Inhalt:
Erst in den letzten Jahren, als sich alles mehr und mehr ins Internet verlagerte, sind die Menschen dazu übergegangen, mehr auf die Sicherheit ihrer Passwörter zu achten. Seit über einem Jahrzehnt versuchen Experten, die Menschen davon zu überzeugen, dass sie mehr für ihre Passwortsicherheit tun müssen, und hoffentlich haben die jüngsten Datenlecks die Menschen – und auch Sie – zum Umdenken gebracht.
Leider glauben die meisten Menschen, dass eine Folge von 6–8 alphanumerischen Zeichen als Passwort ausreicht, aber in Wirklichkeit ist es viel komplizierter ein wirklich sicheres Passwort zu erstellen. Die Anforderungen, die Websites an die Erstellung von Passwörtern stellen, vermitteln zudem ein falsches Gefühl von Sicherheit.
Auf die Länge kommt es an
Viele glauben, dass es bei Passwörtern vor allem auf die Komplexität ankommt. Tatsächlich ist die Länge aber viel entscheidender als die Komplexität selbst (das ist auch das Thema dieses Blogbeitrags).
Eine der gängigsten Hacking-Methoden für Passwörter ist die sogenannte „Brute-Force-Methode“. Am besten lässt es sich mit einem Zahlenschloss mit drei Ziffern vergleichen, das man ohne den richtigen Code öffnen möchte. Wahrscheinlich werden Sie am Ende jede mögliche Kombination ausprobieren, wie 001, 002, 003 usw. Genauso funktioniert auch Brute-Forcing, nur dass Cyberkriminelle die Rechenleistung von Computern nutzen können, um die Arbeit für sie zu erledigen.
Aus diesem Grund spielt die Komplexität im Vergleich zur Länge keine so große Rolle, da die Länge den Entschlüsselungsversuch durch Brute-Forcing um ein Vielfaches erschwert.
Für ein gewöhnliches 8-stelliges Passwort gibt es etwa 221 Billionen mögliche Kombinationen, was auf den ersten Blick viel erscheinen mag, aber Sie müssen bedenken, dass einige Computer mithilfe hochentwickelter Botnets 10 Milliarden Kombinationen pro Sekunde „erraten“ können. Im Grunde genommen sind es also nur ein paar Stunden Brute-Force-Angriffe, um ein gewöhnliches Passwort zu knacken.
Wie lang sollte Ihr Passwort also sein? Idealerweise sollten Sie mindestens 12 Zeichen verwenden. Bei 12 Zeichen bestehen etwas mehr als drei Sextillionen mögliche Kombinationen (das ist eine Drei mit 21 Nullen dahinter).
Mit der heutigen Technologie könnte es durchaus mehrere hundert Jahre dauern, um ein solches Passwort zu entschlüsseln. Allerdings entwickelt sich die Technologie rasend schnell weiter und die benötigte Zeit, um ein Passwort mit 12 Zeichen zu entschlüsseln, verringert sich von Tag zu Tag.
16 Zeichen sind wirklich die beste und realistischste Länge, auf die Sie sich wahrscheinlich verlassen können, wenn Sie wirklich zukunftssicher sein wollen, aber länger ist noch besser. Bei 16 Zeichen dauert es im Grunde Tausende, nicht Hunderttausende von Jahren, bis dieses Passwort geknackt wird.
Passphrasen
Seien wir ehrlich: Die meisten Menschen sind nicht in der Lage, sich 16-stellige Passwörter zu merken, insbesondere 16-stellige, einzigartige Passwörter für jede von ihnen genutzte Website. Aber es gibt eine Alternative.
Sie haben vielleicht schon einmal von Passphrasen gehört, aber im Grunde handelt es sich dabei um eine Reihe von halbwegs zufällig ausgewählten Wörtern, die man sich leichter merken kann. Zum Beispiel „Gelbe Pilze verstauben“ oder „Verrückt sollte besser zum Mittagessen gehen“ oder eine andere Kombination. Das erste Beispiel ergibt ein schönes, 22 Zeichen langes Passwort und das zweite Beispiel ein ebenso gutes, 44 Zeichen langes Passwort.
Die Verwendung von Passphrasen ist generell einfacher und macht das Leben angenehmer. Jetzt stellt sich natürlich die Frage: Jetzt stellt sich natürlich die Frage: „Wie lang sollte meine Passphrase sein?“und die gute Nachricht ist, dass in der Regel ein Minimum von vier Wörtern empfohlen wird. Je mehr Wörter Sie verwenden können, desto besser. Wählen Sie im Allgemeinen etwas aus, das Ihnen persönlich im Gedächtnis bleibt.
Allerdings gibt es ein Problem mit Passphrasen, da die meisten Websites keine Passwörter dieser Länge zulassen. Einige Websites lockern ihre Richtlinien bereits, und hoffentlich werden in den nächsten fünf Jahren längere Passwörter immer mehr zum Standard.
Seltsame Dinge
Mit der Länge der Passwörter hängen oftmals auch die Komplexität und natürlich die Verwendung von Symbolen und anderen seltsamen Zeichen zusammen.
Das bedeutet aber nicht, dass Komplexität überhaupt keine Rolle spielt. Allerdings können einige Fehler dazu führen, dass das Passwort geknackt wird:
Die Verwendung desselben Zeichens zweimal und/oder hintereinander. Dies kann problematisch sein, weil es weit verbreitet ist und Brute-Force-Programme dieses Verhalten ausnutzen. Vor allem Dinge wie „!!!!!!"oder „1223334444“.
Die Verwendung in einem bestimmten Muster, z. B. jedes zweite Zeichen, weil diese Programme auch darauf ausgelegt sind.
Ersetzen von Buchstaben durch Symbole wie 3 für e oder 1 für l oder dergleichen. Das ist auch allgemein üblich und wird von Cracking-Programmen erkannt.
Sichern Sie Ihre Social-Media-Konten, als wäre es Ihr Bankkonto. Im Ernst. Die Betrüger müssen nur ein paar Informationen aus Ihren sozialen Medien für Social Engineering abgreifen und schon sind Sie ihnen ausgeliefert.
Achten Sie auch darauf, dass Sie keine gängigen Passwörter verwenden.
Generell sollten Sie es vermeiden, Ihre Zeichen zu offensichtlich zu platzieren. Aus diesem Grund sehen die meisten mit Generatoren erstellten Passwörter wie eine Aneinanderreihung von absolutem Kauderwelsch ohne Muster aus. Das ist das sicherste mögliche Passwort, aber sicherlich nicht einfach zu merken.
Verwenden Sie nicht immer dasselbe Passwort
Das größte Problem ist jedoch, dass es egal ist, wie komplex oder lang Ihr Passwort ist, wenn Sie es für mehrere verschiedene Dienste verwenden, dann können Sie auch gleich ganz auf ein Passwort verzichten! (Ok, das ist ein bisschen übertrieben, aber ich hoffe, Sie verstehen, was ich meine).
Doch was sollten Sie tun? An diesem Punkt ist es am besten, sich einen hochwertigen Passwort-Manager zuzulegen. Damit können Sie nicht nur lange Passwörter speichern, sondern auch für jede Website ein eigenes Passwort erstellen, ohne dass Sie den Überblick verlieren. Sie müssen nur ein einziges extrem sicheres Passwort für Ihren Passwort-Manager erstellen, und schon haben Sie zwei Schutzebenen, wovon Sie nur profitieren können. Wenn Sie Hilfe bei der Auswahl des richtigen Passwort-Managers benötigen, finden Sie hier eine übersicht über die besten Passwort-Manager, die derzeit auf dem Markt sind.
Kein Grund zur Panik!
An dieser Stelle sollten Sie auf keinen Fall die Nerven verlieren oder in Panik geraten. Normalerweise ist eine Website oder ein Dienst mit einem Brute-Force-Angriff nicht zu knacken. Ein solcher Angriff wäre nur dann möglich, wenn es zu einem massiven Datenleck kommt, was eher selten passiert.
Selbst wenn es zu einen solchen Datenleck kommen sollte, würde es lange dauern, Ihr Passwort zu knacken. Bis dahin wäre das Datenleck öffentlich geworden und Sie hätten Zeit gehabt, Ihr Passwort zu ändern.
Trotzdem ist es wichtig, ein gutes Passwort zu verwenden, und das sollten Sie nicht ignorieren, aber auch nicht in Panik geraten, weil Sie ein 11-stelliges Passwort anstelle eines 12-stelligen Passworts verwenden.