So erstellst du narren- und hackersichere Passwörter

Mittlerweile hat es sich herumgesprochen, ‚Passwort‘ ist kein sicheres Passwort, so clever man oder frau sich dabei auch fühlen mag. ‚Das ist so simpel, da kommt keiner drauf‘ ist nicht nur Prä-Internet, sondern überhaupt Prä-Everything. Hacker raten nicht und zerbrechen sich auch nicht den Kopf über Geburtsdaten oder Haustiere. Dazu müssten sie ihre Opfer bereits kennen, was praktisch nie der Fall ist. Stattdessen gehen sie nach dem Zufallsprinzip vor und lassen Computer für sich arbeiten, die locker 60 Milliarden Kombinationen pro Sekunde durchspielen, komplette Wörterbücher und umfangreiche Sammlungen beliebter Phrasen inklusive. Zusammengesetzte Rechner bringen es sogar auf 800 Milliarden Schlüssel pro Sekunde. Da mag es nicht verwundern, dass die Maximalzeit zum Knacken eines mit einer einfachen Phrase abgesicherten persönlichen Kontos oftmals noch unter dieser einen Sekunde liegt.

Wie sieht ein sicheres Passwort aus?

Möglichst lang und möglichst kompliziert. Möglichst lang heißt mindestens 12 Stellen, möglichst kompliziert meint, mindestens 12 aus 90 möglichen Zeichen, beliebig kombiniert. Und wie kommt man auf 90 mögliche Zeichen oder einen Tick mehr? Alle Buchstaben in Groß- und Kleinschreibung, alle Zahlen von 1 bis 9 und alle Sonderzeichen, die eine Tastatur so hergibt. Unterm Strich ergeben sich damit mehr als 3.000.000.000.000.000.000.000 Kombinationsmöglichkeiten. Genug, um einen Angreifer auf Jahre hinaus zu beschäftigen – womit Otto Normalverbraucher in Sicherheit ist, denn bei ihm lohnt sich ein Angriff nur, wenn dieser möglichst simple Passwörter einsetzt.

Das Problem hierbei: Passwörter der genannten Art sehen aus wie [email protected]!oT. Damit steht man zwar für gut 190 Milliarden Jahre auf der sicheren Seite, aber auf Dauer merken kann sich kaum jemand diesen Wust aus Zeichen. Schon gar nicht, wenn man mehrere dieser Kombinationsmonster benötigt.

Was also tun? Kognitives Training?

Nicht nötig. Eine clevere Mischung aus einer oder nur ein paar geschickt gewählten Phrasen und einem Passwortmanager reicht völlig aus. ‚Geschickt gewählt‘ sind Phrasen in diesem Sinne im Übrigen automatisch, da nur eine einzige Person in der Lage ist, sie so zu bilden, wie sie schlussendlich vorliegen.

Ein Beispiel: Meine Name ist Hase und ich weiß von nichts. Daraus wird zunächst MNiHuiwvn. Die geschätzte Zeit zum Knacken dieses Passworts liegt bei rund 5 Stunden. Also hängt man was dran: Meine Name ist Hase und ich weiß von nichts. Und du?. Daraus wird MNiHuiwvn.Ud? und reicht für 1.000 Jahre, gut genug für unwichtige Dinge.

Benötigt man hingegen mehr Sicherheit, sollte man auf dieser Grundlage weitermachen: Zunächst entscheidet man sich dann für Zahlen, mit denen sich bestimmte Buchstaben ersetzen lassen (bspw. 1 für i oder I, 2 für r oder R) und für Sonderzeichen, die ebenfalls statt Buchstaben genutzt werden können (bspw. © für C oder € für E). Danach schaut das ursprüngliche einfache Passwort dann so aus MN1Hu1wvn.Ud? und kann spätestens nach 570 Millionen Jahren geknackt werden. Knetet man anschließend noch ein Lieblings-Sonderzeichen hinein, mit dem man jeden Satz beginnt und abschließt (%MN1Hu1wvn.%%Ud?%), kommt man auf maximal 51 Billiarden Jahre, und will man ein Super-Passwort, setzt man das ganze Ungetüm noch in Anführungszeichen („%MN1Hu1wvn.%%Ud?%“) und erweitert das gute Gefühl damit auf 472 Trillionen Jahre.

On Top: Passwort-Manager

Solch ein Passwort lässt sich jederzeit wieder zurück ins Gedächtnis holen, bei häufiger Wiederholung sogar ohne Rückbesinnung auf den Ursprungssatz, und in Verbindung mit einem Plattform-übergreifenden Passwortmanager wie LastPass, 1Password, Password Depot oder das freie Keepass ist man auf Schlag um Längen sicherer als vorher. Man muss sich einzig diesen einen Satz merken, weil die Passwort-Datenbank damit abgesichert ist. Und Letztere wiederum versorgt dich mit ellenlangen Passwörtern für alle möglichen Gelegenheiten. Wichtig hierbei:

  • Jedes Konto erhält sein eigenes Passwort
  • Da du dir nichts mehr merken musst, kann es möglichst lang sein
  • Die meisten Passwortmanager verfügen über einen Code-Generator. Nutze ihn und aktiviere alle angebotenen Optionen, falls möglich. Also die komplette Zeichenpalette.
  • Speichere die Passwort-Datenbank an einem sicheren Ort und, wenn möglich, verschlüsselt.
  • Scanne deinen PC regelmäßig auf Schadsoftware wie Keylogger.

 

Credits:
Foto: Startup Stock Photos (https://stocksnap.io/author/1949)
Lizenz: CCC (https://creativecommons.org/publicdomain/zero/1.0/)

About the author

CyberGhost VPN - Uli
CyberGhost VPN - Uli

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Copyright © 2014. Created by Meks. Powered by WordPress.