Tipps für ein sicheres, aber einfaches Passwort

Der Grund für den zu leichtfertigen Umgang mit den eigenen Passwörtern und dafür, dass bei Smartphones zum Teil ganz darauf verzichtet wird, liegt meist in der Unwissenheit der User. Manche denken sich sicherlich, dass niemand ihre Daten für so wichtig hält, dass er Stunden oder Tage damit verbringt, viele Kombinationen durchzugehen. Den Usern ist häufig nicht klar, dass Opfer häufig nicht gezielt sondern durch Zufall ausgewählt werden.

Man sollte aber wissen, dass Hacker in den meisten Fällen nicht einfach versuchen ein Konto gezielt zu knacken. Hack-Experte und wissenschaftlicher Mitarbeiter am Institut für Internet Sicherheit der Westfälischen Hochschule Frank Timmermann gibt hierzu zu bedenken: „In der Regel wird nicht gezielt ein System angegriffen, sondern es wird versucht viele Systeme gleichzeitig anzugreifen.“ Außerdem wissen viele PC-Nutzer nicht, dass kaum ein Hacker von Hand Kombinationen durchprobiert, sondern dass leistungsstarke Computersysteme die Arbeit meist in Sekunden erledigen. Laut Timmermann können moderne Grafikprozessor-Systeme 63 Milliarden Kombinationen pro Sekunde durchprobieren.

Ein hunderprozentig sicheres Passwort gibt es nicht. Bei der sogenannten Brute-Force-Methode werden einfach, wie der Name nahelegt, mit „roher Gewalt“ alle möglichen Kombinationen ausprobiert. Jedes Passwort kann also theoretisch geknackt werden, wenn man es nur lang genug versucht. Ziel ist es daher, mit einem Passwort die Zahl der möglichen Kombinationen zu vergrößern, damit ein Hackerangriff zu lange dauern würde und somit für den Angreifer unwirtschaftlich wird. Ihr Passwort sollte also lang sein und aus Klein- und Großbuchstaben, Zahlen sowie Sonderzeichen bestehen.

Die Länge eines Passwortes (viele Stellen) ist entscheidender als die Komplexität (viele Zeichen). Da liegt es nahe, sich zu fragen, ob man dann nicht einfach einen ganzen Satz oder ein langes Wort nutzen kann, um sich sein Passwort leicht merken zu können. Die kurze Antwort auf diese Frage ist nein. Der Grund hierfür liegt in der Vorgehensweise der Hacker. Sie wenden verschiedene Strategien an, um Systeme mit Passwörtern zu knacken. Laut Frank Timmermann werden unter anderem Wörter aus Wörterbüchern („Dictionary Attacks“) in verschiedenen Sprachen und aus unterschiedlichen Themenbereichen ausprobiert.

Der Chaos Computer Clubs (CCC) rät generell von Passwörtern ab, die Wörter enthalten. Seiner Meinung nach überschätzen Menschen häufig die Komplexität von Sprachen. Wenn man sich vor Augen führt, dass Sprachen selten mehr als eine Million Wörter umfassen und der Grundwortschatz noch weit geringer ist, wird deutlich, dass ein modernes Hackersystem nicht lange brauchen wird, um das richtige Wort zu finden.

Außerdem werden Wörter ausprobiert, in denen einzelne Buchstaben mit ähnlich aussehenden Zahlen oder Sonderzeichen ersetzt wurden (Hallo wird zu H@llo). Wörter aus dem Duden in Kombination mit anderen Zeichen (12Hallo34) werden genauso ausprobiert, wie häufige Passwörter (darunter „passwort“, „123456“), sogenannte Common Word Attacks. Aus diesem Grund scheiden auch Wörter in Kombination mit Zeichen sowie veränderte Wörter (Mehrzahl von Nomen, Vergangenheit von Verben) aus. Das letzte Mittel ist dann das Durchprobieren von allen möglichen Kombinationen. Dies möchte man erreichen, da es die meiste Zeit in Anspruch nimmt. Experten raten deshalb zu Passwörtern, die möglichst lang (mindestens zehn Zeichen) und komplex (Groß- und Kleinbuchstaben, Zahlen, Sonder- und Satzeichen) sind.

Ein einigermaßen sicheres Passwort ist also sowohl komplex als auch lang und folgt keinem (für Maschinen) feststellbaren System. Doch wie lässt sich ein solches Passwort überhaupt merken? Ein Passwort wie „Y7/6%$skKlmÄ@8/]§“ lässt sich sehr schwer merken und ist damit nicht besonders hilfreich. Wie wäre es also stattdessen mit einem Satz? „Ich liebe meine Katze über alles“. Der Satz ist einfach und gut zu merken, sollte jedoch nicht als Satz verwendet werden, da er bei Wörterbuch- oder Grundwortschatzattacke wahrscheinlich nicht lange standhalten würde.

Man kann jedoch einfach bestimmte Buchstaben aus jedem Wort auswählen und daraus das Passwort entstehen lassen. Man kann zum Beispiel immer den ersten und letzten Buchstaben der Wörter nehmen. „Ich liebe meine Katze über alles“ wird so zu „IhlemeKeüras“. Jetzt kann man das Ganze noch etwas verbessern, indem man einige Sonderzeichen einfügt, die ein bisschen wie die jeweiligen Buchstaben aussehen. „I“ kann durch ein „!“ und „L“ durch eine „1“ ersetzt werden „€“ statt „E“ oder „$“ anstatt „S“. Wie wäre es somit mit „!h1€MeKeÜrA$.“? Hier wurde jedes Wort entweder mit einem Sonderzeichen oder Großbuchstaben begonnen, damit neben Groß- auch noch Kleinschreibung vorhanden ist. Zusätzlich wird der Satz nun mit einem Punkt beendet. Eventuell sollte man das „Ü“ noch durch „Ue“ ersetzen, um im Ausland keine Probleme zu bekommen. Man sollte bei der Passwortwahl daran denken, dass manche Buchstaben und Sonderzeichen auf ausländischen Tastaturen nicht vorhanden sind.

Das Passwort lautet nun also „!h1€MeKeUErA$.“, hat 14 Zeichen und bedient sich beim Gesamtsortiment der verfügbaren Zeichen (Klein- und Großbuchstaben, Zahlen, Sonderzeichen). Es wird zwar nie einen hundertprozentigen Schutz geben, doch sinkt das Risiko einer erfolgreichen Attacke erheblich, wenn die Anzahl der möglichen Kombination sehr groß ist. Bei diesem Passwort wären über fünf Quadrilliarden Kombinationen möglich und das Hacken würde laut Passwortchecker der Uni Emden selbst mit einem sehr leistungsfähigen Hacker-System über fünf Millionen Jahre dauern (bei 150 Milliarden getesteten Passwörtern pro Sekunde und der angenommenen Wahrscheinlichkeit, dass das Passwort nach der Hälfte der Zeit geknackt wird). Anfangs ist es vielleicht noch ein bisschen schwierig, sich das neue, sichere Passwort zu merken, doch mit dem Satz als Eselsbrücke sollte es leicht sein, sich das Passwort wieder in Erinnerung zu rufen. Und natürlich sollten weder das Passwort noch der Satz an andere weitergegeben werden.