So erstellen Sie Passwörter, die Hacker verzweifeln lassen
Wie erstellt man ein sicheres Passwort?

Nahezu jedes Benutzerkonto, das man bei Internet-Diensten nutzen möchte, verlangt für Registrierung und Anmeldung die E-Mail Adresse und ein selbst gewähltes Passwort.
Die E-Mail-Adresse ist mehr oder weniger öffentlich - das Passwort ist also der einzige Faktor, der vor unberechtigtem Zugang schützt. Wie erstellt man ein sicheres Passwort?
Zuerst einmal sollte man sich bewusst machen, dass man bei jeder Registrierung sein Passwort jemand anderem (nämlich dem Betreiber des Dienstes, bei dem man sich gerade registriert) zusendet - und zwar unverschlüsselt. Der Betreiber des Dienstes kann dann - für Sie völlig intransparent - entscheiden, wie er das Passwort speichert: Unverschlüsselt im Klartext? Verschlüsselt, aber wie sicher? Es gibt dazu keine international gültige Vorgabe, das kann der Online-Shop-Anbieter Ihrer Wahl machen wie er selbst das richtig findet. Wenn er sich entscheidet, dass das Verkaufen der Anmeldedaten eigentlich viel einträglicher als der Verkauf von Waren ist, dann ist das eben so.
Damit sollte schon mal sehr klar sein:
Verwenden Sie NIEMALS das selbe Passwort in mehreren Diensten!
Weil: Wenn dann die Anmeldedaten für EINEN Dienst in falsche Hände geraten, dann ist das für ALLE Ihre Benutzerkonten so. Unschön, lesen Sie dazu gerne meinen Artikel zum Identitätsdiebstahl im Netz.
Wenn Angreifer ein Passwort knacken wollen, dann ist das ein rechenintensiver und zeitaufwändiger Prozess, das nervt diese Leute erheblich, weil sie effizient arbeiten müssen. Sie werden also diesen Prozess mit Passwörtern beginnen, die häufig verwendet werden. Tastaturkombinationen wie "qwertzui" oder "asdfghjk" - alles Tasten, die auf einer Tastatur nebeneinander liegen. Zahlenkombinationen wie "12345678" oder "11111111". Oder auch alle Zahlenkombinationen, die in Geburtsdaten möglich sind: "20032002" (Datum: 20.03.2002) im Gegensatz zu "32132122" (Datum: 32.13.2122 gibt es nicht).
Im nächsten Schritt versuchen Angreifer, gängige Passwortlisten zu prüfen. Das sind kombinierte Listen von Passwörtern aus Hacks in der Vergangenheit, kann man sich z.B. unter SecLists öffentlich ansehen, hier als Beispiel die Top 1000 Passwörter .
Damit ist Passwortregel 2 klar:
Verwenden Sie NIEMALS ein Datum, nebeneinanderliegende Tasten oder einfache Passwörter wie "password" oder "iloveyou" oder Vornamen. Auch Kombinationen davon oder nur das Anhängen einer Jahreszahl sind unsicher.
So, jetzt wird's aber schon eng bei der Auswahl eines Passwortes, hm?
Angreifer müssen ab hier wirklich das Passwort entschlüsseln - und da spielen Länge und Komplexität eine entscheidende Rolle: Je länger das Passwort ist und je mehr Zeichenarten (Groß-, Kleinschreibung, Sonderzeichen, Zahlen) es enthält, desto länger dauert es, das Passwort zu entschlüsseln. Je länger so etwas dauert, desto weniger attraktiv ist es für Angreifer, denn die müssen effizient arbeiten und werden sich auf schwache Passwörter konzentrieren.
Aktuelle Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik: Mindestens 8 Zeichen bei Verwendung von 4 Zeichenarten, ansonsten 25 Zeichen Länge. Puh, heftig.
Dabei lässt diese Empfehlung leider ausser Acht, das sich die verfügbare Rechenleistung für das Entschlüsseln von Passwörtern in den nächsten Jahren deutlich vergrössern wird, ist also eher das Minimum. Deutlich längere Passwörter sind also angebracht.
Bis vor Kurzem wurde die Empfehlung gegeben, man möge sich doch einen Satz oder ein Wortfolge überlegen, z.B. die Namen der letzten Haustiere
"SusyCleoCäsar" und dann Zeichen durch ein Sonderzeichen zu ersetzen, "$u$yCleoCä$sar". Leicht merkbar, super Passwort - 14 Zeichen lang, mit Groß- und Kleinbuchstaben und Sonderzeichen.
Aber man sollte sein Passwort ja nicht mehrfach verwenden (siehe Passwortregel 1 weiter oben).
Daher die Idee: Man könne doch einfach dieses Passwortschema um Daten des jeweils verwendeten Dienstes ergänzen: Registrierung bei FacebooK: "F$u$yCleoCä$sarK" oder GooglE: "G$u$yCleoCä$sarE".
Sieht erstmal nach einem Top-Passwort aus. Problem nur: Mit plötzlich allgemein verfügbarer künstlicher Intelligenz sind solche Schemata in Minuten auflösbar und damit unsicher.
Daraus folgt Passwortregel 3:
Verwenden Sie kein Passwortschema.
So, und jetzt? Wenn nicht mal mehr das sicher ist?
Es bleibt nur eines: Sie müssen für jeden Dienst, bei dem Sie sich registrieren, ein eigenes, komplexes, völlig zufälliges Passwort verwenden. Es sollte Klein- und Großbuchstaben, Zahlen und Sonderzeichen enthalten und mindestens 10 Zeichen, besser wesentlich mehr lang sein - die Länge ist aber fast schon egal, denn Sie werden es sich idealerweise ohnehin nicht merken können.
Hat mehr als 10 Zeichen, ideal wären mehr als 20.
Besteht aus zufälligen Gr0ß- und Kleinbuchstaben und Zahlen und Sonderzeichen.
Wird nicht mehrfach verwendet.
"afH95zd/sfsfj&sdsdk20Jsd345hfsh/jd'dJdHMB" ist ein gutes Passwort, das nach aktuellen Stand der Technik nicht in vernünftiger Zeit zu entschlüsseln ist.
Ich höre Sie: "Aber da ist doch nicht praktikabel!". Stimmt, da bin ich absolut bei Ihnen - so ein Passwort werden Sie sich nicht merken können.
Deswegen sehen wir uns im nächsten Beitrag an, wie man Passwörter sicher speichern kann.
Weitere Informationen zum Thema Passwörter vom Bundesamt für Sicherheit in der Informationstechnik:
Faktenblatt zu sicheren Passwörtern
🔐 Zugang zu mehr Wissen?
Abonniere jetzt ZurSicherheit, um keinen Beitrag zu verpassen und aktuelle IT-Sicherheitstipps direkt zu erhalten.
Jetzt kostenlos abonnieren