Passwörter Nein, das eigene Geburtsdatum ist kein gutes Passwort
News folgenUnsere Identität im Internet hängt an seidenen Fäden. Nur ein Passwort trennt Neugierige oder Hacker von den Zugangsdaten zu Online-Banking-Zugängen, Facebook-Profilen oder E-Mail-Konten. Und zu oft haben die Passwörter ihren Namen nicht verdient. Gute Codes kann sich aber eigentlich niemand merken – oder doch?
Schon beim Gedanken an ein Wörterbuch läuft es Sicherheitsexperten kalt den Rücken herunter. Denn Wörter oder Namen sind beliebte, aber höchst unsichere Passwörter. Mit Programmen ermitteln Angreifer sie binnen kürzester Zeit durch reines Ausprobieren (sogenannte Brute-Force-Methode). Vergleichsweise sicher sind nur lange Zeichenketten aus Kauderwelsch. Sichere grafische Passwörter, die viel leichter zu merken sind, haben sich noch nicht durchgesetzt.
Textpasswörter ein notwendiges Übel
Für Prof. Norbert Pohlmann sind Textpasswörter ein notwendiges Übel. "Das ist der ungeeignetste Mechanismus für die Authentifikation, den man sich vorstellen kann", sagt der Direktor des Instituts für Internet-Sicherheit an der FH Gelsenkirchen. Derzeit habe man aber kaum eine andere Wahl. "Wir müssen als Nutzer lernen, damit umzugehen und das Beste daraus zu machen."
Regeln für sichere Passwörter
Das Beste bedeutet: Ein Passwort sollte mindestens zehn Zeichen haben und Sonderzeichen, Groß- und Kleinschreibung sowie Zahlen enthalten. "Damit macht man den Schlüsselraum so groß, dass es bei einem Brute-Force-Angriff länger als 200 Jahre brauchen würde, um das Passwort zu knacken", erklärt Pohlmann. "Doch viele nutzen schlechte Passwörter, weil sie den Namen der Freundin oder der Firma nehmen." Was sich erraten, im Netz finden lässt, im Wörterbuch steht oder wie "12345" oder "qwertz" einem Muster folgt, ist schlecht.
Satz als Gedächtnishilfe
Doch wie merkt man sich ein komplexes Passwort? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät zu einem – unbedingt selbst ausgedachten – Merksatz als Eselsbrücke. Aus "Ich habe 100 sichere Passwörter, um mich im Internet anzumelden!" wird etwa "Ih100sP,umiIa!". Umlaute sind eher ungeeignet, weil es sie nicht auf allen Tastaturen gibt. Bei Passwörtern wie PINs sind Daten wie Geburtstage und Jahreszahlen tabu. Man sollte Passwörter halbjährlich wechseln und immer vor Phishing-Attacken auf der Hut sein.
Unterschiedliche Passworte für jeden Account
Leichtsinnig ist es, ein Passwort für alle Konten zu nutzen – selbst, wenn es gut ist. Denn wem es in die Hände fällt, der bekommt auch Zugriff auf alle anderen Dienste des Nutzers. "Idealerweise muss man ein eigenes Passwort für jeden Account haben", sagt Prof. Melanie Volkamer vom Center for Advanced Security Research an der TU Darmstadt. "Doch keiner kann sich 30 Zufallsfolgen merken."
Gute und sichere Passwörter
Ein sicheres Passwort lässt sich aber variieren – etwa indem nach einer bestimmten Regel Buchstaben angehängt oder vorangestellt werden, die beispielsweise mit dem Anbieternamen zu tun haben. Da nicht alle Dienste gleich wichtig sind, kann auch das Bilden von Passwortgruppen ein guter Kompromiss zwischen Sicherheit und Nutzbarkeit sein. Man verwendet beispielsweise ein Passwort für soziale Netzwerke, eines für Online-Shops, eines fürs Bank- und eines fürs E-Mail-Konto. Letzteres ist besonders wichtig, sagt Prof. Pohlmann. "Viele Dienste haben den Reset-Mechanismus für das Passwort an die E-Mail-Adresse geknüpft."
SMS-TANs beim Online-Banking
"Besonders sicherheitskritische Dienste nutzen noch ein zusätzliches Prüfmerkmal", erklärt Prof. Volkamer. Dazu gehören zum Beispiel SMS-TANs beim Online-Banking. Erst wenige andere Anbieter wie Paypal und Google bieten optional zusätzliche Prüfcodes an, die per SMS verschickt oder per Smartphone-App erzeugt werden.
Masterpasswort unsicher?
Herkömmliche Passwortmanager zum Speichern unbegrenzt vieler Codes taugen nur bedingt. Sie stoßen spätestens dann an ihre Grenzen, wenn man sie an Rechnern nutzt, deren Sicherheit man nicht einschätzen kann, sagt Pohlmann. Greift ein Trojaner das Masterpasswort ab, sind auch alle anderen Passwörter in seiner Hand.
Identitätsnachweis per Kartenlesegerät
"Da muss noch eine Menge passieren", sagt Prof. Pohlmann. Der neue E-Personalausweis etwa eigne sich via Kartenlesegerät und PIN als sicherer Identitätsnachweis. Diese Authentifikationsfunktion hätten aber erst drei von zehn Millionen Ausweisbesitzern aktivieren lassen – und nur wenige Dienste unterstützen den Identitätsnachweis.
Grafische Passwörter
"Man kann auch grafische Passwörter benutzen, weil unser Gedächtnis besser mit Bildern funktioniert", sagt Prof. Volkamer. Es gebe Systeme, bei denen man in einer wechselnden Auswahl von Fotos bekannte Gesichter mehrere Male nacheinander identifizieren muss. "Ich muss es nicht wiedergeben, sondern nur wiedererkennen", erklärt die Expertin. Idealerweise sollten Anwender die Art des Passworts bei jedem Dienst frei wählen können.
Datenschutz im Fokus
Mehr zum Thema Datenschutz im Internet bietet die Deutsche Telekom in ihrem Datenschutzratgeber (e-paper). Dort finden Sie Tipps zum sicheren Umgang mit Passwörtern im Internet.
