellbaren System. Recht sichere Kombinationen wie „Y7/6%$skKlmÄ@8/]§“ lassen sich aber nur sehr schwer merken und sind damit nicht besonders hilfreich. Leicht zu merkende Sätze wie „Ich liebe meine Katze über alles“ halten hingegen Wörterbuch- oder Grundwortschatzattacken wahrscheinlich nicht lange stand und sind daher nicht empfehlenswert.

Sicheres Passwort erstellen

(Quelle: www.pixabay.com/en/password-keyword-codeword-solution-397652)

 

Dennoch müssen Sie nicht auf ein zugleich sicheres und leicht zu merkendes Passwort verzichten. So können Sie einfach bestimmte Buchstaben aus jedem Wort auswählen und daraus das individuelle Passwort bilden. Nehmen wir zum Beispiel immer den ersten und letzten Buchstaben der Wörter. „Ich liebe meine Katze über alles“ wird dieses zu „IhlemeKeüras“.

Jetzt können wir das Ganze noch verbessern, indem wir einige Sonderzeichen einfügen, die an die jeweiligen Buchstaben erinnern. So kann „I“ durch ein „!“ und „L“ durch eine „1“ ersetzt werden „€“ statt „E“ oder „$“statt „S“.

Wie wäre es etwa mit „!h1€MeKeÜrA$.“? Hier beginnen wir jedes Wort entweder mit einem Sonderzeichen oder Großbuchstaben. Zusätzlich wird der Satz mit einem Punkt beendet. Eventuell sollte man das „Ü“ noch durch ein „Ue“ ersetzen, um im Ausland keine Probleme bei abweichend gestalteten Tastaturen zu bekommen.

Unser Passwort ist nun also „!h1€MeKeUErA$.“, hat 14 Zeichen und bedient sich beim Gesamtsortiment der verfügbaren Zeichen (Klein- und Großbuchstaben, Zahlen, Sonderzeichen).

Auch wenn es keinen hundertprozentigen Schutz gegen Hackerangriffe gibt, sinkt mit einem solch komplex gestalteten Passwort das Risiko einer erfolgreichen Attacke erheblich. Bei unserem Passwort wären beispielsweise 96^14 (über 5 Quadrilliarden) Kombinationen denkbar und das Hacken würde laut Passwortchecker der Uni Emden selbst mit einem sehr leistungsfähigen Hacker-System über 5 Millionen Jahre dauern. 😉

Anfangs ist es vielleicht noch ein bisschen schwierig, sich das neue, sichere Passwort zu merken, doch mit dem Satz als Eselsbrücke sollte es leicht sein, sich das Passwort wieder in Erinnerung zu rufen.

Verwendet man, wie von Experten empfohlen, unterschiedliche Passwörter für unterschiedliche Webseiten, kann man schnell einmal durcheinander kommen. Hier empfiehlt es sich, einen Passwort-Manager als Merkhilfe zu verwenden.

Für alle Sparfüchse gibt es kostenlose Versionen. Für Menschen, die sich ein bisschen besser mit Ihrem Rechner auskennen, sei Keepass empfohlen. Dies ist eine kostenlose Open Source Software, was bedeutet, dass die Architektur des Programms für jeden einsehbar ist. Das sichere daran ist, dass Schwachstellen, sofern sie ausfindig gemacht werden, sehr schnell behoben werden können.

Ein weiteres Online-Tool ist Roboform. In einem früheren Artikel, in dem es um massenhaft geknackte E-Mail-Accounts Anfang 2014 ging, hatte ich Ihnen diesen Passwort-Generator und Passwort-Manager schon einmal empfohlen. Auch dieses kleine, aber mächtige Online-Tool erstellt nicht nur sichere Passwörter für Sie, sondern verwaltet sie gleichzeitig auch und hat eine Formularausfüllfunktion. Roboform hat mehrere Lizenzmodelle.

Sehr viele meiner Bekannten und Kunden verwenden Lastpass. Dieses Online-Tool zum Generieren von sicheren Passwörtern und deren Verwaltung sowie weiteren Funktionen für Formulare ist kostenfrei. Wenn man es auf allen mobilen Geräten verwenden möchte, kostet das lediglich 12 $ pro Jahr. Das Gute an diesem Tool, es steht auch in deutscher Sprache zur Verfügung. 

Aber auch die genannten Tools in englischer Sprache sind sehr intuitiv zu nutzen. So haben Sie Ihre Passwörter und Daten jederzeit zur Hand, egal auf welchem Ort unserer schönen Welt Sie sich an einen Computer setzen oder ein mobiles Gerät benutzen. 😉

Egal, welchen Passwort-Generator und -Manager Sie letztendlich bevorzugen: Das Master-Passwort hierfür sollte unbedingt ein langes und komplexes Passwort sein.

Wenn Sie Ihre Passwörter selbst gestalten oder auch nur wenige benötigen, dann brauchen Sie keinen Passwort-Generator. Aber Ihre Passwörter sollten Sie dennoch gut vor fremdem Zugriff geschützt aufbewahren. Ich empfehle Ihnen das kostenfreie Open Source Programm Password-Safe, das Sie sich in der aktuellen Version beispielsweise bei Computerbild herunter laden können.

So sind Sie bestens gerüstet und werden bei der nächsten Hiobs-Botschaft sicher sein, dass keine Ihrer Accounts geknackt wurden. 

Tag der Passwortsicherheit

In meinen aktuellen Gedankensplittern und in meiner Facebook-Seite habe ich am Tag der Passwortsicherheit (24.06.2015) einen Artikel verlinkt, in dem eine Studie veröffentlicht wurde, die belegt, dass die Deutschen Generalschlüssel und.Eselsbrücken lieben und sträflich leichtsinnig mit ihren Passwörtern umgehen. Ich hoffe, Sie gehören spätestens ab heute nicht mehr dazu.

 

Da dies nun unglaublich viele Informationen für Sie waren, können Sie alle wichtigen Tipps nochmals übersichtlich in der Infografik von The Safe Shop wiederfinden, zu der Sie mit Klick auf den folgenden Link gelangen. Aufgrund der Ladezeit, habe ich die Infografik nicht gleich direkt in diesem Artikel untergebracht.

Hier geht´s zur Infografik sicheres Passwort

 

 

 

Diese Artikel befassen sich auch mit dem Thema Sicherheit:
(Die Seiten werden in einem neuen Fenster geöffnet)