Neue Tipps für sichere Passwörter

Nach wie vor wird oft nachlässig mit Passwörtern umgegangen. Ein Grund dürften die bisher gültigen, komplexen Sicherheitsempfehlungen sein. Doch auf Dollarzeichen, Großbuchstaben und Zahlen kann verzichtet werden; leicht merkbare „Passphrasen“ sind einfacher und sicherer.

Sendungshinweis

„Help“, das Ö1-Konsumentenmagazin, jeden Samstag um 11.40 Uhr in Radio Ö1

Eine willkürliche Kombination aus Buchstaben, Ziffern und Sonderzeichen, am besten alle drei Monate erneuert – das war einmal. Das NIST, eine für moderne Technologien zuständige US-Bundesbehörde, hat neue Regeln für sichere Passwörter herausgegeben. Die alten Empfehlungen hätten sich als problematisch erwiesen, sagt Ronald Eikenberg, Fachredakteur beim deutschen Computermagazin „c’t“. Um sich die komplexen Kombinationen merken zu können, hätten Anwender zunehmend zu vorhersehbaren Tricks gegriffen.

Passphrasen sollen Passwörter ersetzen

So hätten Anwender meist die Ziffer 1 an das hintere Ende des Passworts gestellt, um die Vorgabe nach Ziffern im sicheren Passwort zu erfüllen. Um ein Sonderzeichen einzubauen, hätten die Nutzer schließlich noch ein Anführungszeichen angefügt. Die Sicherheit sei somit langfristig kompromittiert gewesen, denn über solche Bequemlichkeitsstrategien wüssten letztlich auch Hacker Bescheid, so Eikenberg.

An die Stelle des Passworts tritt daher nun die Passphrase. Solche Passphrasen können aus ganzen und zusammenhängenden Sätzen bestehen. Ein solcher Satz ist relativ einfach zu merken, da er ja einen Sinn ergibt. Zusätzlich könne man die Leerzeichen etwa durch Bindestriche verbinden, meint Eikenberg, auf diese Weise habe man schnell und einfach einen Zugangscode kreiert, der über einhundert Zeichen lang sein kann. Grundsätzlich gelte nämlich ab nun: Je länger das Passwort ist, desto schwieriger ist es zu knacken.

Diceware Liste zum Kreieren von Passwörtern mit vier Würfeln

Paul Urban Blaha/help.ORF.at

Mit Wortliste und Würfeln kann man sichere Passphrasen generieren

Diceware: Mit dem Würfel zur sicheren Passphrase

Bei der Wahl des Satzes seien der Phantasie an und für sich keine Grenzen gesetzt, sagt Eikenberg. Allerdings sollte man keine Sätze aus Büchern, Zeitschriften oder Songtexten einsetzen, da natürlich auch potenzielle Angreifer auf diese Sätze Zugriff hätten.

Eine Möglichkeit, lange Passphrasen zu generieren, ist, sie sich zu erwürfeln. Dazu braucht man einen Würfel und eine „Diceware-Wortliste“ (dice = engl. für Würfel). Auf der Wortliste stehen Tausende fünfstellige Zahlencodes, neben denen Wörter zu finden sind. Mit dem Würfel wird fünfmal gewürfelt, die daraus entstehende Zahl wird mit der Wortliste abgeglichen, das dazugehörige Wort wäre dann der erste Begriff der Passphrase. Diesen Vorgang sollte man etwa fünf- bis sechsmal wiederholen. Danach verfüge man über eine ausreichend zufällige Wortkonstellation und erhalte eine Passphrase, die es dem Angreifer echt schwer mache, so Eikenberg.

Experten empfehlen Nutzung von Passwortmanagern

Leider akzeptieren nicht alle Anbieter uneingeschränkt lange Passphrasen zum Kontoschutz. Für den Fall, dass nur eine beschränkte Zahl an Zeichen erlaubt sei, sei es besonders wichtig, stets unterschiedliche Passwörter einzusetzen, meint der „c’t“-Experte. Wer bei jedem Dienst konsequent andere Passwörter einsetzt, könne die unangenehmen Folgen erheblich minimieren, sollte ein Passwort einmal in die Hände von Cyberkriminellen geraten.

Um sich die stetig wachsende Zahl an Zugangscodes merken zu können, empfehlen die Experten von „c’t“ den Einsatz von Passwortmanagern, die alle Passwörter verschlüsselt auf dem Rechner speichern. Auf diese Weise müsse man sich nur ein einziges Passwort merken, um auf den Passwortmanager zugreifen zu können. Darüber hinaus sei ein Passwortmanager in der Lage, eine beliebige Anzahl komplexer Passwörter selbstständig zu generieren, die der Endanwender sich aber nicht mehr einzeln merken muss.

Passwortmanager am Smartphone

ORF.at/Peter Pfeiffer

Passwortmanager können Codes erstellen und verschlüsselt speichern

Passwortlisten keinesfalls unverschlüsselt speichern

Wer seine Kontozugänge immer verfügbar haben möchte und etwa auch vom Smartphone oder vom Tablet aus jederzeit auf seine Accounts zugreifen will, dem rät Eikenberg zu dem Programm „LastPass“. Wer seine Passwörter nur auf dem Heim-PC abgelegt haben möchte, was etwas sicherer ist, der sollte zum Beispiel zu „KeePass“ greifen, so der Experte.

Wer solchen Softwareapplikationen grundsätzlich misstraut, der kann seine Codes natürlich auch ganz analog auf einem Stück Papier notieren. Damit sei eine Grenze gezogen, die kein Trojaner überwinden kann, schließlich kämen die meisten Angriffe heutzutage aus dem Internet. Solche Passwortlisten sollten aber gut verwahrt an einem geheimen und sicheren Ort liegen. Auf gar keinen Fall dürfe man Passwortlisten unverschlüsselt, etwa als Word-Datei, auf dem Rechner gespeichert haben, so Eikenberg.

Wer überprüfen möchte, ob ein gewähltes Passwort sicher ist, beziehungsweise, ob die eigene E-Mail-Adresse schon einmal zum Opfer eines Datenklaus geworden ist, der kann beides auf der Webeite Have I been Pawned überprüfen. Die Seite wird von dem australischen Sicherheitsexperten Troy Hunt betrieben und von den „c’t“-Experten als sicher eingestuft.

Paul Urban Blaha, help.ORF.at

Links

Mehr zum Thema: