Passwort-Tag

Das einfache Geheimnis eines sicheren Passworts

Taucher haben zuletzt bei Arbeiten sechs Chiffriermaschinen vom Typ Enigma aus dem Zweiten Weltkrieg aus der Ostsee geborgen. APA/AFP/submaris/CHRISTIAN HOWE

01.02.2022 um 11:01

von Barbara Steinbrenner

Drucken

Sich komplexe, sichere Passwörter auszudenken ist nicht schwierig, merken hingegen schon? Das muss gar nicht so sein.

Passwörter sind so eine Sache. Sind sie zu kompliziert, sitzt man beim nächsten Mal Einloggen vor einer riesigen Zahl an Optionen oder muss sich durch die Wirrungen des "Passwort vergessen?"-Vorgangs wühlen. Dabei braucht es keine Enigma um Online-Konten gut zu sichern. Es braucht aber auch keinen jährlichen Passwort-Tag, um erst recht wieder alles zu ändern. Eine sichere, einmalige Kombination erspart viel Arbeit und Zeit. "12345678", "Passwort", "Jesus", "Gott" zählen nicht zu den sicheren Optionen.

Zwar verlangen viele Firmen regelmäßig neue Passwörter. Das ist nicht nur mühsam, sondern wird von vielen Experten mittlerweile als relativ unsicher angesehen. Weil es eben auch dazu führt, dass die Kombinationen ähnlich werden. Im Grunde gibt es drei Gründe für eine Passwortänderung: Das Konto wurde gehackt, das Passwort kommt mehrmals zum Einsatz oder man gesteht sich ein, dass eine Kombination aus Geburtstag und -ort vielleicht doch nicht so sicher ist. Anlässlich des heutigen Passwort-Tages ein paar Tipps und Tricks.

Jedes Jahr werden von unterschiedlichen Sicherheitsfirmen die beliebtesten Passwörter veröffentlicht. Woher die Firmen die Passwörter kennen? Sie tauchen in Listen von Hackern auf, die sie samt E-Mail-Adressen und meist auch inklusive Kreditkartennummern und sonstigen Daten an Höchstbietende im Netz verkaufen.

Die Klassiker sterben einfach nicht aus

Trotz Sicherheitshinweisen, sonstigen Mechanismen, die Plattformen einrichten (Sonderzeichen, Groß- und Kleinbuchstaben, mindestens zwölf Zeichen) sterben diese beliebten Passwörter nicht aus. Dabei ist der Weg zu einem sicheren sorgenfreien Passwort gar nicht schwer.

Zuerst die Basics: Ein sicheres Passwort besteht aus mindestens acht Groß- und Kleinbuchstaben, Ziffern und/oder Sonderzeichen. Eines für alle und alle für eines ist der denkbar schlechteste Weg. Ebenso, die Passwörter zu speichern, egal ob auf Papier oder digital. Die sichersten schreibt zwar der Zufallsgenerator, aber hier ist die Wahrscheinlichkeit sich das zu merken gleich Null.

Also, es gibt eine Möglichkeit, die wandelbar ist und nach eigenem Muster variiert werden kann. Man denkt sich ein Masterpasswort aus. Im Idealfall ist es ein Satz, hier ist die Auswahl nahezu unendlich. In unserem Fall nehmen wir: "Eine Rose gebrochen, ehe der Sturm sie entblättert" (Emilia Galotti von Lessing). Die Anfangsbuchstaben ergeben ERGEDSSE und das kann jetzt noch weiter gesichert werden, in dem das Doppel-S zu zwei Dollar-Zeichen wird. Also ERGED$$E. Und für jede Plattform die man sichern muss, wird das passende Kürzel angehängt. Für Amazon zum Beispiel ERGED$$EAZ1 und für die Corona-Impfanmeldung nimmt man ERGED$$ECV2.

E-Mails, Online-Banking, der eigene, gesicherte PC, der PIN-Code für das Smartphone, Facebook, Twitter, alle wollen sie Passwörter. Und die sollen, damit sie auch wirklich sicher sind, aus bis zu zwölf Zeichen bestehen, Sonderzeichen enthalten und im Idealfall nur bei einem Account zum Einsatz kommen. Die Übersicht zu behalten, kann da schon schwierig werden. Dafür gibt es seit geraumer Zeit Passwort-Manager. Alle haben ihre Vor- und Nachteile. "Die Presse" hat eine Auswahl zusammengestellt. (c) Michaela Bruckberger

Passwort-Manager sind nicht neu. Seit 2006 bereits auf dem Markt ist 1Password von AgileBits. Der Dienst verspricht einer der sichersten am Markt zu sein. Das Unternehmen setzt auf die als sicher bekannten AES-256-Verschlüsselung sowie PBKDF2-Schlüssel. Neben den Standard-Funktionen warnt das Programm auch, wenn Sicherheitslücken bekannt werden und rät im gegebenen Fall zu einem Passwort-Wechsel bei den betroffenen Anwendungen. (c) Unternehmen

Nutzer schätzen vor allem die Übersichtlichkeit und das logische User-Interface. Zudem synchronisiert es automatisch die Daten auf den gekoppelten Geräten. Neben Online-Passwörtern können auch Daten zu Kreditkarten und Kundenkarten gespeichert werden. Der Funktionsumfang hat aber auch seinen Preis. 2,99 Euro pro Monat kostet das Abo. Für eine Familie (mit inklusive fünf Lizenzen) kommt auf 4,99 Euro. >>> 1Password. (c) Unternehmen

LastPass zählt zu den bekanntesten Anbietern. Wie auch 1Password setzt das Unternehmen zur Sicherung der Daten der Nutzer auf eine AES-256-Verschlüsselung, Salted Hashes und PBKDF2 SHA-256-Schlüssel. Gespeichert werden die Daten auf den Unternehmensservern. Am Gerät selbst werden sie ver- und entschlüsselt. Den größten Vertrauensbonus erhielt das Programm dadurch, dass Hacker sich in der Vergangenheit die Zähne an LastPass ausgebissen haben. (c) Unternehmen

Der Passwort-Manager ist grundsätzlich kostenlos für Windows, Mac und Linux sowie für mobile Versionen (Android, iOS und Windows Phone) verfügbar. Die Premium-Version kostet zwölf Euro pro Jahr. Dabei stehen dem Nutzer Extras zur Verfügung. Dazu zählen: Ein Gigabyte Extraspeicher für Notizen oder ähnliches sowie die Möglichkeit Passwörter mit der Familie zu teilen. >>>LastPass. (c) Unternehmen

Der Efficient Password Manager unterscheidet sich von anderen Anbietern dadurch, dass es bei der Erstellung eines Passworts hilft, wenn die Inspiration fehlt. Dabei hilft ein automatischer Generator. Die Anwendung bietet eine übersichtliche Unterteilung der verschiedenen Kategorien. (c) Unternehmen

Zudem gibt es mit der Android-/iOS-Version die Möglichkeit, jederzeit auf die eigenen Passwörter zugreifen zu können. Android und iOS ist kostenlos. Die Windows-Version (nach einer 30-tägigen Testphase) schlägt mit 20 Dollar zu Buche. >>> Efficient Password Manager. (c) Unternehmen

Zum Beispiel KeePass. Dieser Passwort-Manager ist bereits seit 2003 am Markt und wird vom deutschen Bundesamt für Sicherheit in der Informationstechnik empfohlen. Der Nutzer kann selbst entscheiden, welchen der beiden sicheren Algorithmen er verwendet (AES oder Twofish). (c) Unternehmen

KeePass ist nicht nur Open Source, wodurch die Anwendung für nahezu alle Apps und Betriebssysteme verfügbar ist, sondern wird dazu noch kostenlos angeboten. >>> Keepass. (c) Unternehmen

Das Open-Source-Programm Password Safe punktet nicht nur durch sein kostenloses Angebot, sondern auch durch seine Funktionalität und die sicher verschlüsselte Datenbank. Verantwortlich für die Anwendung zeichnet der Sicherheitsexperte Bruce Schneier. (c) Screenshot

Der Verschlüsselungsalgorithmus, der bei Password-Safe zum Einsatz kommt, ist von ihm geschrieben worden. Die Anwendung ist für Android und iOS verfügbar und ist auch für Windows erhältlich. Außerdem macht der Aufbau der Datenbank auch einen Wechsel leicht, sollte man sich einmal einen anderen PW-Manager zulegen. >>> Password Safe. (c) Unternehmen

SplashID gibt es in einer kostenlosen und einer Pro-Version. Beide schützen ihre Daten mit einer Kombination aus sicheren Algorithmen. Dazu zählt AES-256-Bit und 128-bit Rijandel. (c) Unternehmen

Die kostenlose Version lässt die Daten nicht auf andere Geräte synchronisieren. Dass man Zugriff auch über andere Devices erhält, wird in der Pro-Version angeboten, die mit jährlich 20 Euro oder monatlich 1,99 Euro zu Buche schlägt. Zusätzliches Sicherheitsfeature: Das Security-Dashboard fasst den Status aller hinterlegten Anwendungen zusammen und empfiehlt im gegebenen Fall Passwort-Änderungen, weil sie zu schwach sind, oder gar kompromittiert wurden. >>> SplashID. (c) Unternehmen

Alle Passwort-Manager haben eines gemeinsam: Sie erleichtern die Verwaltung der Passwörter und reduzieren die Anzahl der zu merkenden Passwörter auf eines. Dieses sollte man aber nicht verlieren oder vergessen. Es gibt nur sehr aufwändige Methoden diese wiederherzustellen - aus Sicherheitsgründen. Die angeführten Beispiele stellen nur einen Auszug dar und spiegeln die am meisten genutzten Angebote. (c) Presse Digital

Ansonsten gibt es natürlich noch die Möglichkeit auf technische Helferlein zu vertrauen.

Man sollte nicht dem Trugschluss aufliegen, dass ein ständiges Wechseln des Passworts die Sicherheit erhöht. Lorrie Cranor, Sicherheitsexpertin und ehemalige Professorin an der Carnegie Mellon University, erklärte diese ständigen Wechsel zum "Feind der Sicherheit". Das mache Nutzer unvorsichtig, weswegen sie auf ähnliche Passwörter zurückgreifen. Damit werde das Prinzip geschwächt und in vielen Fällen ad absurdum geführt.

Ihre Aussagen stützt sie auf eine von der Universität North Carolina durchgeführten Studie. Dabei wurden 10.000 abgelaufene Accounts und die Passwort-Historie von Mitarbeitern sowie von Studenten untersucht. Dabei fanden die Forscher heraus, dass dabei meist nur die Groß- und Kleinbuchstaben verändert wurden und die Ziffernfolgen meist fortlaufend waren. Lautete das erste Passwort: "Penny2612" war es beim nächsten Mal "pEnny2713". Das scheint zwar sicher, aber für Hacker ist das dann nur mehr eine leichte Übung.

Die Klassiker sterben einfach nicht aus

Lesen Sie mehr zu diesen Themen: