Was ist ein sicheres Passwort?

Ein sicheres Passwort ist der erste Schritt in puncto IT-Sicherheit. Schlecht gewählte Passwörter wie „Passwort2020“ oder „qwertz“ zählen zu den größten IT-Sicherheitsdefiziten. Empfehlungen, wonach ein Passwort mindestens acht Zeichen und keine gängigen Wörter enthalten darf, gelten aktuell als Standard.¹https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html.

Grundsätzlich gilt: Ein gutes Passwort ist für Menschen leicht zu merken und gleichzeitig komplex genug, um Sicherheit zu gewährleisten.

Die Länge eines Passwortes bestimmt die Sicherheit

An diesem Punkt kommen wir zu einem Missverständnis, das sich in unserem Sprachgebrauch eingeschlichen hat: es geht um den Begriff „PassWORT“. Kennwörter, die aus nur einem Wort bestehen, stellen eine fatale Sicherheitslücke dar. Mit sogenannten Wörterbuchangriffen können Angreifer diese effizient knacken und ausspähen.

Sinnvoller ist es daher, hier von „PassPHRASEN“ zu sprechen. Eine Phrase oder ein Satz besteht meist aus mehr als 32 Zeichen. Dabei gilt: Je länger ein Passwort, desto mehr Varianten muss ein Angreifer ausprobieren.²https://www.firstpost.com/tech/news-analysis/use-long-random-string-for-a-password-preferably-32-characters-long-say-experts-3689243.html

Ein Beispiel ist die Passphrase „PizzaEsseIchSonntagsNurMitSpinat“. Wir gehen davon aus, dass ein Computer 100 Billionen Kombinationen pro Sekunde ausprobiert. In diesem Fall bräuchte er mehr als 26 Billionen Trillionen Jahrhunderte, um alle möglichen Kombinationen zu testen³https://www.grc.com/haystack.html, also mehr Jahre als das Alter des Universums.⁴Bei einer Wörterbuchattacke würde sich diese Zeit verkürzen, sie wäre aber weiterhin lang genug. Es handelt sich hierbei also um eine sichere Passphrase.

Zum Vergleich: Für das achtstellige Passwort „idealist“ bräuchte ein Computer bei einer Offline-Attacke mit „nur“ hundert Billionen Kombinationen pro Sekunde insgesamt 2,17 Sekunden. Also weniger Zeit als Sie gebraucht haben, um diesen Satz zu lesen.

Bei begrenzter Zeichenanzahl randomisierte Passwörter wählen

Übrigens können Nutzer auch ein Leerzeichen im Kennwort nutzen. Erlaubt dies der Anbieter nicht, ist davon auszugehen, dass der Anbieter die Passwörter nicht besonders sicher speichert. Denn eine korrekt betriebene Passwortdatenbank kann Passwörter aller Arten und Längen abspeichern.

Das vorangegangene Beispiel veranschaulicht zudem, warum es sinnvoll ist, bei einer begrenzten Zeichenanzahl ein randomisiertes Passwort zu wählen. An dieser Stelle sei nochmal vor Umgehungsstrategien gewarnt, die gerne eingesetzt werden. Dass Passwort „Passwort!2020“ ist wesentlich einfacher zu erahnen als eine randomisierte Zeichenabfolge wie „[Ztm3L.0“.

Passwortmanager sind nützlich

Viele User benutzen häufig die gleichen oder minimal abgewandelte Kennwörter für unterschiedliche Webseiten. Also „Passwort!2020“, „Passwort2021!“ oder „PasswortHamburg2020“. Speichert auch nur ein einziger Anbieter das Passwort im Klartext ab, reicht dies aus, um das Schema zu erraten. Warum nutzen Menschen also dennoch oftmals sehr ähnliche Passwörter?

Die Antwort liegt in der Praktikabilität von leicht abgewandelten Kennwörtern. Soll sich ein User viele komplexe Passwörter für verschiedene Websiten merken, verliert er schnell den Überblick. Dabei kann die Lösung ganz einfach sein: Ein Passwortmanager.

Screenshot des Passwortmanagers KeePass (Copyright: Dominik Reichl)

Oftmals bieten Passwortmanager wie KeePass, QtPass oder Password Safe die Funktion eines Passwort-Generators an. Damit können Nutzer ein sicheres, zufälliges Passwort erzeugen. Aus dem Passwortmanager lassen sich diese Kennwörter dann ganz einfach herauskopieren. So muss man theoretisch seine Passwörter nicht mal selber kennen. Zudem spart man sich das Eingeben eines komplexen Passwortes per Hand.

Nutzer benötigen lediglich ein Masterpasswort bzw. eine Masterpassphrase zum Öffnen des Passwortmanagers. Sie müssen sich also nur ein einziges Masterkennwort merken.

Vorsicht bei gespeicherten Zugangsdaten im Browser

Bei Webseiten, die einen Login erfordern, bieten Browser oftmals die Möglichkeit, diese Zugangsdaten zu speichern. So werden beim nächsten Aufrufen der Website die Login-Daten automatisch ausgefüllt. Dies stellt allerdings ein Sicherheitsrisiko und sollte dringend vermieden werden. Denn es können Sicherheitslücken im Browser auftreten, die anderen Webseiten ermöglichen, die gespeicherten Zugangsdaten auszulesen. Ein Browser sollte daher nicht als Passwortmanager genutzt werden.

Großteil der Passwörter muss man sich nicht merken

Grundsätzlich sollten Nutzer diejenigen Passwörter, die sie direkt per Tastatur eingeben müssen, im Gedächtnis behalten. Dazu zählen das Nutzerpasswort des Rechners, das Passwort für die Festplattenverschlüsselung und das Masterpasswort für den Passwortmanager.

Ein Masterpasswort sollte entsprechend komplex sein und bestenfalls eine Passphrase enthalten. Diese Masterpassphrase können Nutzer gegebenenfalls aufschreiben und sicher (!) aufbewahren. Ob das Risiko höher ist, die Masterpassphrase aufzuschreiben oder bei Vergessen dieser Masterpassphrase alle Passwörter gleichzeitig zu verlieren, sollten Nutzer individuell abwiegen. Zusätzlich ist es empfehlenswert, regelmäßige Backups von der Datenbank des Passwortmanagers zu machen.

Ist das Arbeiten an mehreren Geräten erforderlich, lässt sich die Datenbank des Passwortmanager synchronisieren.

Darüber hinaus erhöht eine Zwei-Faktor-Authentifizierung (2FA) das Sicherheitsniveau. Dabei erhält der Nutzer eine TAN beispielsweise auf seinem Handy. Beispiele aus der Vergangenheit⁵https://www.heise.de/security/meldung/Reddit-Hacker-ueberwindet-Zwei-Faktor-Authentifizierung-4127135.html zeigen, dass Angreifer die Zwei-Faktor-Authentifizierung aushebeln oder umgehen können. Die Zwei-Faktor-Authentifizierung ist daher kein Ersatz für ein sicheres Passwort. Sie dient nur als zusätzliche Sicherheitsfunktion.

User können also schon mit wenigen, einfachen Mitteln ihre IT-Sicherheit verbessern:

1. Passphrasen statt Passwörter wählen, wenn die Passphrase im Gedächtnis aufbewahrt werden soll
2. Passwortmanager nutzen
3. Bei begrenzter Zeichenanzahl randomisierte Passwörter wählen

Trotz dieser Maßnahmen gibt es keine hundertprozentige Sicherheit, dass Angreifer nicht doch Passwörter umgehen oder an ein Passwort gelangen. Mögliche Wege, ein Passwort auszuspähen, gibt es viele. Dazu gehören zum Beispiel ein Speicherleck, eine defekte Passwortabfrage, bösartige Plugins im Browser oder unverschlüsselte Übertragung im Hotel-WLAN.

Ein sicheres Passwort ist also nur die halbe Miete, aber der erste Schritt in die richtige Richtung.

Weiterführende Informationen zur Nutzung eines Passwortmanagers:

• https://medium.com/@stuartschechter/before-you-use-a-password-manager-9f5949ccf168
• https://www.schneier.com/blog/archives/2019/02/on_the_security_1.html
• https://www.schneier.com/blog/archives/2014/09/security_of_pas.html

Sie wollen mehr über IT Security und unsere Dienstleistungen in diesem Bereich erfahren?

Besuchen Sie unsere IT Security Webseiten:
https://www.mioso.com/it-sicherheit-und-security-solutions/
https://security.mioso.com/

Oder kontaktieren Sie uns und lassen Sie sich von uns beraten! Sie erreichen uns unter 040 2286164 -24 oder unter