Wie man ein gutes Passwort erstellt: Ein Luxemburger Datenschützer gibt Tipps

Nicht alle Passwörter sind gleich. Ein gutes Passwort, rät Pascal Steichen, der CEO von Securitymadein.lu, sollte vor allem eines sein: lang.

In unserer digitalisierten Welt gehören Passwörter zum Alltag. Kaum ein Dienst im Internet kommt ohne sie aus, egal ob es sich um Onlinebanking, ein soziales Netzwerk oder ein Computerspiel handelt. Um seine Daten vor Missbrauch zu schützen, hat jeder Nutzer ein Passwort, das ihm in Kombination mit seiner E-Mail-Adresse oder seinem Nutzernamen Zugang zu seinem Konto gewährt. Umso wichtiger ist es, ein gutes Passwort zu wählen, das sicher ist und sich dennoch leicht merken lässt.

Ein entscheidender Faktor bei der Sicherheit eines Passwortes ist die Länge, sagt Pascal Steichen ohne zu zögern. Er ist Geschäftsführer von Securitymadein.lu, einer staatlichen Initiative zur Aufklärung über Cyberkriminalität. Das war früher nicht immer möglich. Oft durften Passwörter aufgrund technischer Einschränkungen nur eine bestimmte Länge haben. Auf die PIN-Nummern von Kreditkarten etwa trifft das nach wie vor zu.

„Heute spricht man auch von einer Passphrase anstatt von einem Passwort“, sagt Steichen. Also von einem Satz statt von einem einzelnen Wort. Der Grund dafür ergibt sich aus der Art, wie Hacker vorgehen, wenn sie versuchen, ein Passwort zu knacken. Im Groben, erklärt Steichen, gibt es drei Arten von Hackerangriffen.

 

Lesen Sie auch unseren Kommentar zu diesem Thema.

Zum einen besteht die Möglichkeit einer „Brute-Force-Attacke“. Dabei probiert ein Computerprogramm, das von den Hackern genutzt wird, ganz einfach alle Zeichenkombinationen aus. Hier wird ersichtlich, warum die Länge des Passwortes eine Rolle spielt. Je mehr Zeichen, desto mehr Zeit braucht ein solches Programm, um das Passwort zu finden. Früher, als die Länge des Passwortes oft noch begrenzt war, baute man Sonderzeichen ein, damit das Programm mehr Zeichen ausprobieren musste.

Wörterbücher und Regenbögen

Eine zweite Methode, auf die Hacker zurückgreifen, ist der „Wörterbuchangriff“. Sie versuchen hierbei ihr Glück mit typischen Passwörtern statt mit unzähligen Zeichenkombinationen. Dazu werden Informationen verwendet, die beispielsweise aus früheren Datenlecks stammen. Auch Forschungsergebnisse darüber, wie Menschen Passwörter erstellen, können hier in Betracht gezogen werden.

Drittens haben Angreifer die Möglichkeit, sogenannte „Rainbow Tables“ (auf Deutsch: Regenbogen-Tabellen), zu benutzen. In der Regel werden Passwörter beim Onlinedienst nicht als Klartext abgespeichert, sondern als „Hashwert“. Dazu wird das Passwort mittels einer Formel, die sich nicht umkehren lässt, in eine lange Zeichenfolge übersetzt. Versucht jemand, Zugang zu dem Konto zu erhalten, wird der Hashwert des eingegebenen Passwortes errechnet und mit dem Hashwert in der Datenbank verglichen.

Regenbogen-Tabellen enthalten vorgerechnete Hashwerte für eine große Menge an Passwörtern. Gelingt es Hackern, die Datenbank des Onlinedienstes mit den Hashwerten zu stehlen, können sie in der Tabelle nach den dazugehörigen Passwörtern suchen.

Gegen solche Cyberangriffe schützt ein langes Passwort. Ein Passwort mit unter 12 Zeichen kann in einer guten Stunde geknackt werden, schätzt der Experte. Er empfiehlt den Nutzern, sich statt eines Passwortes einen langen Satz auszudenken. Das menschliche Gehirn sei nun einmal so gestrickt, dass es sich einen Satz besser merken könne als eine sinnlose Zeichenfolge.

Eine andere Möglichkeit bestehe darin, sich einen Satz auszudenken und die Anfangsbuchstaben der Wörter aneinanderzureihen. Wörter wie „und“ können zusätzlich durch ein „+“ ersetzt werden, um das Passwort mit Sonderzeichen zu würzen.

Passwörter sind wie Zahnbürsten

„Eine Herausforderung besteht darin, sich das Passwort zu merken und es mit niemandem zu teilen, auch nicht mit seinen Freunden und Verwandten“, gibt Steichen zu bedenken. Er vergleicht ein Passwort mit einer Zahnbürste. Beides benutzt man. Beides teilt man nicht mit anderen. Beides sollte man regelmäßig wechseln.

Damit man in der Flut von Passwörtern, die jeder heute hat, nicht untergeht, kann man sich mit einem Passwortmanager behelfen, erklärt der CEO von Securitymadein.lu. Diese Programme speichern die Passwörter für alle Dienste ab. „Wie ein Panzerschrank.“ Der Nutzer muss sich dann nur noch das Master-Passwort für den Passwortmanager merken. Diese Programme, die oft kostenlos sind, erinnern sogar daran, wann ein Passwort gewechselt werden sollte, und sind manchmal in der Lage, selber Passwörter zu generieren. Bei der Suche nach dem passenden Programm sollte jeder unbedingt darauf achten, dass es eine AES-Verschlüsselung benutzt, rät Steichen.

Passwörter sollten ungefähr einmal pro Jahr gewechselt werden, lautet eine weitere Empfehlung des Experten. Öfter hält er für kontraproduktiv. Wenn ein Arbeitgeber seine Mitarbeiter etwa dazu zwingt, das Passwort öfter zu wechseln, dann kann er damit falsche Anreize schaffen, dass die Angestellten aus Bequemlichkeit schlechte Passwörter nutzen.

Wer den Verdacht hat, gehackt worden zu sein, sollte sein Passwort eingeben, sagt Steichen. Wenn sich das Benutzerkonto nicht mehr öffnen lässt, dann ist das ein sicheres Zeichen, dass es gehackt wurde. Das Opfer kann sich dann an den Anbieter des Dienstes wenden, an die Polizei oder an Securitymadein.lu.

Die Initiative, der Steichen vorsitzt, richtet sich allerdings eher an ein berufliches Umfeld und ist keine Strafverfolgungsbehörde. Die Polizei verfügt mittlerweile über eine Abteilung, die sich auf Cyberkriminalität spezialisiert hat.

Organisierte Verbrecherbanden

Bei den Hackern handelt es sich um organisierte Verbrecherbanden und nicht um Einzeltäter, erklärt Steichen weiter. Es gehe ihnen um Geld. Sie verkaufen die erbeuteten Konten, aus denen sich dann zum Beispiel Kreditkarten-Informationen extrahieren lassen. Die meisten Attacken sind opportunistisch, d.h. das Internet wird nach Schwachstellen abgegrast, sagt Steichen. Wird eine solche gefunden, schlagen die Täter zu. In den letzten Jahren gehe der Trend allerdings immer mehr zu gezielten Attacken auf spezifische Ziele über.

Kommt es dann zu einem Hackerangriff, stellt sich die Frage nach der Verantwortung. Diese sei nicht so leicht zu beantworten und hänge vom jeweiligen Fall ab, erklärt Steichen. Hat ein Onlinedienst nicht richtig aufgepasst und wird ihm ein Datensatz geklaut, dann ist er schuld. Wird ein einzelnes Konto gehackt, weil der Nutzer unverantwortlich mit seinem Passwort umgegangen ist, dann ist es hingegen schwer, dem Onlinedienst die Schuld in die Schuhe zu schieben.

Steichen rät dazu, die Augen offenzuhalten und vor allem Vorsicht gegenüber Phishing-Mails walten zu lassen. Dabei handelt es sich um E-Mails, die vorgeben, von einem seriösen Onlinedienst zu sein. Darin wird der Empfänger aufgefordert, einen Link anzuklicken und dort seinen Nutzernamen und sein Passwort einzugeben. Damit liefert das Opfer dem Kriminellen seine digitale Identität auf dem Präsentierteller.

Der wichtigste Tipp lautet also: lange Passwörter und eine gesunde Portion Misstrauen.