Passwortsicherheit – So schützt Sie ein Passwort Manager vor Hackern

Wer sich auf Computern und im Internet privat oder beruflich bewegt, ist immer wieder dazu aufgerufen, Accounts und damit auch Passwörter anzulegen. Je nach Aktivität kommen schnell über hundert Passwörter zusammen. Da ist es schwer, das Richtige zu tun. Das wissen Hacker und nutzen es aus. Mittlerweile gibt es zwar für Unternehmen Cyber-Versicherungen, aber Privatanwender tragen das Risiko selbst. Schützen Sie sich also vor finanziellen Schäden, indem Sie etwas für Ihre Passwortsicherheit tun. Wir zeigen Ihnen, wie es geht.

Passwortsicherheit – so kommen Sie zu guten Passwörtern

Schon mit wenig Know-how und Zeitinvestment ist es möglich, starke Passwörter zu erfinden. Das können Sie entweder selbst tun oder sich von Passwortgeneratoren helfen lassen. Wenn Sie zusätzlich die Passwortsicherheit mit einem Internetdienst testen, sind Sie bestens aufgestellt. Aber zunächst sollten Sie etwas Grundlegendes beachten.

Augen auf bei fragwürdigen Websites

Bevor Sie einen Account anlegen, sollten Sie sich erst vergewissern, dass die Website verschlüsselt und eine sichere Datenübertragung gewährleistet ist – sonst kann das Passwort beim Anmelden leicht von Hackern abgegriffen werden. Verschlüsselte Websites beginnen mit „https://“ und werden mit einem Schloss-Symbol gekennzeichnet. Aufpassen sollten Sie ebenfalls, wenn Sie verlockende Mails oder Posts bekommen, die per Link auf eine Website führen. Das können Phishing-Aktionen sein, die nur dazu dienen, an persönliche Daten und Passwörter zu kommen. Wenn Ihnen etwas seltsam vorkommt, brechen Sie den Vorgang ab!

Wie Hacker vorgehen – Motivation für starke Passwörter

Warum es sich lohnt, in gute Passwörter zu investieren, wird schnell klar, wenn Sie sich die Methoden der Hacker vor Augen führen. Da Passwörter gleich bei der Eingabe in Hashes umgewandelt und somit verschlüsselt werden, können Hacker lediglich an diese Hashes gelangen und zunächst nichts damit anfangen. Je nach Art der Hashes müssen sie erst unzählige Kombinationen durchspielen, was man auch als Brute-Force-Attacke bezeichnet. Bei längeren Passwörtern ist es fast unmöglich, den Account zu knacken. Cyber-Kriminelle sind darauf angewiesen, dass Sie ein schwaches Passwort generiert haben, um mit Methoden wie Rainbow Tables und Wordlists in rentabler Zeit ans Ziel zu kommen. Erstere sind öffentlich zugängliche Listen häufig genutzter Passwörter, samt ihrer Hashes. Hacker müssen da nur die gestohlenen Hashes vergleichen und finden bei Treffern das zugehörige Original-Passwort für den Zugang. Wordlists hingegen sind Text-Files, die Passwörter im Klartext enthalten. Hacker lassen für jedes dieser Passwörter einen Hash berechnen und vergleichen ihn mit den entwendeten Hashes. Versierte Hacker erstellen darüber hinaus personalisierte Wordlists. Sie enthalten Passwörter und Passwortbestandteile, die mit großer Wahrscheinlichkeit von Ihnen verwendet werden könnten.

Alte Gewohnheiten aufgeben für mehr Passwortsicherheit

Wenn Sie sich bislang keine Mühe in Sachen Passwortsicherheit gegeben haben, gehören Sie zur Mehrheit der User. Die meisten wählen Passwörter wie „123456“, „passwort“ oder „hallo“ und nutzten das Passwort für mehrere Accounts. Das sollten Sie auf keinen Fall tun. Die Falle, in die viele tappen: Passwörter kreieren, die leicht zu merken sind. Dazu gehören einfache Zahlenreihen, Buchstabenreihen, Tastaturmuster, Wiederholungen und simple Wörter kombiniert mit wenigen Sonderzeichen. Auch wer persönliche Informationen verwendet, wie Geburtsdaten, Hobbies, Spitznamen, Lieblingsstars, Namen von Freunden, Eltern und Haustieren, macht es den Passwort-Crackern leicht. Die meisten geben die Informationen allein schon in den sozialen Medien preis.

Wie setzt sich ein sicheres Passwort zusammen?

Das wichtigste Kriterium ist die Länge des Passworts. Sie sorgt vorrangig für Sicherheit und steht in direktem Zusammenhang mit der Komplexität. Je kürzer, desto komplexer muss es sein. Je länger, desto einfacher kann es sein. Bei kürzeren Passwortvorgaben von 8 bis 12 Zeichen sollten drei Zeichenarten genutzt werden. Bei Vorgaben von 20 bis 25 Zeichen reichen zwei Zeichenarten. Wir empfehlen als Minimum 12 Zeichen, unter 10 sollten Sie auf keinen Fall gehen. Sehr wichtige Accounts können Sie aber gerne mit Passwörtern von 64 Zeichen schützen. Das Bundesamt für Sicherheit in der Informationstechnik hält 8 Zeichen nur dann für ausreichend, wenn es durch eine Mehr-Faktor-Authentisierung abgesichert ist: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html

Nutzen Sie bei der Erstellung immer die ganze Bandbreite der Zeichen auf Ihrer Tastatur: Buchstaben in Groß- und Kleinschreibung, Ziffern und Sonderzeichen. Dabei sollten Sie Wiederholungen von zwei Zeichen nacheinander vermeiden. Einer der wichtigsten Tipps für die Passwortsicherheit ist dabei: Die Zeichenreihenfolgen sollten keinerlei innere Logik aufweisen. Diese sind beliebt und lassen sich leicht hacken. Auf Umlaute sollten Sie aus einem anderen Grund verzichten: Auf Auslandsreisen werden Sie meist nur englische Tastaturen vorfinden – und die haben keine Umlaute.

Um zu testen, wie sicher Ihr Passwort ist, können Sie verschiedene Dienste im Internet nutzen, wie zum Beispiel von Kaspersky. Dabei sollten Sie nur nicht exakt das Passwort eingeben, dass Sie tatsächlich verwenden wollen. Die Dienste geben Hinweise auf die Schwachstellen und schätzen, wie lange ein herkömmlicher PC brauchen würde, um das Passwort zu knacken. Wenn Sie den Wert durch 100.000 teilen, wissen Sie, wie lange der derzeit schnellste Supercomputer brauchen würde.

Wie Sie ein sicheres Passwort generieren, das Sie sich merken können

Der gängigste Trick ist, sich einen beliebigen Satz auszudenken und von jedem Wort nur den ersten oder einen anderen Buchstaben zu benutzen. Im zweiten Schritt ersetzen Sie einige Buchstaben mit Ziffern und Sonderzeichen. Auch bei diesen Sätzen gilt: keine innere Logik oder Persönliches! Ein gutes Beispiel wäre: „Langweilige Blätter haben eiserne Zähne und steigen durch kantige Wasser in Ohnmacht“. Mit den Anfangsbuchstaben generieren Sie die Passwortgrundlage: „LBheZusdkWiO“, wenn sie jetzt einige Buchstaben durch Ziffern und Sonderzeichen ersetzen, haben Sie ein gutes Passwort mit 12 Zeichen: „(Bh1Zu$dkW!0“. Ein Heim-PC würde mit der Brutforce-Methode 4 Jahrhunderte brauchen, um es zu knacken. Diese Methode bietet sich an, wenn der Account eine Längenbeschränkung hat.

Einfacher zu merken sind Passphrasen. Reihen Sie dazu mehrere Wörter aneinander und versuchen Sie in den Bereich über 20 Zeichen zu kommen. Dabei sollten mindestens vier Wörter ausgewählt, häufig verwendete Wörter, Sprichwörter, Literaturzitate und Liedertexte vermieden und auch hier Buchstaben mit Ziffern und Sonderzeichen ersetzt werden. Ein Beispiel mit 31 Zeichen: „Lan§weilige3lätterZähneOhnma(ht“. Mit einem PC wäre ein Hacker über 10.000 Jahrhunderte beschäftigt – der schnellste Supercomputer bräuchte immer noch ganze zehn Jahre, um es zu knacken.

Eine dritte Möglichkeit ist, sich zufällig mindestens fünf Wörter aus dem Wörterbuch auszusuchen und diese dann mit einem Leerzeichen trennen. Sie dürfen in keinem logischen Zusammenhang stehen und sich nicht wiederholen. Auch hier gilt: einige Buchstaben mit Ziffern oder Sonderzeichen ersetzen.

Falls Sie sich Ihre Passwörter merken wollen und keinen Passwort Manager zum Aufbewahren nutzen möchten, gibt es nur einen Trick für ausreichende Passwortsicherheit. Gehen Sie nach einer der obigen Methoden vor und ergänzen Sie dieses eine Passwort für jeden Account mit einem passenden Kürzel. Passwort-Beispiel für einen Online Shop, der Werkzeuge verkauft: „Lan§weilige3lätterZähneOhnma(htZange“.

Viele Services bieten bei der Account-Erstellung per Zufallsgenerator Passwörter an, die Sie einfach übernehmen können. Die sind zwar stark, aber dann müssen Sie sich die Zeit nehmen, dafür Eselsbrücken zu schaffen, um sie sich merken zu können. Genauso verhält es sich mit Passwortgeneratoren aus dem Internet. Wir empfehlen extern generierte Passwörter nur, wenn Sie einen Passwort Manager verwenden.

Um die Passwort-Anzahl in Grenzen zu halten, können Sie die Angebote von Generalzugängen nutzen, die große Service-Anbieter bereitstellen.

Passwort vergessen – Was tun?

Für den Fall, dass Sie Ihr Passwort vergessen, bieten die jeweiligen Services verschiedene Verfahren an. Die herkömmliche Art mit Sicherheitsfragen ist leider die Unsicherste. Da werden persönliche Fragen gestellt, auf deren Antworten versierte Hacker sehr leicht kommen. Wählen Sie also von vorneherein keinen Anbieter, der das Passwort leicht zurücksetzen lässt. Es sollte mindestens eine Authentifizierung per Rücksetzmailadresse möglich sein.

Wie oft Sie Ihr Passwort ändern sollten

Viele Anwender haben noch die alte Passwortrichtlinie aus dem Jahr 2003 im Kopf. Passwort alle 90 Tage ändern. Länge: 6 bis 8 Zeichen. Zusammensetzung: kleine und große Buchstaben, Ziffern und Sonderzeichen, wie zum Beispiel „T(80%f“. Mit einem PC dauert es gerade mal drei Stunden, um es zu knacken. Da spielt es keine Rolle, wie oft Sie es ändern. Die Ansage, regelmäßig das Passwort zu ändern, hat lediglich dazu geführt, dass schwache Passwörter gewählt werden. Solange Sie keine Vermutung haben, dass es Hacker auf Sie abgesehen haben, sollten Sie Ihr starkes Passwort bestehen lassen.

Wie Sie Ihre Passwörter sicher verwalten können

Wer für jeden Account ein neues, starkes Passwort generiert, kommt schnell an die Grenzen der Merkfähigkeit und muss die Passwörter sicher aufbewahren. Hierzu gibt es zwei gängige Methoden, die Sie verwenden können. Das ist zum einen ein Passwort Manager, eine eigene Software, die Sie erwerben müssen und zum anderen den Schlüsselbund Ihres Browsers. Von den weitest verbreiteten Methoden sollten Sie allerdings Abstand nehmen.

Wie Sie Ihre Passwörter auf keinen Fall aufbewahren sollten

Falls Sie einen Klebezettel am Bildschirm oder unter der Tastatur bevorzugen – sofort weg damit! Auch auf sonstige Zettel oder in Notizbücher gehören keine Passwörter. Sie können leicht verloren gehen oder gestohlen werden. Dazu ist in Unternehmen nicht mal ein Einbruch nötig. Wer kann schon dem Reinigungspersonal, Kollegen oder Besuchern zu 100 Prozent trauen? Wer Partout nicht auf eine Niederschrift verzichten will, sollte das entsprechende Dokument wenigstens in einem Safe aufbewahren. Auch auf einfache elektronische Aufbewahrungsmöglichkeiten können Sie getrost verzichten. Sehr beliebt ist eine Word-Datei mit allen Passwörtern. Passwort-Cracker durchsuchen Ihren Computer vorzugsweise nach solchen Dateien.

Passwort Manager für hohe Passwortsicherheit

Ein Passwort Manager ist eine Software mit einem komplexen Hauptpasswort, mit deren Hilfe Sie Ihre Passwörter und Benutzernamen aufbewahren können. Der Vorteil ist, dass die Passwörter dabei auch verschlüsselt werden. Sie unterstützen zudem bei der Passwortgenerierung und weisen auf bereits verwendete Elemente hin. Gute Programme warnen auch vor gefährdeten Websites und Phishing-Attacken. Da die meisten User heutzutage auf mehreren Devices arbeiten, lohnt sich ein cloudbasierter Passwort Manager, der sich auf allen Geräten synchronisieren lässt. Wie es um die Sicherheit von etablierten Passwort Managern bestellt ist, hängt im Wesentlichen von der Stärke des Hauptpasswortes ab und wie sie es aufbewahren. Im Idealfall können Sie es sich merken. Wenn dieses geknackt wird, kommen die Hacker an alle Passwörter. Ein Beispiel für einen Passwort Manager, der alle Sicherheitsansprüche erfüllt, finden Sie auf https://www.kaspersky.de/password-manager.

Wie sicher sind Passwort Manager, die in Browsern integriert sind?

Web-Browser haben Passwort Manager integriert, in denen Sie einen Schlüsselbund an Zugangsdaten sicher anlegen können. Sobald Sie die Website eines Ihrer Services aufrufen, trägt der Browser automatisch die verlangten Daten ein. Wenn Sie diese bequeme Variante bevorzugen, wählen Sie auf jeden Fall ein starkes Hauptpasswort und führen Sie immer die neuesten Sicherheitsupdates ihres Browsers durch. So verhindern Sie, dass Hacker die Passwörter mit Spezialsoftware, ohne großen Aufwand, aus dem Schlüsselbund extrahieren können.

So schützen Sie sich über die einfache Passwortsicherheit hinaus

Falls Sie für Ihre Daten noch mehr Sicherheit wünschen, können Sie sich über einen erweiterten Schutz Gedanken machen. Gängig ist hier eine Zwei-Faktor-Authentifizierung, wobei über Benutzername und Passwort hinaus noch ein Sicherheitsmerkmal verlangt wird. Das kann eine Zusatz-PIN sein, die über einen anderen Kommunikationsweg mitgeteilt wird, ein Hardware-Element oder biometrische Verfahren, wie Fingerabdruck und Gesichtserkennung. Viele Services bieten bereits eine Zwei-Faktor-Authentifizierung an, die Sie ganz einfach nutzen können.

Fazit

Wenn Sie optimale Passwortsicherheit haben wollen, generieren Sie ein Passwort, das weit über 12 Zeichen lang und so aufgebaut ist, dass keine innere Logik oder persönliche Bezüge darin vorkommen. Erstellen Sie für jeden Account ein eigenes Passwort und bewahren Sie diese in einem etablierten Passwort-Manager auf. Damit tun sie alles derzeit Mögliche. Was Quantencomputer künftig für Risiken in Sachen Passwortsicherheit bringen, lässt sich bereits erahnen. Deshalb forschen Industrie und Regierungen bereits nach Verschlüsselungstechniken, die diesen enormen Rechenleistungen standhalten können.