Die sinnvolle und sicherheitsorientierte Kreation von Passwörtern ist ein Dauerbrenner in einschlägigen Internetportalen und dem Digitalressort der großen Zeitungen und Magazine. Die Vergangenheit hat jedoch gezeigt, dass diese Thematik noch immer nicht im Bewusstsein aller Computer- und Internetnutzer hinreichend angekommen ist, wie die Fälle Sony [1] und Adobe [2] neben einigen weiteren gezeigt haben. Nachdem Hacker Kundendaten dieser Firmen erbeuteten, wurden später Aufstellungen der beliebtesten Passwörter veröffentlicht. Dabei finden sich Zeichenfolgen wie "123456" oder "password" ganz oben auf den Listen. Um sensible Daten zu schützen, wären jedoch andere Passwörter zweckdienlicher. Daher soll an dieser Stelle ein weiterer Versuch unternommen werden, den Sachverhalt ins Bewusstsein zu rücken.
Passwörter dienen dem Schutz, nicht der Behinderung des Nutzers
Sicherlich ist vielen Computer- und Internetnutzern schon das ein oder andere Mal die Frage durch den Kopf gegangen, warum das eingegebene Passwort nicht den nervenden Sicherheitsrichtlinien des Anbieters entspricht. Oder aber die immer vierteljährlich erscheinende Nachricht, dass das Passwort für den beruflichen Mailzugang geändert werden muss, verursacht Ärger. Meistens sind diese regelmäßigen Änderungen auch noch mit weiteren Einschränkungen verbunden, die die Auswahl des neuen Passworts zusätzlich erschweren und Kopfschütteln verursachen. Die nächste empörte Frage ist dann oftmals, wem mit diesen ständigen Erschwernissen eigentlich geholfen werden soll. Nun ja, in erster Linie einmal dem Nutzer selbst - auch wenn es schwer zu glauben ist.
Am Kapitalmarkt gibt es eine einfache Regel: Mehr Rendite bedeutet gleichzeitig mehr Risiko. Die allgemein übliche Redewendung dazu ist "no risk, no fun". Ähnlich ist es mit dem Verhältnis von Datenschutz und Bedienkomfort. Je mehr Schutz die eigenen Daten genießen sollen, desto mehr muss man auf Komfort und Einfachheit bei der Benutzung des Computers und des Internets verzichten. Ein Passwort wie "123456" ist zwar sehr praktisch, einfach zu merken und damit äußerst komfortabel, aber die eigenen Daten sind dahinter nicht sonderlich sicher.
Darüber hinaus ist ein zweiter Aspekt wichtig, der besonders auch diejenigen betreffen sollte, die (vermeintlich) nichts zu verbergen hätten oder so unwichtig seien, dass sich niemand für sie und ihre Daten interessiere. Ein einfaches Datenauslesen bedeutet nämlich gleichzeitig, dass dem Nutzer auch fremde, kompromittierende - und im ungünstigsten Fall strafrechtlich relevante - Daten untergeschoben werden können. Das Stichwort lautet hier: Identitätsdiebstahl. Davon kann jeder Nutzer betroffen sein und die Konsequenzen können tiefgreifend und vielfältig sein.
So besser nicht
Passwörter, die beispielsweise eines der folgenden Grundmuster haben, können sehr einfach geknackt werden.
- einfache, sehr geläufigen Zeichenfolgen ("abcdef", "123456", "QWERTZ")
- ganzen Wörter ("Büro", "Karnevalsverein", "zu Hause")
- Namen ("Petra", "Michael", "Meyer")
- Kombinationen aus den oben genannten ("Büro3", "Petra96", "Mausi123")
Über sogenannte Wörterbuchattacken probieren Programme Listen solcher Wörter, Namen und bekannten Kombinationen aus. Dabei sind sie oftmals schon erfolgreich. Aus diesem Grund ist zu empfehlen, es den Angreifern zumindest nicht zu leicht zu machen. Aber wie?
Kochrezept für ein starkes Passwort
Als erstes wollen wir uns die Methode der Passwortbildung über einen Merksatz ansehen. Dazu benötigt man einen Satz, den man sich gut merken kann, wie etwa der erste Satz eines Buches. Als Beispiel sollen hier die ersten Zeilen von Friedrich Schillers "Das Lied von der Glocke" dienen:
Fest gemauert in der Erden
Steht die Form, aus Lehm gebrannt.
Heute muß die Glocke werden,
Frisch, Gesellen! seyd zur Hand.
Aus diesen Zeilen nimmt man nun die ersten Buchstaben der Worte und alle Satzzeichen. Damit ergibt sich die Zeichenkette "FgidESdF,aLg.HmdGw,F,G!szH.". Kennt man die ersten Zeilen von Schillers Gedicht auswendig, lässt sich das Passwort zu jeder Zeit rekonstruieren. Dieses Ergebnis ist schon wesentlich geeigneter als etwa "Karnevalsverein". Noch stärker würde es durch das Hinzufügen von Ziffern werden.
Aber auch aus geliebten, einfachen Namen und Zahlen lassen sich ordentliche Passwörter erstellen. Hierzu wird eine andere Methode verwendet: Passwortformeln. Angenommen wir wollen das Passwort "Mausi13101987" sicherer machen. Bisher besteht es aus einem Standardkosenamen und einem Geburtstag. Eine einfache Passwortformel könnte nun lauten:
- Buchstaben werden abwechselnd groß und klein geschrieben
- nach jedem Großbuchstaben steht ein Komma
- zwischen Ziffern werden nacheinander die Zeichen der Grundrechenarten +, -, * und / gesetzt
Damit wird aus "Mausi13101987" das verbesserte Passwort "M,aU,sI,1+3-1*0/1+9-8*7".
Ein weitere wichtiger Aspekt der Passwortsicherheit ist, dass Passwörter nur für eine Anwendung verwendet werden sollten. Wir würden also unser verbessertes Mausi-Passwort nicht für den E-Mail-Zugang, das Online-Banking und vielleicht auch noch das Facebook-Profil verwenden. Denn sollte unser Passwort einmal in die falschen Hände geraten, hat diese Person direkt überall Zugang. Auch hier gilt wieder, dass erhöhter Komfort (nur ein Passwort merken) mit erhöhtem Risiko einhergeht. Aber wie sollen wir uns die ganzen Passwörter merken? Eine Möglichkeit wäre es eine Passwortformel anzuwenden. Wie wäre es zum Beispiel mit den folgenden Passwörtern?
- E-Mail: M,aU,sI,@G,pO,sT,1+3-1*0/1+9-8*7
- Online-Banking: M,aU,sI,@D,eU,tS,cH,eB,aN,k1+3-1*0/1+9-8*7
- Facebook: M,aU,sI,@G,eS,iC,hT,sB,uC,h1+3-1*0/1+9-8*7
Der Mittelteil nach dem @ besteht aus einem direkten Bezug zum genutzten Dienst (Google-Mail - Gpost; Online-Banking - Deutsche Bank; Facebook - Gesichtsbuch).
Alternativ können wir auch einen sogenannten Passwortsafe verwenden. Ein Beispiel dafür ist die Software KeePass [3]. Dieses Programm legt eine Datei auf der Festplatte an, die alle Passwörter enthält und durch ein Masterpasswort gesichert ist. Auf diese Datei und das Masterpasswort sollte man natürlich sehr aufpassen. Außerdem besteht die Möglichkeit sich mit dem integrierten Passwortgenerator zufällige Zeichenkombinationen als Passwort generieren zu lassen.
Sowohl Passwortformel als auch Passwortsafe haben ihre Vor- und Nachteile. Denn ebenso wie es bei der Geldanlage immer ein gewisses Risiko in jeder Anlageform gibt, so gibt es auch immer bei der Verwendung von Passwörtern Risiken. Letztlich ist es aber auch eine Frage der eigenen Vorliebe, für welche Variante man sich entscheidet. Besser als ein einfaches Passwort überall zu verwenden ist es allemal.
WIchtig ist noch der Punkt, dass auch sichere Passwörter keine unendliche Lebensdauer haben können. Passwörter sollten in regelmäßigen Abständen geändert werden. Denn auch wenn Sie ein sicheres Passwort nutzen, kann Ihnen ein Schaden entstehen, wenn Ihr gesamtes Online-Konto gekapert wird. Dies ist erst vor Kurzem bei etwa 16 Mio. Internetusern der Fall gewesen [4].
Nur die Ruhe bei "Wegwerf-Passwörtern"
Es kann jedoch auch in einigen Fällen sinnvoll sein, eine Standardzeichenfolge als Passwort zu wählen. Die zentrale Frage hierbei ist: Wie sensibel sind die Daten, die durch das Passwort geschützt werden sollen? Nutzen Sie beispielsweise eine Wegwerf-Mailadresse für ein paar Tage oder möchten sich für eine Produktinformation unter falschem Namen in einem Onlineshop anmelden, dann sind Ihre Daten wahrscheinlich weniger schützenswert. Aus diesem Grund wäre ein schwaches Passwort an dieser Stelle völlig unbedenklich.
Referenzen
[1] Süddeutsche.de, 2011: Hacker stehlen Millionen geheime Kundendaten. http://www.sueddeutsche.de/digital/datenklau-bei-sony-hacker-stehlen-millionen-geheime-kundendaten-1.1089569 (18.12.2013)
[2] Zeit Online, 2013: Hacker haben 38 Millionen Kundendaten erbeutet. URL: http://www.zeit.de/digital/datenschutz/2013-10/adobe-hacker-kundendaten (18.12.2013)
[3] Dominik Reichl, 2013: KeePass; Password Safe. URL: http://keepass.info (20.12.2013)
[4] Spiegel Online, 2014: Warnung des BSI: 16 Millionen Online-Konten geknackt. URL: http://www.spiegel.de/netzwelt/web/bsi-warnt-vor-identitaetsdiebstahl-16-millionen-nutzerkonten-betroffen-a-944643.html (24.01.2014)
Alle, die uns Nutzer darauf hinweisen, dass unsere Passwörter sicher sein müssen, haben Recht und es kann nicht genug davor gewarnt werden, dass viele Internetnutzer zu leichtgläubig mit ihren persönlichen Daten umgehen.
Für mich stellt sich aber die Frage, wie schaffe ich es mir verschiedene Passwörter zu merken, die dann auch noch super sicher sind. Ein Kochrezept für Passwörter ist ein guter Tipp, macht es für mich aber nicht einfacher.
Ich weiß sehr wohl, dass wir Nutzer selber dafür verantwortlich sind, unsere Daten zu schützen, aber im Alltagsleben wirft man oftmals seine Bedenken über Bord und macht dann so weiter wie bisher, vielleicht mit 1,2,3,4,5!
Trotzdem "Danke", dass an dieser Stelle ein konkretes Beispiel aufgezeigt wird, wie man sich ein individuelles Passwort zusammenstellen kann.
Eine persönliche Empfehlung wäre der im Artikel genannte Passwortsafe. Er ist verhältnismäßig einfach in der Bedienung und erreicht durch seine integrierte automatische Eingabe sogar eine kleine Zeitersparnis.
Eine andere Alternative ist folgendes Prinzip: http://imgs.xkcd.com/comics/password_strength.png
Wenn man (verständlicherweise) Probleme hat sich eine wilde Zeichenkombination aus Buchstaben, Zahlen und Sonderzeichen zu merken, muss man mit seinem Passwort einfach in die Länge gehen. Vier einfach zu merkende Wörter, die keinen offensichtlichen Zusammenhang haben hintereinanderhängen und fertig.
Man wird das Passwort "VogelComputerSeilHimmel" weder in Hash-Tabellen finden, noch ist es leicht zu brute forcen. Für Leute, die das 10-Finger-System beherschen, ist es zudem noch schnell geschrieben.
Sicherlich ist es sehr wichtig und eigentlich auch selbstverständlich seine Passwörter so zu wählen dass sie möglichst sicher vor dem Zugriff von Spitzbuben sind.
In der heutigen Zeit ist es bei Nutzern aber leider schon zur Normalität geworden fast alles über das Netz zu erledigen. Bankgeschäfte, Einkäufe, das Anmelden von Kfz usw. Diese Liste könnte man beliebig fortsetzen. Von den sozialen Netzwerken einmal ganz abgesehen. Und für all diese Bereiche muss der Nutzer im Vorfeld ganz persönliche und private Daten preisgeben. Hier muss sich der Nutzer fragen ob er bereit ist das zu tun. Ich behaupte hier ist weniger mehr.
Natürlich ist unsere Zeit schnelllebiger geworden. Kurz eine Überweisung hier und eine Kontoabfrage dort. Das ist natürlich sehr bequem. Einige wissen vielleicht gar nicht mehr wo ihre Bankfiliale steht. Aber ist es den Preis, den man dafür im schlechtesten Falle zahlt, wert? Jeder sollte sich dessen bewusst sein.
Ich als fast Internetverweigerer komme auch so ganz gut durchs Leben, selbst wenn ich wegen dieser Einstellung von der jüngeren Generation ab und zu belächelt werde.
Den Tipp von Malte hinsichtlich eines sicheren Passwortes finde ich persönlich sehr gut. Dieses Prinzip werde ich jetzt ausprobieren. Ich glaube, dass ich mir persönlich so ein individuelles Passwort besser merken kann, als eines mit Buchstaben, Sonderzeichen und Zahlen.