Je mehr Online-Dienste man nutzt, desto mehr Passwörter braucht man für die verschiedenen Logins. Viele Leute denken sich ein mehr oder minder sicheres Passwort aus und benutzen dieses für verschiedene Dienste. Ist das sicheres Verhalten? Wie sicher ist das vermeintlich sichere Passwort überhaupt? Wie macht man es richtig? Eine Übersicht.
Eines gleich vorne weg: Ein Passwort ist nicht unbedingt sicher, nur weil es viele Zeichen hat. Benutzt man nämlich darin Namen oder Begriffe aus einem Wörterbuch, sind sie sofort nicht mehr so sicher. Denn: Passwort-Knacker nutzen aus, dass sich Menschen nicht beliebige Passwörter merken können und deshalb Muster einbauen, an die sie sich erinnern – beispielsweise Namen. Dadurch muss ein Passswort-Knacker nicht beliebige Zeichenfolgen durchprobieren, sondern geht als erstes eine Liste mit häufig benutzten Wörtern durch. Sehr oft mit Erfolg.
Wer selbst einige seiner Passwörter auf ihre Sicherheit prüfen will, findet hier eine sehr gute Seite: www.wiesicheristmeinpasswort.de. Gibt man hier ein Passwort ein, wird dieses direkt im Browser überprüft. Es wird also nicht übermittelt. Zudem gibt es gute Erklärungen, weshalb das Passwort nicht sicher ist. Man sieht auch direkt, ob das Passwort in einer Liste häufiger Passwörter aufgeführt ist, und wie lange die gängigen Algorithmen ungefähr benötigen, um das Passwort zu knacken. Selbstverständlich sind diese Angaben sehr unsicher. Aber als Anhaltspunkt sicher nicht schlecht.
Sichere Passwörter
Wie macht man es also richtig? Wie besorgt man sich sichere Passwörter. Hier einige Tipps:
- Passwörter niemals aufschreiben oder weitergeben.
- In einem Passwort sollten keine Wörter zu finden sein, die auch in einem Wörterbuch stehen.
- Sonderzeichen erhöhen die Sicherheit.
- Für jeden Dienst ein anderes Passwort benützen
- Mindestens 8 Zeichen benützen
- Passwörter regelmässig wechseln
- Alte Passwörter nicht mehr verwenden.
Das klingt alles schön und gut. Aber wer kann sich Dutzende Passwörter mit Sonderzeichen merken? Wahrscheinlich niemand. Deshalb gibt es ein Paar Tricks, die man anwenden kann.
Satzmethode:
Man merkt sich einen ganzen Satz und benützt danach die Anfangs-Buchstaben der verschiedenen Worte. Zum Beispiel wird aus „Der Bär tanzt nicht gern im Abend-Kleid“ wird zum Passwort „DBtngiAK“. Mit dieser Methode bekommt man recht gute Passwörter, die man sich einfach merken kann.
Seitenname benützen
Benötigt man ein Passwort zum Beispiel für Facebook, so baut man den Begriff „facebook“ irgendwie in das Passwort ein. Beispielsweise indem man die Satzmethode verwendet für den Beginn des Passworts: DBtngiAK*facebook.
Passwort wechseln
Mit der Kombination der obigen Methoden ist es auch einfach möglich, ein Passwort zu wechseln. Man merkt sich nämlich nur einen neuen Satz und kann damit den ersten Teil eines Passwortes austauschen.
Passwort Manager
Wer sich diese Mühe nicht machen will, benützt am besten einen Passwort-Manager. Diese haben den Vorteil, dass man sich beliebige sichere Passwörter, die man sich nicht zu merken braucht, erzeugen lassen kann. Die meisten Passwort-Manager bieten auch eine Autoform-Funktion an, die auf Webseiten das Passwort automatisch einfüllt. Gute Programme bieten zudem plattformübergreifenden Zugriff an, so dass von jedem Gerät aus auf die gespeicherten Passwörter zugegriffen werden kann.
Eine gute Übersicht zum Thema bieten folgende Artikel:
1. KeePass
Ich selbst nutze seit Jahren KeePass (
keepass.info/), eine Open Source Lösung. Der grösste Vorteil für mich: Ich kann meine Passwort-Sammlung über FTP abrufen. Damit habe ich volle Kontrolle, weil die Passwörter auf einem Webserver liegen, zu dem nur ich Zugang habe.
Ein weiterer wichtiger Punkt: KeePass gibt es auch für Android (
keepass2android.codeplex.com). Auch mit dieser Software greife ich über FTP auf die Passwort-Sammlung zu.
Über KeePass habe ich schon vor einem Jahr geschrieben:
„Sicherer Safe für alle Passwörter“ (vom 25.5.2014)
2. Roboform
In den meistens Tests und Bestenlisten ist RoboForm (
www.roboform.com) sehr prominent aufgeführt. Dies ist eine kommerzielle Software und kostet 17.95 € pro Jahr. Allerdings bietet der Hersteller für Studierende und Lehrende die Software gratis an. Bedingung: Eine gültige Email-Adresse bei einem Bildungsinstitut.
Die Stärke von Roboform ist seine Plattformunabhängigkeit. Die Passwörter werden auf einen Server synchronisiert. Auf diesen kann von überall und von jeder Plattform mit einem Masterpasswort – das nirgends gespeichert wird – zugegriffen werden. Das ist aber auch grad der Nachteil. Denn die Daten sind alle auf einem Server in Amerika gespeichert. Roboform behauptet zwar, das Masterpasswort nicht zu speichern, aber ob das die Daten wirklich sicher macht, bleibt zu bezweifeln.
Fazit
Passwort-Sicherheit ist ein unangenehmes Thema, weil es einem selbst viel Aufwand und Disziplin abverlangt. Es ist eines über die NSA zu schimpfen und sich sorgen um die Sicherheit seiner Daten in einer Cloud zu machen. Das andere ist aber, selbst dafür zu sorgen, dass es Hacker nicht so einfach haben, sich Zugang zu einem Dienst zu verschaffen.
Dies erreicht man nur, indem man sichere Passwörter verwendet, diese regelmässig wechselt und sie an einem sicheren Ort aufbewahrt. Wer all dies beherzigen will, kommt wahrscheinlich nicht um einen Passwort-Manager herum.
Das Thema eignet sich übrigens auch sehr gut für eine Unterrichtseinheit. Denn die Schülerinnen und Schüler sind sich dieses Themas meist noch viel weniger bewusst als die Lehrenden.