Goldene Regeln für sichere Passwörter

Die Security-Spezialisten von Securenvoy geben Tipps, die bei der Erstellung sicherer Passwörter helfen. Neben zu unsicheren Passwörtern setzt ein Großteil der User dasselbe Passwort für mehrere Konten ein. Das ist riskant: Hat ein Hacker die Kombination geknackt, kann er auf alle weiteren Accounts, die mit diesem Passwort gesichert sind, zugreifen.

Damit Passwörter möglichst resistent, aber dennoch einfach zu merken sind, empfiehlt sich eine Kombinationslösung. Dabei besteht das Passwort aus zwei Teilen: Einen Part denkt sich der User selbst aus, zum Beispiel „M!7n“. Dieser Teil besteht aus mindestens vier Buchstaben, Sonderzeichen und Zahlen. Auch die Abkürzung eines Satzes ist möglich, beispielsweise für „Große Ferien im zweiten Halbjahr!“: GFei2.Hj.

Der zweite Part des Passwortes bezieht sich auf die Website, für die der User den Login einrichtet. Dabei ist es wichtig, den Namen des jeweiligen Shops nicht zu erwähnen, denn dies wäre bereits ein konkreter Hinweis. Stattdessen sollte der zweite Passwortteil mit der entsprechenden Site auf bestimmte Art zusammenhängen. Für einen Bekleidungs-Onlineshop könnte das zum Beispiel „1A_L00K“ oder dergleichen sein. Das fertige Passwort könnte schließlich „GFei2.Hj!1A_L00K“ lauten.

Diese Kombinationslösung ähnelt dem Funktionsprinzip der Zwei-Faktor-Identifizierung. Sie ermöglicht die zweifelsfreie Authentifizierung mittels zweier Faktoren: Im Beispiel sind das der ausgedachte Teil „GFei2.Hj!“ sowie der an die jeweilige Site angelehnte Part, hier „1A_L00K“. Erst die Verbindung beider Teile ermöglicht den Login.

Aus diesem Grunde ist es auch kein Problem, wenn sich der Nutzer den Website-spezifischen Part als Gedächtnisstütze notiert: Denn ohne seinen individuellen Teil schlägt das Einloggen auf jeden Fall fehl. Als „digitale Erinnerung“ eignet sich zu Beispiel die Lösung Softtoken von Securenvoy. Hier können User den komplexen Teil ihres Passwortes hinterlegen und sich bei Bedarf per SMS auf ihr Mobilgerät schicken lassen.

Mittels der kombinierten Passworteinrichtung verhindern User, dass Hacker allzu leicht Passwörter knacken können. Denn mittlerweile nutzen Internetkriminelle vermehrt soziale Netzwerke, um Informationen über potenzielle Opfer zu sammeln und diese zum Hacken von Logins zu verwenden. So kann es passieren, dass der Zugang zum Online-Banking-Konto (geschützt mit dem Mädchennamen und dem Geburtsdatum der Ehefrau) entschlüsselt wird, weil der Cybergangster diese Daten gesammelt und als Passwort ausprobiert hat. Auch die Variante mit Passwörtern wie „1234“ oder „password“ ist zwar immer noch beliebt, aber hochriskant, weil leicht herauszukriegen.

Meist starten Hacker allerdings sogenannte Brute-Force-Attacken über automatische Programme, die die gebräuchlichsten Wörter der größten Sprachen analysiert oder alle möglichen Buchstabenkombinationen ausrechnen. Aktuelle Hacker-Tools können 100 Millionen Überprüfungen pro Sekunde ausführen, was bedeutet, das ein Passwort mit vier Stellen bereits in rund 0,16 Sekunden geknackt werden kann. Hingegen benötigen die Datendiebe für ein Passwort mit acht Stellen bereits bis zu 32 Tage, um es zu entschlüsseln.