Was ein sicheres Passwort ist: Wa$ 31n 51ch3r3$ Pa5$w0r7 157 (Spiegel Online, 25.1.2010)

Was ein sicheres Passwort ist

Wa$ 31n 51ch3r3$ Pa5$w0r7 157

„Passwort“, „123456“ oder einfach „geheim“: Solche Passwörter liegen nahe, sind extrem beliebt – und extrem unsicher. Dabei wäre es so einfach, bessere zu finden. SPIEGEL ONLINE zeigt, wie.

Spiegel Online, 25.1.2010

Raten Sie: Wie lautet das beliebteste Passwort der 32 Millionen Nutzer des Facebook-Dienstleisters RockYou?

Antwort: 123456.

Knapp drei Millionen Nutzer haben mit dieser recht naheliegenden Zahlenkombination den Zugang zu ihrem Fotoarchiv gesichert. Auf den folgenden Plätzen: 12345, 123456789, Password und iloveyou. Das haben die Mitarbeiter des US-Sicherheitsdienstleisters Imperva bei der Analyse der Passwörter entdeckt, die nach einem Hack im Dezember im Web kursierten.

Vermutlich werden einige von Ihnen ähnliche Passwörter bei anderen Diensten nutzen, ob Facebook, E-Mail oder Login für Arbeits- und Heimcomputer. Spammer und andere Cyberkriminelle freut das. Denn diese Codes liegen so nahe, dass jeder Cyberkriminelle sie im Standard-Wörterbuch für Passwortattacken hat (übrigens: Zur Unterscheidung von Worten und Wörtern lesen Sie bitte diesen Zwiebelfisch).

Überhaupt: Jedes Passwort, das in einem Wörterbuch zu finden ist, finden Hacker mit schneller, aber bezahlbarer Hardware in wenigen Minuten. Und kennt ein Krimineller ein Passwort, kann er bei vielen Nutzern auch andere Accounts übernehmen. Schließlich nutzen sehr viele Anwender überall im Web dasselbe Passwort.

Besser ist ein kompliziertes, unaussprechbares Passwort für jeden Dienst. Aber wie soll man sich das merken?

Es gibt ein paar Methoden, mit denen das klappt. Absoluten Schutz bietet zwar keine – man muss sich entscheiden, wie man Sicherheit und Benutzbarkeit für sich abwägt, welche Methode man wählt und wie oft man die Passwörter wechselt. Eines ist aber klar: Jedes der folgenden Systeme ist sicherer als 123456.

SMS-Schutz, Grundpasswort mit Sonderzeichen und Zentralarchive – SPIEGEL ONLINE sagt Ihnen, wie sie ein richtig gutes Passwortsystem finden:

Zusatzschutz nutzen, wo immer man kann

Bevor man sich ein gutes Passwortsystem überlegt, lassen sich die kritischen und von Millionen Deutschen genutzten Dienste Ebay und Paypal mit einem kostenlosen, aber kaum bekannten Angebot zusätzlich sichern: Ein Paypal-Konto lässt sich um einem SMS-Sicherheitsschlüssel ergänzen.

Man gibt dem Zahlungsabwickler seine Mobilnummer. Nach der Freischaltung wird bei jedem Paypal-Login nach der Passworteingabe eine SMS mit einem sechsstelligen Zugangscode an die Nummer geschickt. Die ist eine Minute lang gültig. Erst wenn man die Ziffernfolge eingibt, hat man Zugriff aufs Paypal-Konto.

Einen erweiterten Schutz bietet der Ebay-Sicherheitsschlüssel. Dieser kleine Zifferngenerator für die Geldbörse berechnet eigenständig die sechsstelligen Sicherheitscodes. Anders als beim SMS-Dienst kann man diese auch fürs Anmelden beim normalen Ebay-Account nutzen.

Der Vorteil liegt auf der Hand: Selbst wenn das Paypal- oder Ebay-Passwort per Phishing oder einen anderen Spähangriff in die Hände Krimineller geraten ist, können sie die Accounts nicht so einfach übernehmen – dafür wäre schon eine erheblich komplexere Infrastruktur nötig, bei der Passwort- und Pin-Eingaben auf fingierten Seiten unmittelbar zur Übernahme der Konten genutzt werden.

Obwohl der SMS-Dienst kostenlos ist und der Code-Generator nur fünf Euro kostet, sind diese Dienste wenig bekannt. Bequemer kann man den Schutz eines Paypal- und Ebay-Kontos aber kaum steigern.

Ein sicheres Grundpasswort erfinden

Egal, für welches Passwortsystem man sich entscheidet: Kern des Geheimworts für Seiten sollte unbedingt

  • eine nicht im Wörterbuch zu findende Zeichenfolge sein,
  • mit ein paar Sonderzeichen und Ziffern versehen,
  • außerdem mindestens zehn Zeichen lang ist
  • und nicht – mit ein bisschen Wissen über den Nutzer – leicht zu erraten.

Dieses Grundpasswort gilt für Internetdienste, denen man auch seine Bank- und Kreditkartendaten anvertraut, also Amazon, Ebay und so weiter.

Wie sieht so ein Geheimwort aus? Und wie kann man sich das merken? Vielleicht wählt man ein Gericht aus der Kindheit, den Namen des ersten Haustiers oder sonst ein Detail, das in keinem Profil in einem sozialen Netzwerk zu finden ist – und wandelt die Zeichenfolge mit naheliegenden Sonderzeichen ab. Aus „Haferbrei“ wird dann zum Beispiel das Grundpasswort „ha7erbre!#“. Ein f wird da zur 7, ein i zum !# – man kann aber auch das i zur 1 machen und das e zur 3. Wenn man sich ein solches System erst mal überlegt hat, hat man es sich in der Regel auch gleich gemerkt. Und für Außenstehende ist es schwer zu knacken.

Oder man nimmt den Refrain eines Songs und wandelt die Anfangbuchstaben entsprechend ab. Aus „We could be heroes just for one day“ von David Bowie wird zum Beispiel „wCbH7f0D#“. Beachten Sie in dem Beispiel die abwechselnde Groß- und Kleinschreibung der Buchstaben – das hilft auch.

Im Internet gibt es viele Vorschläge für Bildungsgesetze solcher Passworte; googeln Sie einfach danach. Man kann sich von anderen Seiten inspirieren lassen und ein eigenes entwickeln – wobei man immer daran denken sollte, dass es keine offenkundige Beziehung zum Nutzer haben sollte, die beim Erraten hilft.

Nur Achtung: Anführungsstriche und das &-Zeichen sollte man bei solchen Passwörtern vermeiden, weil sie in einigen Internetformularen Probleme bereiten.

Passwörter nach Vertrauen abstufen

Nun haben Sie also ein gutes Grundpasswort. Leider ist ein Nebenpasswort ratsam – für alle Dienste, zu denen Ihr Vertrauen nicht ganz so groß ist, dass Sie ihnen Kreditkartendaten anvertrauen wollen.

Diese Trennungslinie ist als Faustregel ganz brauchbar, um zu unterscheiden, bei welchem Angebot man welches Passwort nutzt:

  • das eine beim Login am Heimcomputer, bei Ebay, Amazon, Paypal, iTunes, Google (Checkout) und verwandten Angeboten,
  • das andere für Web-Foren, Mailinglisten und derlei Angebote.

Zwei Grundpasswörter, die nach der Haferbrei-Regel („ha7erbre!#“) entstanden sind, kann man sich ganz gut merken.

Und vor allem kann man sicher sein: Wenn ein nicht übermäßig gesicherter Dienst wie Rockyou gehackt wird, dann wird niemand einfach so aus dem dort benutzten Passwort das eigene iTunes-Login erraten können.

Legeregel schafft ein Passwort für jeden Dienst

Nun haben Sie zwei nach Vertrauen abgestufte Passwörter. Jetzt bauen Sie die beiden aus – Sie schneiden sie auf die jeweilige Internetseiten zu, auf denen Sie sich damit anmelden wollen.

Es ist nicht ratsam, eines der beiden Passwörter einfach so ohne Anpassung zu verwenden. Denn wird einmal die Passwortliste eines Anbieters geknackt, können Cybergangster schnell versuchen, mit diesem Passwort und der zugehörigen E-Mail-Adresse mögliche Zugänge bei anderen Diensten zu übernehmen.

Erweitern Sie Ihr Basispasswort einfach mit Sonderzeichen und derlei Sperenzchen – der Praktikabilität halber mit Buchstaben, die eine Ähnlichkeit mit dem Namen des jeweiligen Dienstes haben.

Ein Beispiel: Das aus dem Grundpasswort ha7erbre!# und dem Dienst-Anhängsel für Facebook konstruierte Passwort lautet ha7erbre!#fcbk. Sie sehen, da wurden einfach alle Vokale aus „Facebook“ entfernt – schon hat man „fcbk“.

Die Schwäche einer solchen Legeregel ist offensichtlich: Wenn ein Cybergangster ein derart abgewandeltes Passwort sieht, dürfte er schnell dahinterkommen, wie die Varianten für Ebay und Amazon lauten könnten. Sicherheitsexperten wie der Dresdner Informatikprofessor Andres Pfitzmann raten daher von einer solchen Legeregel ab – und empfehlen für jeden Dienst ein eigenes Passwort ohne jede Verbindung zum anderen. „Wer so ein Bildungsgesetz vermutet, wird ähnliche Passworte probieren“, sagt Pfitzmann – „und dabei wird er dann häufig nach nicht allzu vielen Versuchen Erfolg haben.“

Jeder Nutzer sollte hier also für sich selbst Sicherheit und Praktikabilität abwägen. Die Legeregel für dienstspezifische Anhängsel schützt nicht vor gezielten Hacks – bringt aber bei einem Sicherheitsleck zumindest einen Zeitgewinn, weil Passwort-Knackprogramme mit dem erbeuteten Code nicht ohne weiteres andere Zugänge kapern können.

Datenübertragung verschlüsseln!

Das beste Passwort hilft nichts, wenn man es einfach mitlesen kann – und dafür gibt es perfide Schnüffelprogramme. Gegen sogenannte Keylogger auf dem eigenen Computer, die jede Eingabe protokollieren, muss man sich deshalb absichern. Regelmäßige Softwareupdates und ein Virenscanner mit aktuellen Signaturen sind da unerlässlich.

Außerdem sollte man unterwegs beim Nutzen fremder Netzwerke sehr skeptisch sein, wo man da gerade sein Passwort eingibt. Wer sich in ein fremdes W-Lan einwählt, sollte beim Einloggen bei Webdiensten zumindest darauf achten, dass die Verbindung mit dem Server verschlüsselt ist – und die Anmeldung nicht im Klartext von einem Mitlauscher abgegriffen werden kann.

Sie erkennen verschlüsselte Seiten daran, dass ihre Webadressen mit https beginnen. Wenn dies der Fall ist, kann man relativ sicher sein, dass die Verbindung verschlüsselt ist. Achten Sie darauf, dass Sie nach dem Einloggen auch auf eine https-Seite gelangen. Vor dem Nutzen fremder W-Lans sollten Sie das am besten daheim ausprobieren.

Beim Einloggen auf Web-Seiten im Internetcafé sind Sie dagegen völlig den Betreibern des Ladens ausgeliefert. Was Ihre Rechner protokollieren und was Sie mit diesen Daten tun, kann man nicht kontrollieren. Daher ist zu empfehlen: Wenn man Internetcafés nutzt, sollte man zum Beispiel eine eigene Mailadresse für den Urlaub einrichten, auf dem man sich seinen normalen Mailverkehr weiterleiten lässt. (Wohlgemerkt auch mit eigenem Passwort!) Wenn diese Adresse gehackt wird, ist der Schaden nicht ganz so groß.

Wie oft ändern?

Auch hier muss jeder Nutzer selbst abwägen, wie viel Sicherheit er haben will und wie leicht die Anwendung sein soll. Wer jeden Monat alle Passwörter neu erfindet, muss sich viel merken und immer mit der Versuchung kämpfen, die Passwörter irgendwo zu notieren.

Die zwei Grundregeln, wann man man ein Passwort wechseln sollte:

  • wenn man ein schlechtes Gefühl hat, also zum Beispiel ein offenes, unbekanntes W-Lan genutzt hat,
  • außerdem ab und an ohne konkreten Anlass zur Sorge.

„Ob man sie nun nie oder nach jedem Gebrauch ändert, oder irgendwo dazwischen – darüber kann man ewig diskutieren“, sagt Pfitzmann. Er selbst ändert seine Passwörter „alle paar Jahre“. Er weist aber darauf hin, dass er kein Electronic Banking macht: „Sonst würde ich vermutlich zumindest manche öfter ändern.“