Sicherheit im Netz: Wege zum sicheren Passwort

"Ein Acht-Zeichen-Passwort ist nicht das, was wir haben wollen"

15.04.2016

Ob Auto, Wohnung oder Fahrrad: sicheres Abschließen gehört in der analogen Welt dazu. Im Digitalen sichern Passwörter unsere Accounts, Anmeldungen und Identitäten. Was macht ein gutes Passwort aus? Sind Passwort-Manager besser als unser Gehirn? Und wie lässt sich das Gedächtnis von zu vielen Zeichenkombinationen entlasten?

Was braucht ein sicheres Passwort?

Zwei Größen sind für die Sicherheit entscheidend: die Zeichenzahl und der Zeichensatz. Einerseits darf das Passwort nicht zu kurz sein:

Das Passwort muss erstmal lang sein, das heißt: ein Acht-Zeichen-Passwort ist nicht das, was wir haben wollen. Idealerweise irgendwas in der Größenordnung von 20 Zeichen oder drüber. – Anna Biselli, Redakteurin bei netzpolitik.org

Andererseits sollte man einen vielseitigen Zeichensatz nutzen. Das heißt: möglichst Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Das erschwert nicht nur das zufällige Erraten durch Menschen, sondern auch konzentrierte Knackversuche mit Computern und Programmen (Brute-Force-Methode).

Die langen Passwörter lassen sich besser merken, wenn die Zeichen beispielsweise für einen Satz aus einem Roman stehen. Aus „Mr. und Mrs. Dursley im Ligusterweg Nummer 4 waren stolz darauf, ganz und gar normal zu sein, sehr stolz sogar“ könnte „Mr&MrsDiLNr4wsd_g&gnrs_s3“ werden. Auch aus besonders absurden, zufälligen Wortkombinationen lassen sich buchstäblich merkwürdige Passwörter bauen.

Passwort-Manager statt Eselsbrücken merken

Dass triviale Passwörter wie ‚12345‘ eben nicht sicher sind, ist den meisten Nutzern durchaus bewusst. Dass solche einfachen Kombinationen trotzdem regelmäßig die Listen der beliebtesten Passwörter anführen, liegt eher am mangelnden Gedächtnis als am mangelnden Wissen. So fühlt sich jeder dritte deutsche Internetnutzer überfordert von der Flut an Passwörtern, die durch immer mehr digitale Dienste und Accounts ausgelöst wird.

Eine sichere wie bequeme Alternative zum Selbermerken und Eintippen kann ein Passwort-Manager sein. Programme wie Dashlane, 1Password, LastPass oder KeepassX sammeln die Anmeldungen in einer verschlüsselten Datenbank auf dem Laptop. Die wird mit einem einzigen, aber besonders starken Kennwort geschützt.

Mit einem Passwort-Manager bin ich auf jeden Fall wesentlich sicherer, als wenn ich nur wenige schwache Passwörter habe, die ich mir gerade noch so merken kann. – Anna Biselli

Im Selbstversuch: Das Programm KeePassX

  • Die Datenbank funktioniert wie ein Schlüsselbund. Hier werden alle Accounts gesammelt…
  • …oder KeePass X generiert ein zufälliges Passwort nach Vorgabe.
  • …für jeden Log-In lässt sich entweder ein bestehendes Passwort speichern…

KeePassX ist ein kostenloser Passwort-Manager für Windows, Mac und Linux. Als Open-Source-Software schafft das Programm außerdem Sicherheit durch Transparenz: Der Quellcode ist öffentlich. Sicherheitsexperten können also prüfen, ob und wo es Schwachpunkte geben könnte und kontinuierliche Verbesserungen vornehmen.

Nicht nur deswegen hat das Programm das Gütesiegel des überwachungskritischen Magazins The Intercept bekommen. Denn KeePassX speichert die Datenbank mit den Kennwörtern nur verschlüsselt auf der Festplatte des Computers, aber nicht online in einer Cloud.

detektor.fm-Redakteur Sandro Schroeder hat sich auf die Suche begeben: nach guten Passwörtern, nach Ausreden für schlechte Passwörter und nach Ideen, um das eigene Gedächtnis zu entlasten. Dafür hat er mit den Kollegen Marcus Engert, Natalie Schorr und netzpolitik.org-Redakteurin Anna Biselli gesprochen.

Musik im Beitrag: Cosmos Computer Music – BA8_4The Efts – Brandon’s Theme 0.6 (beide Titel unter Creative Commons CC BY 3.0)


Tipps von Edward Snowden für gute Passwörter