Sichere Passwörter erstellen, merken und sicher halten

Tipps zum Erstellen eines sicheren Passworts

Vermeiden Sie Wiederholungen oder Tastaturmuster

Von qwertz bis 12345 sind alles andere als sicheren Passwörter.

Vermeiden Sie Wörter

Sie sollten unbedingt auf einfache Wörter verzichten, die sich auch in jedem Wörterbuch einfach nachschlagen lassen.

Das gilt auch für Namen und Geburtsdaten, die sich allzu leicht auf Sie oder Ihr Umfeld beziehen lassen.

Tipp #1 Buchstaben durch Platzhalter ersetzen

Buchstaben gegen Platzhalter als Zahlen und Sonderzeichen ersetzen ist eine gängige Methode und erfüllt auch alle gängigen Komplexitätsanforderungen von Passworteingaben.

Beispiele:

1. Da2-i2t-ein-gute2-Pa22w0rt (s=2 und o=0)

2. E$-g3ht-j3d0ch-n0chb3$$3r (s=$, e=3, o=0)

Diese Methode ist aber mittlerweile auch den Angreifern bekannt und zu entsprechende Ähnlichkeiten lassen, sich schnell systematisch mit einem https://de.wikipedia.org/wiki/W%C3%B6rterbuchangriff kombinieren.

Tipp #2 Wörterzusammensetzen

Ein Passwort wie Geboreninbernimjahrneunzehnziebzig bietet ebenfalls einen guten Schutz gegen einen https://de.wikipedia.org/wiki/W%C3%B6rterbuchangriff.

Beispiele:

• daSiSteinSehrSichereSpaSSwort (s-->S)

• `da$kannmannn0chaufdi3spitz3tr3ib3n` (s=$, o=0, e=3)

Abhängig von der Komplexität könnte – rein theoretisch – auch ein Passwort mit dieser Methode erraten werden, da es sich hierbei um eine Zusammenstellung von Wörtern und realen Informationen handelt.

Diese Passwörter lassen sich aber nur schwer merken und verleiten dazu, weniger Komplexität zu verwenden.

Grossbuchstaben

Ein sicheres Passwort sollte sowohl Gross- als auch Kleinbuchstaben enthalten.

Umlaute vermeiden

Umlaute sollten Sie hingegen vermeiden. Sollten Sie einmal eine Tastatur im Ausland nutzen wollen, kann dessen Tastatur diese evtl. vermissen lassen, wodurch die Passworteingabe erheblich erschwert wäre.

In seltenen Fällen kann auch die Situation eintreten, dass die Eingabemaske am Bildschirm keine Umlaute anbietet.

Variieren

Neben Buchstaben sollten auch immer Zahlen und insbesondere Sonderzeichen wie /[(%&§$_:?!+#)] aufgenommen werden. Die Komplexität und damit die Anzahl möglicher Kombinationen steigt exponentiell.

Passwortlänge

Die Zahlen der folgenden Tabelle stammt aus einem Artikel von Dirk Fox. Sie stammen aus dem 2009 und dürften mittlerweile mit zunehmender Rechenleistung deutlich tiefer liegen.

Die Services Informatik setzen eine Passwortlänge von mindestens 8 Zeichen voraus.

Das Amt für Informatik und Organisation des Kantons Bern (KAIO) sogar eine Passwortlänge von mindestens 10 Zeichen.

Kein Grund zur Panik! Erwähnt werden muss auch, dass bei einem Login wie bei Microsoft und SWITCH zusätzliche Sicherheitsmechanismen eine grosse Anzahl an Versuchen unterbindet. Die gängigste Methode ist die Passwortsperre nach einer bestimmten Anzahl Fehlversuchen innerhalb eines bestimmten Zeitraums.

Merkhilfen – Wie soll man sich nur verschiedene Passwörter merken!?

Sätze als Grundlage

Sätze als Grundlage sind bewährt und können sehr sicher sein. Der Vorteil dabei ist, dass man sich nur ein Bild und eine Strategie merken muss.

• Ein Bild und ein Satz dazu

• Eine Strategie, welche Buchstaben durch Zahlen und Sonderzeichen ersetzt werden.

Ein paar Beispiele:

• Meine Katze ist 2 Jahre alt und heisst Tiger → MKi2Ja&hT

  • und → &

• In unserer Strasse stehen 3 Einfamilienhäuser und 2 Wohnblocks → IuSs3E&2W

  • und → &

• Ein kleiner Hund tanzt auf 2 Beinen und dreht sich im Kreis → 3kHt@2Bud$iK

  • E → 3

  • a → @

  • s → $

• Meine Schuhgrösse ist 35 und ich bin 137 Gross → M$i37&ib137#

  • S → $

  • und → &

  • G → # (Gartenzaun als Eselsbrücke)

• PHBern Microsoft Account – Ich höre gerne Hall & Oates → PMA-1hgH&0
  Der Merksatz kann zusätzlich den Account einbeziehen und damit die Länge des Satzes auf einfache Weise verlängern.

  • I → 1

  • O → 0

Für mehrere Passwörter kann man sich eine gemeinsame Strategie merken.

Sie sollten trotzdem unbedingt vermeiden, diese Sätze aufzuschreiben und mitzuführen. Nur die fehlende Strategie dazu ist kein grosser Schutz vor Diebstahl. Ein geübter Angreifer im Besitz dieser Sätze kann – rein theoretisch – abhängig ggf. von der Ähnlichkeit der Ersetzungen, in kürzester Zeit methodisch alle möglichen Varianten erzeugen und diese sogar auf mehreren Accounts ausprobieren.

Eine Passwortmanager-Software

Wenn man sich nicht hunderte von Passwörtern merken will und kann, dann bleibt immer noch ein Passwortmanager – Ein Software-Tresor für Passwörter und andere sensible Informationen.

Die Vorteile

• Sie müssen sich in der Regel nur noch ein Masterpasswort merken – dieses sollte jedoch besonders stark sein.

• Die gespeicherten Passwörter werden zusätzlich durch Verschlüsselung durch Diebstahl geschützt, was eine Textdatei oder ein Notizzettel nicht ist.

• Funktionen helfen beim Erstellen von starken Passwörtern und auch beim Einfügen. Sie können für jeden Account und Dienst ein individuelles Passwort erstellen.

• Passwortmanager sind in allen gängigen Browsern, für jedes Betriebssystem in der Cloud oder lokal verfügbar.

Die Qual der Wahl

Der Passwortmanager muss zu ihrem Nutzungsverhalten passen.

• Ein Passwortmanager im Browser ist denkbar unbrauchbar, wenn man ggf. das Login für sein Notebook vergessen hat.

• Ein Passwortmanager in der Cloud ist nicht zugänglich, wenn man ggf. gerade mal kein Internet hat.

Informieren sie sich sorgfältig über gängige Passwortmanager und vergleichen sie die Vor- und Nachteile sorgfältig.

Fragen sie auch in ihrem Umfeld nach Erfahrungen und Empfehlungen.

• Lesen sie nicht nur die Produktbeschreibung der Anbieter.

• Suchen und vergleichen sie auch Reviews und Bewertungen.

Die Risiken

• Ein zu schwaches Masterpasswort oder gar gestohlen, kann sehr rasch Zugriff auf alle Passwörter verschaffen.

  • Viele Anbieter binden das Masterpasswort deshalb an einen zweiten Authentifizierungs-Faktor

• Durch Vergessen des Passworts kann man sich ggf. von allen anderen Passwörtern endgültig ausschliessen.

  • Notieren sich das Masterpasswort und legen sie es an einem sehr sicheren Ort, geschützt vor Diebstahl und äusseren Einwirkungen, wie ein Tresor ab. So machen sie es auch möglich, dass im schlimmsten Fall ihre Angehörigen Zugriff auf ihre Passwörter haben.

• Cloud Dienstleister können auch gehackt werden

  • Werden die Passwörter sicher verschlüsselt?

  • Der Dienstleister sollte kein Zweitschlüssel haben.

Passwort generieren lassen

Wenn man schlecht ist in Passwörter suchen, dann kann ein Passwort Generator helfen.

Die folgenden Onlinedienste generieren starke Passwörter oder zufällig ein paar Wörter, welche man dann nur noch mit Trennzeichen und Ersetzungen als Passwort verwenden kann.

• https://bitwarden.com/password-generator/

• https://1password.com/password-generator/

• https://preshing.com/20110811/xkcd-password-generator/

Quellen und weiterführende Links

• https://www.secorvo.de/publikationen/passwortlaengen-fox-2009.pdf

• https://www.datenschutz.org/sicheres-passwort/#7-tricks-fuer-ein-sicheres-passwort

• https://support.mozilla.org/de/kb/Passwoerter-mit-erhoehter-Sicherheit-erstellen