Datenschutz und IT-Sicherheit

Komplexe Passwörter finden

Passwörter sind nach wie vor der wichtigste Sicherheitsfakor von IT-Anwednungen, den wir als Nutzerinnen und Nutzer direkt beeinflussen können.

Die Gefahren trivialer Passwörter, also zum Beispiel Wörter, die man in einem Wörterbuch finden kann, sollten eigentlich seit Jahren bekannt sein. Sie sind durch plumpes Ausprobieren von einfachsten Angriffsprogrammen schnell zu knacken. Und die Folge ist der Zugriff auf ein IT-System und seine Daten oder auch der Diebstahl der Identität des Betroffenen.

Wie findet man nun aber ein nicht-triviales, komplexes Passwort mit möglicht vielen Zeichen (mindestens 10), Buchstaben, Zahlen und Sonderzeichen, das man sich auch noch merken kann? Hier stelle ich eine der gängigen Methoden vor.

1. Ein Satz wird zur kryptischen Zeichenfolge.

Sinnbehaftete Information lässt sich viel einfacher merken als sinnlose Zeichenketten. Aber genau Letzteres ist unser Ziel. Da bietet es sich an, aus etwas Sinnbehaftetem eine solche Zeichenkette abzuleiten. Zum Beispiel aus einem Satz die Anfangsbuchstaben der Wörter dieses Satzes.

So wird aus „Mein Problem: ein Passwort, das ich mir länger als zwei Tage merken kann!“: MP:eP,dimla2Tmk!

Wenn Dir das noch zu wenig Sonderzeichen sind, lässt sich die Zeichenfolge mit typischen Ersetzungen wie „!“ für „i“ oder „@“ für „a“ weiter verfremden: MP:eP,d!ml@2Tmk!

2. Die Spezifizierung

Ein gutes Passwort ist schön und gut. Dieses jedoch nun auf allen Systemen und Anwendungen zu verwenden, wäre grob fahrlässig. Denn Passwörter werden nicht nur durch Erraten geknackt. Sie können auch auf ihrem Weg durchs Internet abgehört werden (wenn die Login-Seite zum Beispiel nicht über eine sichere https-Verbindung mit Deinem Browser kommuniziert) oder die Passwortdatenbank eines Diensteanbieters wird gestohlen/gehackt.

Wenn das passiert, bekommst Du es vermutlich nicht einmal mit. Und mit dem Passwort für eine Anwendung sind gleichzeitig die identischen Passwörter für alle anderen Zugänge unsicher. Daher sollten einzigartige Passwörter verwendet werden. Vor allem die Verwendung identischer Passwörter im privaten und beruflichen Umfeld ist absolut tabu.

Dieser Herausforderung kann man durch Nutzung einer Software (eines Passwort-Safes) begegnen. Die merkt sich dann die vielen Passwörter für Dich. Oder Du spezifizierst Dein Passwort für die jeweilige Anwendung.

Da kannst zum Beispiel den Anfangs- oder Endbuchstaben des Dienstes einbauen, voranstellen oder anhängen. Für Facebook lautet das oben entwickelnte Passwort dann eben:

MfP:eP,d!ml@2Tmk!

oder:  fMP:eP,d!ml@2Tmk!k

3. Regelmäßiger Wechsel

Ein solches System spezifizierter Passwörter ist natürlich nicht sonderlich hilfreich, wenn ein Angreifer mehrere Deiner Passwörter kennt. Denn dann braucht es selten viel Grips, um die Systematik zu begreifen. Mit einem geklauten Passwort allein ist es aber nicht so simpel. Und zwei oder mehr Passwörter zu erbeuten, braucht in der Regel auch etwas Zeit.

Um die Wahrscheinlichkeit, dass ein Angreifer mehrere Deiner Passwörter kennt, zu reduzieren, sollten die regelmäßig alle paar Monate gegen neue ausgetauscht werden. Und natürlich auch, um die einzelne Anwendung immer wieder frisch abzusichern. Denn – wie gesagt – bekommen wir oft gar nicht mit, dass unser Zugang bereits Unberechtigten offensteht.

Daher ist es wichtig, sich zu notieren, wann man das letzte Mal seine Passwörter überarbeitet hat. Oder besser noch: gleich einen Termin für die nächste fällige Erneuerung in den Kalender eintragen!

Sonst noch interessant

Viele Dienste führen derzeit einen zweiten Faktor zur Anmeldung neben dem Passwort ein, zum Beispiel kurzfristig gültige Zugangscodes, die an das Handy des Nutzers verschickt werden. Wenn solche Sicherheitsdienste angeboten werden, solltet Ihr diese auch nutzen – auf jeden Fall bei E-Mail-Zugängen, denn wer einen E-Mail-Account geknackt hat, kann von dort aus auch viele weitere Accounts knacken. Denn viele bieten einfache Routinen zum Zurücksetzen der Passwörter an, für die man „nur“ Zugriff auf das E-Mail-Konto des Nutzers haben muss.

Also nehmt das Thema wirklich ernst und kümmert Euch um die Absicherung Eurer Geräte, Anwendungen und Webdienste wie Online-Plattformen und -Shops!

Viel Erfolg!