Ein sicheres Passswort erstellen - aber wie?
Entscheidend für die Sicherheit von Computern und Netzwerken, egal ob in Firmen oder Behörden, ist immer den potenziellen Eindringlingen eine starke Eingangshürde in den Weg zu stellen. Dabei lässt sich feststellen, dass es wohl kein System gibt, das nicht zu hacken ist. Nicht zuletzt die Einbrüche in extrem gut gesicherte Systeme bei Behörden oder Mailanbietern zeigen, dass mit genügend Zeit, Geld und krimineller Energie, jedes Computersystem geknackt werden kann.
Die entscheidende Frage ist jedoch, wie wichtig es einem potenziellen Angreifer ist, in ein Netzwerk einzudringen.
Bei allen Einbrüchen in Computernetzwerke fällt jedoch auf, dass der Benutzer innerhalb des Netzwerks, das größte Sicherheitsproblem darstellt. So
gelingt es Angreifern auf Hochsicherheitsbereiche immer wieder, die Mitarbeiter zu Fehlverhalten zu animieren. Zumeist werden E-Mails mit
Trojanern gezielt an die Mitarbeiter verschickt, die wenn sie nur gut genug gemacht sind, irgendwann auch von einem unbedarften Mitarbeiter
geöffnet werden. Dafür werden teilweise Mitarbeiter gezielt „ausspioniert“, um ihnen dann beispielsweise eine E-Mail von einem tags zuvor
besuchten Lokal vorzutäuschen. Es kam aber auch schon vor, dass ein USB-Stick auf dem Mitarbeiterparkplatz gezielt „verloren“ wurde, um einen
Virus ins System zu bringen.
Doch auch abseits dieser speziellen Angriffe, auf besonders interessante Bereiche, werden in breit angelegten Angriffen, Sicherheitssysteme geknackt.
Hier entscheiden die Angreifer erst nach dem Eindringen in ein System, wie sie aus diesem Einbruch Gewinn machen können.
Letztendlich geht es aber bei all diesen Angriffen, fast immer darum Passwörter auszuspionieren. Deshalb ist es in sensiblen Bereichen unerlässlich,
die Passwörter regelmäßig zu ändern. Denn ein inzwischen geändertes Passwort, hilft keinem Eindringling mehr.
Für die Entwicklung sicherer Passwörter gibt es ein paar einfache, aber wichtige Kriterien:
6 Tipps für ein sicheres Passwort
- Verwenden Sie keine Wörter und Namen. Ein Hacker versucht fast immer, mit kleinen Programmen, das Passwort zu „erraten“. Dabei greift das Programm auf diverse Wortlisten zurück, nimmt sich ein Wort aus der Liste und probiert dieses als Passwort. Wenn es nicht passt, nimmt sich das Programm das nächste Wort, bis es entweder das passende Wort gefunden hat oder die Liste aufgebraucht wurde. Dann macht das Programm mit der nächsten Liste weiter. Diese Listen entstammen aus Namenslisten, Wörterbüchern oder auch Listen von bereits bekannten Passwörtern. So können Sie sich sicher sein, dass „geheimesPasswort“, bereits nicht mehr geheim ist.
- Verwenden Sie die Kombination aus Buchstaben und Zahlen. Wesentlich sicherer als „Passwort“ ist beispielsweise „Passwort51839“, sofern die Zahl mindestens dreistellig und kein Datum ist. Reichern Sie dieses Kennwort noch mit Sonderzeichen und zusätzlichen Großbuchstaben an, also „$PassWort&51839!“ ist dieses Wort schon recht sicher. Leider aber auch kaum zu merken. Besonders wenn Sie für verschiedene Zugänge, unterschiedliche Kennwörter verwenden (was Sie unbedingt machen sollten), wird es schwierig, sich diese Kennwörter noch zu merken. Sie können auch die Kennwörter aufschreiben und in Listen auf ihrem Rechner ablegen. Das ist dann aber in etwa so, wie wenn Sie den Haustürschlüssel an einen Nagel im Türstock hängen.
- Verwenden Sie Sätze als Passwörter. So ist „DasisteinechtgeheimesPasswort“ schon relativ sicher. Kombiniert mit Zahlen, die Wörter ersetzen, wird es noch eine Stufe besser. Dabei stehen bestimmte Zahlen als Ersatz für Wörter: 0 = kein oder nicht, 1 = Ein oder Ich. Auch eine Kombination, die nur im Sprechfluss Sinn ergibt, ist gut möglich: 8sam, 3mal,1t (einst). So entsteht dann ein Satz wie: „Das=1geheimesPasswort“ oder etwas dynamischer: „1bin53Jahre&kannFacebook0leiden“. Dieses Passwort ist kaum zu knacken, dynamisch und leicht veränderbar. So wird daraus beispielsweise ein: „1bin53,5Jahre&kannGoogle0leiden“. Dies ist allerdings auch wieder nur für Passwörter geeignet, die Sie häufig eingeben, wie den Anmeldevorgang an Ihrem Computer. Wenn Sie nicht wissen, wann Sie das letzte Mal Ihr dynamisches Passwort bei Facebook änderten, werden Sie Ihr Passwort dafür wohl nie wieder erraten können.
- Verwenden Sie für einfache Seiten auch einfache Passwörter. Wie in den vorangegangenen Absätzen bereits erwähnt wurde, hilft Ihnen das beste Passwort nichts, wenn Sie es vergessen. Überlegen Sie sich also ein einfaches Passwort nach folgender Regel: Hauptteil: Aus einem Satz komprimiertes Passwort. So wird aus „Dies ist ein besonders geheimes Passwort“ => „D=1bgPw“. Ihr so erstelltes allgemeines Passwort kombinieren Sie nun jeweils mit einem Zusatzwort. Zusatzteil: Dieser Zusatz besteht aus den beispielsweise ersten fünf Zeichen der Internetadresse, für die das Passwort generiert wird. Im Falle von Facebook lautet der Zusatz dann „faceb“. Bei Google wäre es: „googl“, usw. Handelt es sich um eine Seite, die weniger als fünf Zeichen hat, können Sie entweder verkürzen oder um die Domain erweitern, also „ARD.de“ => „ardde“. Das komplette Passwort für die ARD-Seite wäre dann also: „ D=1bgPwardde“. Wichtig: Wenn Sie dieses Prinzip beibehalten, können Sie auch noch in 10 Jahren das Passwort für einen „unwichtigen“ Zugang rekonstruieren. Darum darf natürlich niemand Ihr Hauptwort und Ihre Regel für das Zusatzwort erfahren. Da es sich hierbei um ein statisches Passwort handelt, ist dieses Verfahren nicht für Zugänge geeignet, die Sie regelmäßig ändern sollten, also nicht für Computeranmeldung, Banking, Mailprovider.
- Verwenden Sie lange Passwörter: Für alle Passwörter besteht die Möglichkeit, diese über systematisches Ausprobieren zu erraten. Dieses als „brute force“ (brutale Gewalt) bezeichnete Verfahren, testet verschiedene Kombinationen von Buchstaben und Zahlen einfach durch. Dabei dauert selbstverständlich ein langes Wort länger, als ein kurzes Wort, weshalb Sie mindestens 8-10 Zeichen verwenden sollten. Die Verwendung von Groß- Kleinschreibung und Sonderzeichen erschwert diesen Angriff noch zusätzlich.
- Achten Sie darauf, wo Sie Ihre Passwörter eingeben: Das klingt erst einmal banal, ist es aber beileibe nicht.
Folgen Sie niemals einem link in einer E-Mail. Es könnte sich durchaus um eine phishingmail handeln, die Sie auf die Kopie einer Webseite lockt
und dort Ihr Passwort „abfischt“. Ebenso könnten Sie aber auch auf eine Seite geraten, die Ihnen einen Trojaner unterjubelt. Geben Sie also die
Adresse immer von Hand ein und achten Sie darauf, dass die Seite gesichert ist (das sehen Sie an dem kleinen Schloss hier in der Adresszeile).
Geben Sie keine Passwörter - egal auf welcher Seite – ein, während Sie sich in einem offenen WLAN befinden. Ganz egal, ob Sie mit Ihrem Laptop oder Smartphone in einem offenen WLAN unterwegs sind, ist es sehr einfach Ihre Eingaben mitzulesen.
Das alles klingt im ersten Moment vielleicht kompliziert, ist aber relativ einfach, solange Sie die Punkte 4-6 verinnerlichen. Damit sind Sie nicht „unangreifbar“, aber für mindestens 99% aller Angriffe gewappnet. Mehr ist in der Regel auch nicht erforderlich. Lediglich für Mitarbeiter in besonders sensiblen Bereichen, gelten u. U. noch höhere Anforderungen, diese werden aber dann gesondert geschult.