Erst seitdem sich in den letzten Jahren viele Dinge ins Internet verlagert haben, achten die Menschen verstärkt auf die Sicherheit ihrer Passwörter. Seit über einem Jahrzehnt versuchen Experten, die Menschen davon zu überzeugen, dass sie mehr für ihre Passwortsicherheit tun müssen, und hoffentlich haben die jüngsten Datenlecks die Menschen – und auch dich – umgestimmt.
Inhalt
Leider denken die Meisten, dass eine Kette aus 6–8 alphanumerischen Zeichen als Passwort ausreicht, aber die Realität zeigt eben, dass es viel komplizierter ist, ein sicheres Passwort zu erstellen. Erschwerend kommt hinzu, dass die Anforderungen, die Websites an die Erstellung von Passwörtern stellen, ein falsches Gefühl von Sicherheit vermitteln.
Auf die Länge kommt es an
Viele glauben, dass es bei Passwörtern vor allem auf die Komplexität ankommt. Tatsächlich ist die Länge aber viel entscheidender als die Komplexität selbst (daher die Frage über diesem Blogbeitrag).
Eine der gängigsten Methoden, mit denen Passwörter gehackt werden, ist das sogenannte „Brute-Forcing“. Stelle dir dazu beispielhaft ein Zahlenschloss mit 3 Ziffern vor: Wie kannst du es öffnen, ohne den eigentlichen Code zu kennen? Wahrscheinlich wirst du alle möglichen Kombinationen ausprobieren, z. B. 001, 002, 003 usw. Genau so funktioniert auch Brute-Forcing, nur dass die böswilligen Angreifer die Rechenleistung von Computern nutzen, die diese Aufgabe für sie übernehmen.
Aus diesem Grund spielt die Komplexität im Vergleich zur Länge keine so große Rolle, da die Länge den Entschlüsselungsversuch durch Brute-Forcing um ein Vielfaches erschwert.
Das durchschnittliche Passwort aus 8 Zeichen weist ungefähr 221 Billionen verschiedene Kombinationsmöglichkeiten auf. Das mag auf den ersten Blick viel erscheinen; du solltest dir jedoch im Klaren sein, dass manche Computer mit bestimmten ausgeklügelten Botnets 10 Milliarden Kombinationen pro Sekunde „raten“ können. Ein paar Stunden Brute-Forcing reichen deshalb schon, um ein durchschnittliches Passwort zu knacken.
Wie lang sollte dein Passwort also sein? Im Idealfall sollte es mindestens 12 Zeichen enthalten. Bei 12 Zeichen bestehen etwas mehr als drei Sextillionen mögliche Kombinationen (das ist eine Drei mit 21 Nullen dahinter).
Mit der heutigen Technologie könnte es durchaus mehrere hundert Jahre dauern, um ein solches Passwort zu entschlüsseln. Allerdings entwickelt sich die Technologie rasend schnell weiter und die benötigte Zeit, um ein Passwort mit 12 Zeichen zu entschlüsseln, verringert sich von Tag zu Tag.
Wenn du dich wirklich sicher für die Zukunft machen willst, sind 16 Zeichen wahrscheinlich die bestmögliche und sinnvollste Länge, auf die du vertrauen kannst. Aber natürlich ist mehr immer besser. Bei 16 Zeichen bist du im Grunde für viele Tausend, wenn nicht Hunderttausende von Jahren geschützt, ehe dieses Passwort geknackt wird.
Passphrasen
Seien wir ehrlich: Die meisten Menschen können sich keine Passwörter mit 16 Zeichen merken, schon gar nicht 16-stellige einmalige Passwörter für jede Website, die sie nutzen. Aber es gibt eine Alternative.
Vielleicht hast du schon einmal von Passphrasen gehört. Im Wesentlichen handelt es sich dabei um eine Reihe von halb zufällig ausgewählten Wörtern, die man sich leichter merken kann. Zum Beispiel „Gelbe Pilze sammeln Staub“ oder „Crazy ging besser zum Mittagessen“ oder eine andere Kombination. Das erste Beispiel ergibt ein schönes, 25 Zeichen langes Passwort und das zweite Beispiel ein ebenso gutes, 33 Zeichen langes Passwort.
Die Verwendung von Passphrasen ist generell einfacher und macht das Leben angenehmer. Jetzt stellt sich natürlich die Frage: „Wie lang sollte meine Passphrase sein?“ Normalerweise wird ein Minimum von vier Wörtern empfohlen, was dich sicherlich freuen wird. Je mehr Wörter du verwenden kannst, desto besser. Generell solltest du dir dabei eine Phrase ausdenken, die dir persönlich im Gedächtnis bleibt.
Leider lassen die meisten Websites Passwörter mit einer solchen Länge jedoch nicht zu. Zum Glück werden einige Websites langsam flexibler, und hoffentlich werden in den nächsten 5 Jahren längere Passwörter üblich werden.
Seltsame Dinge
Mit der Länge der Passwörter hängen oftmals auch die Komplexität und natürlich die Verwendung von Symbolen und anderen seltsamen Zeichen zusammen.
Zwar betonen wir an dieser Stelle, dass es auf die Länge ankommt. Das heißt jedoch nicht, dass Komplexität gar keine Rolle spielt. Leider gibt es ein paar Fehler, die einem dabei unterlaufen können und durch die das Passwort dann geknackt werden kann:
Die Verwendung desselben Zeichens zweimal und/oder hintereinander. Das kann problematisch sein, weil es sich dabei um eine gängige Praxis handelt und Brute-Forcing-Programme gerade für dieses Verhalten entwickelt wurden. Besonders problematisch sind Zeichenfolgen wie „!!!!!!“ oder „1223334444“.
Die Verwendung einer bestimmten Abfolge, z. B. nachfolgende Zeichen, denn auch dafür gibt es Programme.
Ersetzen von Buchstaben durch Symbole wie 3 für e oder 1 für l oder dergleichen. Auch dabei handelt es sich um eine gängige Vorgehensweise, die von Entschlüsselungs-Programmen berücksichtigt wird.
Social-Media-Konten nicht so sichern, als wären sie ein Bankkonto. Ernsthaft. Betrüger benötigen nur eine Handvoll Informationen über dich aus den sozialen Medien, um dich mit Social Engineering zu ködern.
Achte außerdem darauf, dass du nicht eines der beliebtesten Passwörter verwendest.
Generell solltest du eine offensichtliche Anordnung von Zeichen vermeiden. Deshalb sehen die meisten Passwörter, die mithilfe von Generatoren erstellt werden, wie eine Aneinanderreihung von Kauderwelsch aus, ohne dass darin irgendein Muster zu erkennen wäre. Das ist das sicherste Passwort, das du verwenden kannst. Allerdings kann man sich solche Passwörter nur schwer merken.
Verwende nicht für alles das gleiche Passwort
Kommen wir nun zum größten Problem von allen: Es spielt keine Rolle, wie komplex oder lang dein Passwort ist, wenn du es für mehrere verschiedene Dienste verwendest; denn dann kannst du genauso gut gar kein Passwort verwenden! (Ok, das ist ein bisschen übertrieben, aber ich hoffe, du verstehst, worauf wir an dieser Stelle hinaus wollen).
Was solltest du also tun? An diesem Punkt ist es wohl am besten, wenn du dir einen guten Passwort-Manager besorgst. Damit kannst du nicht nur lange Passwörter speichern, sondern auch für jede Website ein eigenes Passwort erstellen. Und du musst nicht einmal den Überblick behalten. Erstelle einfach ein superstarkes Passwort für deinen Passwort-Manager und schon hast du einen doppelten Schutz. Das ist ziemlich cool. Wenn du ein wenig Hilfe bei der Auswahl des richtigen Passwort-Managers für deine Zwecke brauchst, findest du hier eine Übersicht über die besten Passwort-Manager.
Kein Grund zur Panik!
Bedenke bitte unbedingt, dass du an dieser Stelle auf keinen Fall panisch werden solltest. Eine normale Website oder ein normaler Dienst wird nicht zulassen, dass sich jemand mithilfe von Brute-Forcing Zugriff auf dein Konto verschafft. Diese Attacke kann nur dann versucht werden, wenn es zu einer massiven Datenpanne kommt, was nur sehr selten passiert.
Und selbst wenn es zu einer Datenpanne käme, würde es lange dauern, bis dein Passwort entschlüsselt wäre. Bis dahin wäre die Datenpanne öffentlich bekannt geworden und du hättest Zeit gehabt, dein Passwort zu ändern.
Natürlich solltest du aufmerksam auf deine Passworthygiene achten und dieses Thema nicht ignorieren. Aber du solltest bitte auch keine Panikattacke bekommen, wenn dein Passwort nur 11 statt 12 Zeichen lang ist.