🏰 Sicherheit und 🛀 Privatsphäre für 🦸‍♀️ Menschen

passwort1

Sichere Passwörter wählen

Auch wenn du einen Passwort-Manager verwendest, gibt es doch ein paar Passwörter, die du im Kopf haben musst. Es ist aber gar nicht so einfach, Passwörter zu wählen, die man sich merken kann und die trotzdem sicher sind. Hier sind Hintergründe und Tipps zu sicheren Passwörtern.

Illustration: Frau gibt Passwort ein

Erstmal vorweg: Passwörter, die man sich als Mensch ausdenkt und die man sich irgendwie merken kann, sind meistens schlechte Passwörter. Grundsätzlich solltest du einen Passwort-Manager verwenden und dir von diesem für jedes Konto ein sicheres Zufalls-Passwort erzeugen lassen. (Dazu gibt es bald einen Folgeartikel. Wenn du nicht so lange warten willst: Wir empfehlen 1Password)

Trotz alledem gibt es ein paar wenige Passwörter, die du auch mit Passwortmanager auswendig kennen musst:

  • Dein Geräte-Passwort für deinen Computer
  • Die PIN für dein Handy
  • Und natürlich das Master-Passwort für deinen Passwort-Manager

Zumindest diese drei Passwörter müssen also merkbar und trotzdem sehr sehr sicher sein — schliesslich schützen sie den Zugang zu all deinen Konten und Inhalten.

Worauf es bei Passwörtern ankommt

In meinem Artikel “Wie man Passwörter knackt” haben wir schon sehr viel über sichere und unsichere Passwörter lernen können.
Hier nochmal die Zusammenfassung:

  1. Passwörter, die aus einem normalen Wort, Namen oder Ort bestehen, sind in Millisekunden geknackt.
  2. Einfach eine Zahl und/oder ein Sonderzeichen an ein Wort zu hängen, reicht nicht um es sicher zu machen.
  3. Jedes Passwort, das schon mal jemand anderes irgendwo auf der Welt benutzt hat oder benutzen könnte, ist unsicher. Jeder Hacker wird zuerst diese bekannten Passwortlisten durchtesten.
  4. Hacker können oft unvorstellbar viele Passwörter in sehr kurzer Zeit testen. Wir müssen davon ausgehen, dass der durchschnittliche Hacker im (für uns) schlechtesten Fall 1 Billion Passörter pro Sekunde testen kann.1

Was macht also ein gutes Passwort aus?
Zwei Dinge sind ausschlaggebend:

  1. Zufälligkeit
  2. Länge

Die Zufälligkeit ist enorm wichtig. Ein 12-stelliges Passwort das komplett aus zufälligen Zeichen besteht ist praktisch unknackbar. Das Problem ist: Menschen sind extrem schlecht darin, sich wirklich zufällige Passwörter auszudenken, geschweige denn sie sich zu merken. Ein 12-stelliges Passwort, dass aus Namen und Zahlen besteht wie z.B. JamesBond007 ist überhaupt nicht zufällig und wird binnen Millisekunden gefunden (entweder weil es in einer existierenden Passwortliste steht wie dieses hier2 oder weil der Hacker einfach nach der Regel “zwei-Namen-plus-3-Ziffern” alle möglichen Kombinationen ausprobiert).

Wenn wir nun eine Methode gefunden haben, mit der wir halbwegs zufällige Zeichenketten produzieren können, kommt die Länge ins Spiel. Mit jeder zusätzlichen Stelle steigt die Zahl der möglichen Kombinationen exponentiell. Wenn Eva (aus dem vorherigen Artikel) für das brute-force knacken eines 8-stelligen Passworts aus allen 95 druckbaren Zeichen durchschnittlich 2,5 Stunden braucht, dann braucht sie für ein 9-stelliges Passwort 95 mal so lang (also 10 Tage) und für ein 10-stelliges Passwort über 2,5 Jahre.3

Zufallsquellen

Dein Passwort muss möglichst lang und möglichst zufällig sein. Gleichzeitig musst du es dir natürlich auch merken können. Du brauchst also eine Methode um ein Passwort zu erstellen, das so einzigartig ist, dass ein Hacker, selbst wenn er die Methode kennt, es nie finden kann. Dein Passwort muss wie die berühmte Nadel im Heuhaufen sein. Nur, dass dein Passwort ein Staubkorn und der Heuhaufen das Sonnensystem ist.

Wir wollen dir hier ein paar Methoden geben, mit denen du fast zufällige Zeichenketten bekommst, die du dir merken kannst. Diese einzelnen Methoden kannst du dann zu deinem persönlichen Passwort-Algorithmus kombinieren um dir super-sichere Passwörter auszudenken.

Sätze 💬

Menschen sind nicht dafür gemacht sich Zufallszahlen oder -zeichen zu merken. Wohl aber um sich Sätze zu merken. Die erste Zeile des Grundgesetzes? Weiss du! Die kompletten Lyrics von Smoke on the water? Weisst du sowas von!
Und das nutzen wir jetzt. Der Grundbaustein für dein sicheres Passwort ist ein Satz, den du dir merken kannst. Es sollte nicht unbedingt ein berühmtes Zitat oder ein Songtext der Beatles sein. Aber beispielsweise eine Zeile aus deinem Lieblingsgedicht, der letzte Satz eines Romans oder ein Vers aus der Bibel. Je unbekannter, desto besser. Hauptsache der Satz ist mindestens 8 Wörter lang. Von diesem Satz nimmst du einfach die ersten Buchstaben von jedem Wort.

Nehmen wir beispielsweise das Zitat Bunt ist das Leben und granatenstark, Hoschi!. Wenn wir die Anfangsbuchstaben nehmen erhalten wir BidLugsH und haben eine Zeichenkette aus 8 praktisch zufälligen Buchstaben.

Du kannst dir natürlich auch selbst einen Satz ausdenken. Je individueller, desto besser. Beispielsweise ergibt der Satz Zwei blaue Spatzen fliegen auf alten GameBoys durch das Weltall die Anfangsbuchstaben ZbSfaaGBddWA. Das sind immerhin 12 Zeichen und wahrscheinlich hast du dir den Satz jetzt schon gemerkt. (Du solltest allerdings auf keinen Fall irgendein Beispiel aus dem Artikel hier verwenden sondern dir selbst etwas einmaliges ausdenken.)

Natürlich haben solche Buchstabenkombinationen bestimmte Muster und sind nicht vollkommen zufällig. Es gibt wenige Wörter, die mit “X” anfangen und Gross- und Kleinschreibung haben eine gewisse Regelmässigkeit. Das ist aber nicht so schlimm. Wir können das durch mehr Länge ausgleichen. Je länger dein Satz, desto besser!

Wissenschaftler der Universität Weimar kommen zu dem Schluss, dass ein Passwort, das aus dem Anfangsbuchstaben eines Satzes besteht, etwa 2–4 Zeichen länger sein muss, um die gleiche Sicherheit zu erreichen, wie ein vollkommen zufälliges Buchstaben-Passwort.4 Konkret zeigen sie, dass beispielsweise ein 10-stelliges Passwort aus Satz-Anfangsbuchstaben genauso gut ist, wie ein 8-stelliges aus komplett zufälligen Buchstaben. Um noch genauer zu sein geben Sie für 8-stellige Satz-Passwörter 275 Milliarden und für 10-stellige Satz-Passwörter immerhin 30 Billionen mögliche Kombinationen an.

Nummern

Es ist gut, wenn unser Passwort auch Nummern enthält um es länger und einzigartiger zu machen. Zudem braucht man manchmal auch reine Nummern-PINs. Zum Beispiel für dein iPhone.

In unserem realen Leben gibt es eigentlich recht viele zufällige Nummern, die wir für Passwörter benutzen können:

Telefonnummern ☎️

Telefonnummern (zumindest der Teil nach der Vorwahl) sind vollkommen zufällig. Natürlich solltest du nicht deine eigene Telefonnummer als Passwort verwenden. Eigentlich solltest du gar keine Telefonnummer, die in deinem Adressbuch steht, als Passwort oder Teil davon benutzen. Denn du weisst nie, ob Hacker nicht auch dein Adressbuch haben. Ideal sind Nummern, die du nicht mehr verwendest, aber immer noch weisst. Die Nummer deiner verstorbenen Tante, die eines Ex-Partners oder deine Nummer bei einem früheren Arbeitgeber. Eine Telefonnummer hat in der Regel mindesten 6 Stellen. Das ergibt immerhin 1.000.000 Kombinationen.

ISBN / Barcode / Seriennummer 📘

Ebenfalls relativ zufällig sind ISBNs, Barcodes und Seriennummern. Die weiss man zwar meistens nicht auswendig, aber man kann sie leicht nachschauen. Du kannst beispielsweise einfach die ISBN von dem Buch auf deinem Tisch nehmen, die Barcodenummer von einer Tüte Gummibärchen oder die Seriennummer deines Autos. Aber Achtung: Diese Nummern haben meistens ein System. Die ersten Stellen sind oft fix, beziehungsweise ändern sich selten. Nimm besser den hinteren Teil. (z.B. die letzten 6 Ziffern)

Datum 📆

Ja, den eigenen Geburtstag als Passwort nehmen, ist natürlich nicht schlau. Aber ein Datum an sich ist durchaus zufällig. Pro Jahr gibt es 365 Möglichkeiten. Wenn man ein Datum mit den beiden letzten Jahreszahlen nimmt (die ersten beiden sind nicht sehr zufällig sondern meist im Bereich 19–20) ergeben sich 365 · 100 = 36.500 Möglichkeiten.

Wichtig ist nur, dass der Angreifer das Datum nicht aus deinem Facebook-Profil ablesen kann. Geburtstage von Familienmitgliedern sind also schlecht. Besser ist schon der Geburtstag von Isaac Newton oder der von Ludwig van Beethoven. Vielleicht auch der Tag deines ersten Dates oder wann du das erste mal alleine aufs Töpfchen gegangen bist. Je ausgefallener das Ereignis, desto besser.

Sonderzeichen $%&§

Viele Dienste verlangen Sonderzeichen im Passwort. Sonderzeichen sind natürlich erst recht schwer zu merken, weil sie keine richtige eigene Bedeutung haben. Deshalb verwenden die meisten Leute (und auch viele Passwort-Generatoren!) nur ein Sonderzeichen. Und das wissen Hacker natürlich auch.

Das heisst, wenn wir schon Sonderzeichen verwenden müssen, wollen wir eigentlich möglichst viele verwenden. Eine gute Möglichkeit sind Muster. Muster verringern zwar die Zufälligkeit aber in erster Linie geht es uns darum aus der Masse herauszufallen und mehr als ein oder zwei Sonderzeichen zu verwenden. Ausserdem machen wir so auch die fehlende Zufälligkeit durch mehr Länge wett. Hier kannst du richtig kreativ sein. Du solltest nur schauen, dass du allermindestens vier Sonderzeichen verwendest. Mehr ist natürlich, wie immer besser.

Beispiele:
<---<<--->, (-::-), .../\..., })({, !!=??

Wenn man sich ansieht, dass es allein über 120 verbreitete Text-Smilies gibt (die man noch dazu variieren kann) 5 und sich natürlich auch Phantasie-Muster bilden lassen, können wir sicher ganz konservativ davon ausgehen, dass der Pool an von Menschen erdachten Sonderzeichenmustern mindestens 10.000 Kombinationen umfasst.

Anforderungen Master Passwort

Dein Master-Passwort für deinen Passwort-Manager sollte das sicherste Passwort überhaupt sein. Schliesslich sind damit alle anderen Passwörter verschlüsselt. Auf keinen Fall darfst du dieses Master-Passwort oder eine Abwandlung davon für irgendetwas anderes nutzen.

Wie kommen wir nun zu unserem sicheren Master-Passwort?
Wir kombinieren die Methoden von oben.

Beispiel Passwort-Schema:

  1. Finde einen Satz mit mindestens 8 Wörtern, den du dir gut merken kannst und nimm davon die Anfangsbuchstaben
  2. Finde eine zufällige Nummer mit mindestens 6 Ziffern, die du dir gut merken kannst
  3. Denk dir ein Muster aus Sonderzeichen aus mit mindestens 6 Zeichen

Die drei Elemente kannst du beliebig anordnen. Am Ende hast du ein Passwort das mindestens 20 Stellen hat und Ziffern, Buchstaben und Sonderzeichen enthält.

Lass uns das mal gegenrechnen:

  • 8 Anfangs-Buchstaben aus einem Satz entsprechen ca. 275 Milliarden Kombinationsmöglichkeiten (s.o.)
  • 6 Ziffern entsprechen im schlechtesten Fall (wenn wir ein Datum verwenden) 36.000 Kombinationsmöglichkeiten
  • Für unser Sonderzeichen-Mustern nehmen wir pauschal 10.000 Kombinationsmöglichkeiten an

Wenn wir alle drei Elemente in unser Passwort aufnehmen, können wir die drei Werte multiplizieren um die Grösse des Suchraums zu bekommen in dem unser Passwort liegt. Das sind ca. 100 Trillionen Kombinationsmöglichkeiten. Ein Hacker, der 1 Billion Kombinationen pro Sekunde testen kann, würde durchschnittlich ca. 1,5 Jahre brauchen um das Passwort zu finden.

Dabei gehen wir vom schlechtesten Fall aus, dass:

  1. Der Angreifer dein Passwort-Schema kennt
  2. Dein Passwort unzureichend verschlüsselt ist
  3. Der Angreifer extrem viele Kombinationen pro Sekunde testen kann

Im Idealfall kennt der Angreifer dein Schema nicht und wird vermutlich auch gar keinen Brute-Force-Angriff auf Passwörter dieser Länge versuchen.

Du kannst das Passwort-Schema natürlich beliebig variieren und die Reihenfolge oder Länge der einzelnen Komponenten verändern. Wenn dir die Ziffern und Sonderzeichen zu umständlich sind, kannst du auch nur ein Satz-Passwort aus Anfangsbuchstaben verwenden. Das muss dann allerdings entsprechend länger sein. Wenn dein Satz 12 Wörter hat, kannst du ruhigen Gewissens die Sonderzeichen weglassen. Wenn dein Satz 16 oder mehr Wörter hat, kannst auch die Ziffern weglassen.
Da es 56 Buchstaben aber nur 10 Ziffern und nur 30 Sonderzeichen gibt, trägt das Satzpasswort deutlich mehr zur Passwortsicherheit bei als die Ziffern und Sonderzeichen.

Mit Passwörtern ist es ein bisschen wie mit Fahrradschlössern. Mit genug Aufwand kann man jedes knacken. Meistens reicht es aber, wenn dein Passwort (oder Schloss) sicherer ist als die der anderen. 😉

Anforderungen Computer

Ein Passwort für deinen Mac oder PC hat ein bisschen pragmatischere Anforderungen. Es sollte zwar natürlich auch sicher sein, aber ganz ehrlich: keiner will ein 20-stelliges Passwort jedes mal eingeben wenn er sein Notebook aufklappt oder ein Programm installieren will.

Meine Empfehlung ist daher:

  1. Nimm wieder die Anfangsbuchstaben von einem Satz mit mindestens 10 Wörtern (Kleinbuchstaben genügen)
  2. Kombinier das mit mindestens 4 Ziffern

Laut der Weimarer Studie 4 ergeben sich für das 10-stellige Satz-Passwort in Kleinbuchstaben ca. 17 Billionen Kombinationsmöglichkeiten. Kombiniert mit den 10000 Zahlenkombinationen erhalten wir so ein Passwort, das die durchschnittliche Angreiferin zumindest erst nach ein paar Tagen erraten wird. Das reicht um gewöhnliche Diebe davon abzuhalten an deine Daten zu kommen und gibt dir genug Zeit deinen Rechner aus der Ferne zu löschen (z.B. über Apple’s Find-My-Mac).

Abwandlungen:

  • Wenn du nur Kleinbuchstaben verwenden willst, sollten das mindestens 14 Buchstaben sein
  • Wenn dein Arbeitgeber eine Passwortrichtlinie vorgibt, die Grossbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen vorschreibt,6 nimm einen Satz mit 8 Gross- und Kleinbuchstaben und kombinier das mit mindestens 3 Ziffern und 3 Sonderzeichen.

Tipp: Falls du zusätzlich auch noch sinnlos genötigt wirst,7 dein Passwort regelmässig zu ändern, kannst du einfach die Reihenfolge der Blöcke (Buchstaben, Ziffern, Sonderzeichen) durchwechseln.

Wichtig:
Dein Computer-Passwort bringt natürlich nur etwas, wenn dein Rechner auch verschlüsselt ist (über Bitlocker auf Windows oder FileVault auf dem Mac).

Anforderungen iPhone

Das iPhone verlangt ab Werk eine 6-stellige PIN. Nimm auch hier unbedingt zufällige Zahlen und keine Muster. Gut geeignet ist, wie oben beschrieben ein Datum (nicht dein Geburtstag!) oder eine Telefonnummer (nicht deine eigene!).

Grundsätzlich können Hacker die iPhone PIN nur in relativ geringem Tempo testen, da das iPhone die PIN-Versuche künstlich verlangsamt.
Wenn du es noch sicherer möchtest, kannst du auch auf dem iPhone ein Passwort mit Buchstaben benutzen — das tippt sich allerdings schwer. Einfacher ist es eine längere Zahlen-PIN zu wählen.

Was du auf keinen Fall tun solltest

Hier nochmal abschliessend ein paar Methoden, die du nicht auf dein Passwort anwenden solltest — auch wenn sie auf den ersten Blick sicher wirken.

  • Dein Passwort sollte nichts enthalten, das irgendwo in deinem Facebook Profil steht oder sonst öffentlich zugänglich ist
  • Auf keinen Fall sollte dein Passwort Namen oder echte Wörter enthalten 8
  • Sogenannte Leetspeak, bei der einzelne Buchstaben durch ähnlich aussehende Zahlen ersetzt werden, kennen Hacker auch und wenden solche Ersetzungen standardmässig an. P@55w0rt sieht zwar schlau aus, ist aber keineswegs sicher.

Denk daran:
Dein Passwort muss lang und zufällig sein. Vor allem aber musst du Passwörter haben, auf die ausser dir sonst keiner auf der Welt verwenden würde.

  1. Wenn man von einem Offline-Angriff mit mehreren Graphikkarten und einem unzureichend verschlüsselten Passwort ausgeht (z.B. mit MD5 oder SHA1). ↩︎

  2. Ob ein Passwort bereits in einer veröffentlichten Passwortliste aufgetaucht ist kann man beim Projekt Have I Been Pawned testen ↩︎

  3. Um ein Passwort zu knacken, probiert die Hackerin einfach alle möglichen Kombinationen durch. Wie bei einem Zahlenschloss. Natürlich kann die Hackerin Glück haben und die erste Kombination ist schon die richtige. Wenn sie Pech hat ist erst die allerletzte, die sie probiert, die richtige. Im Durchschnitt muss sie die Hälfte aller möglichen Kombinationen ausprobieren um die richtige zu finden. ↩︎

  4. Johannes Kiesel, Benno Stein und Stefan Lucks von der Bauhaus-Universität Weimar haben eine sehr umfangreiche Untersuchung zur Sicherheit von von Menschen erdachten Passwörtern durchgeführt. Johannes Kiesel; Benno Stein; Stefan Lucks (2017). “A Large-scale Analysis of the Mnemonic Password Advice”. Proceedings of the 24th Annual Network and Distributed System Security Symposium (NDSS 17). Internet Society. ↩︎

  5. Liste von üblichen Smilies ↩︎

  6. Es ist anzumerken, dass Passwortrichtlinien, die bestimmte Zeichen im Passwort vorschreiben nicht den aktuellen Sicherheitsempfehlungen entsprechen und nur in der Theorie zu sicheren Passwörtern führen. In der Praxis schreiben die Nutzer die Passwörter dann auf PostIts oder hängen einfach 2019! hinten an. Wenn die Passwort-Regeln zu streng sind, wird es für die Angreifer sogar einfacher, weil die Passwörter einem sehr einheitlichen Muster folgen. ↩︎

  7. Regelmässige erzwungene Passwortwechsel erhöhen selbstverständlich nicht die Sicherheit und entsprechen auch nicht den Richtlinien des NIST oder denen von Microsoft↩︎

  8. Vielleicht bist du schon mal dem Correct-Horse-Battery-Staple begegnet. Das ist ein Passwort-Schema bei dem man einfach mehrere zufällig ausgewählte Wörter als Passwort verwendet. Die Methode ist auch unter dem Betriff Diceware-Passwörter bekannt. Das ist durchaus ein akzeptabler Weg Passwörter zu wählen. Allerdings wirklich nur dann, wenn die Wörter vollkommen zufällig von einem Passwort-Generator ausgewählt werden (also nicht selbst gewählt sind) und wenn man mindestens fünf Wörter (also mehr als in dem Cartoon) wählt. Dann ist das Passwort aber auch ziemlich lang und aufwändig zu tippen. Mit Satz-Anfangsbuchstaben erreicht man mit weniger Tastenanschlägen eine höhere Sicherheit. ↩︎

Artikel-Benachrichtigungen ✉️

Erhalte eine E-Mail wenn ein neuer Artikel erscheint!

via TinyLetterDatenschutzerklärung