News 06.02.2017, 09:38 Uhr

Ein sicheres Passwort: Diese Wege führen zum Ziel

Trotz umfangreicher Sicherheitsmassnahmen finden Hacker ihre Wege in fremde Systeme. Nicht selten liegt das an lausigen Passwörtern. So schützen Sie sich besser.

Dass es noch immer viele simple Passwörter wie «123456» oder «Passwort» in die Rangliste der beliebtesten Passwörter schaffen (siehe Galerie auf Seite 6), ist leider eine Tatsache. PCtipp gibt hier Tipps, die Sie bei Ihrer Passwortstrategie unterstützen. Eines gleich vorweg: Begriffe aus Wörterbüchern sind tabu. Zudem sollte ein Passwort nie in einem Kontext zu persönlichen Angaben wie Name, Vorname und Geburtstag stehen. Für verschiedene Dienste gilt die Devise: für jeden Dienst ein eigenes Passwort.

Wir alle kennen das Dilemma: Jede Webseite und jeder Onlinedienst verlangt von uns Passwörter. Aus Sicherheitsgründen müssen diese auch immer öfter so gewählt werden, dass einfache «Pröbel»-Angreifer die Losungen nicht so einfach herausfinden können. Sprich: Sie müssen vielerorts aus grossen und kleinen Buchstaben, Zahlen und Sonderzeichen bestehen.

Die Passwortflut ist bezwingbar

Quelle: aboutpixel.com

Diese Vorgaben – so sinnvoll sie aus Security-Sicht sind – haben aber dazu geführt, dass viele Anwender für diverse Seiten dasselbe Passwort verwenden oder aber sich diese auf einem Zettel, respektive in einer Datei notieren. Einer Studie von RSA und dem Ponemon Institute zufolge muss man sich nicht schämen, wenn diese Verhaltensweise auf einen selbst zutrifft: Denn mit 69 Prozent verfährt eine satte Mehrheit genau gleich und recykliert seine Passwörter.

Das muss nicht sein. Es gibt ein paar simple Tricks, mit denen man faktisch unknackbare Passwörter erstellt, die zudem einfach zu merken sind. Wir haben die sieben besten Methoden zusammengefasst.

Nächste Seite: Einfachste Kryptografie

Einfachste Kryptografie

1. Ersetzen Sie die Buchstaben mithilfe des Alphabets

Diesen Trick soll schon Gaius Julius Caesar verwendet haben, um Botschaften an seine Feldherren sicher zu übermitteln. Er verschob die Buchstaben im Alphabet um jeweils einen Buchstaben, aus einem A wurde also ein B. Aus der Katze wird dann Lbuaf, aus der Banane Cbobof.

Das einfache Chiffrierverfahren der Römer lässt sich noch heute für Passwörter verwenden

Quelle: Wikimedia

Zugegeben: Dieser Verschlüsselungsalgorithmus ist nicht gerade komplex und lässt sich auch schnell knacken, allerdings auch nur, wenn man eine gewisse Textmenge entsprechend chiffriert. Ein Passwort ist aber in der Regel kurz und kann mit Sonderzeichen und Zahlen angereichert werden.

Wichtig bei der Methode: Falls man sich die Passwörter doch aufschreiben will, sollte man dies immer unverschlüsselt tun und sich den verwendeten Schlüssel merken, also «Banane#1» statt «Cbobof#1» notieren. Entdeckt ein Hacker nämlich die Passwortnotiz «Banane#1», wird er die Zeichenkombination so eingeben und nicht darauf kommen, dass er zuvor einen Schlüssel verwenden muss.

Sehen Hacker aber kryptische Passwörter wie «Cbobof#1» und «Lbuaf?3» könnten sie auf die Idee kommen, dass ein Schlüssel verwendet wird und diesen eventuell dann auch entziffern.

2. Ersetzen Sie die Buchstaben mithilfe der Tastatur

Die Überlegungen sind hier im Grunde genommen dieselben wie im vorangegangenen Punkt. Nur dass die Verschlüsselungsmethode für tastaturgewohnte Zeitgenossen noch einfacher ist. Denn wir ersetzen die Buchstaben im Passwort mit jenem Schriftzeichen, das auf der Tastatur benachbart ist. Aus «a» wird also «s», respektive aus der Katze «Lszur». Noch praktischer, bei dieser Methode werden sogar die Zahlen und Sonderzeichen ersetzt.

Nächste Seite: Mit Merktechniken zum Ziel

Mit Merktechniken zum Ziel

3. Verwenden Sie Ohrwürmer

Eine uralte Methode, um geheime Botschaften zu verschicken, verwendet zwei Ausgaben desselben Buchs. Um ein Wort zu übermitteln, wird die Seite und Position ermittelt, wo das entsprechende Wort vorkommt. Danach werden diese Koordinaten verschickt und der Empfänger kann das Wort in seiner Ausgabe des Buchs nachschlagen.

Ganz ähnlich funktioniert die Methode mit den Ohrwürmern. Statt eines Buchs verwendet man einfach einen kurzen Text, den man eh schon auswendig weiss. Es kann sich also um eine Zeile aus einem Lied handeln oder aus einen Vers aus einem Gedicht.

Läuft einem also beispielsweise der Refrain des Polo-Hofer-Klassikers «Bin I Gopfriedstutz en Kiosk» nach, kann man sich als Passwort, die Kombination «5-3» merken und von mir aus auch notieren, was sich dann zu «Kiosk-Gopfriedstutz» erweitert.

Man muss natürlich nicht auf das Liedgut von Polo Hofer zurückgreifen

Da niemand erraten kann, welches Lied einem gerade im Kopf herumschwirrt und welche Passage haften geblieben ist, kann auch niemand darauf kommen, welches Passwort sich daraus ergibt.

Kombiniert man dies mit einer der bereits erwähnten Chiffriermethoden, wird das Ganze geradezu unknackbar.

Nächste Seite: Buchstabiertafeln sorgen für Passwortvielfalt

Buchstabiertafeln sorgen für Passwortvielfalt

4. Buchstabiertafeln

Buchstabiertabelle der Schweizer Armee neben einem Fernsprecher im Festungsmuseum Crestawald

Quelle: Wikimedia

Warum soll man sich Wortkombinationen merken, wenn man sich das Passwort aus dem Namen der Site, für welche die Losung gelten soll, ableiten kann? Was es für diesen Trick benötigt, ist eine Buchstabiertafel. Dabei kann man eine gängige Tafel verwenden wie «Anna, Berta, Cäsar, Daniel» oder jene der ITU «Alfa, Beta, Charlie, Delta». Noch besser ist natürlich, wenn man sich seine eigene Tafel zusammenstellt wie etwa «Aarau, Bern, Chur, Delsberg».

Sodann bestimmt man für sich, welche Buchstaben aus dem Webseitennamen jeweils in Wörter umgesetzt werden sollen, beispielsweise den ersten und den zweiten Buchstaben. Muss man ein Passwort für den fiktiven Finanzdienstleister «bank.ch» erstellen, verwendet man einfach «bertaanna». Haut man noch ein Trennzeichen dazwischen, etwa einen Bindestrich, so hat man gleich auch noch das oft geforderte Sonderzeichen sauber untergebracht.

Auch diese Methode lässt sich mit den simplen Chiffrierverfahren kombinieren. Das Passwort für die Bank wird dann zum praktisch unknackbaren «nrts-smms».

Nächste Seite: Zeitliche Beschränkungen

Zeitliche Beschränkungen

5. Minimalistische Variation mit dem Site-Namen

Nun wird es wohl den einen oder anderen geben, dem die bereits erwähnten Methoden zu aufwendig sind. Um doch nicht in die Falle zu tappen, für jeden Dienst dasselbe Passwort zu verwenden, könnte die Universallosung zumindest mit dem Namen der entsprechenden Site kombiniert werden. Für unser Finanzinstitut hängt man somit «-bank» an, für die sozialen Medien «-twitter», «-facebook» oder «-linkedin». Tippfaule können diese Zusätze auf die ersten vier Buchstaben reduzieren, also «-twit», «-face» oder «-link».

6. Einfacher Trick, um zeitliche Beschränkungen zu umgehen

Wer periodisch ein Passwort ändern muss, verbaut einfach die Gültigkeitsdauer in die Losung

Immer öfter müssen für bestimmte Dienste in bestimmten Zeitabständen die Passwörter geändert werden. Doch auch dieses anwenderseitige Übel lässt sich einfach umgehen, indem man etwa den «Gültigkeitszeitraum» des Passworts mit reinpackt. Aus «Birne+48» wird dann einfach «Birne+48-q1-15». Verschiebt man dann alle Zeichen auf der Tastatur um eine Position, ergibt sich somit «Notmr"59<w2<26». Und schon hat man ein einfach zu memorisierendes, zeitlich beschränktes und schwierig zu knackendes Passwort erstellt.

Nächste Seite: Verwendung eines Passwortgenerators

Verwendung eines Passwortgenerators

7. Verwendung eines Passwortgenerators und -managers

Man kann sich natürlich auch softwaretechnisch bei der Wahl von Passwörtern helfen lassen. Ein solches Feature bietet etwa der Schweizer Dienst SecureSafe. Neben einem Passwort- und sicheren Dokumentenmanager, steht auch ein Passwortgenerator zur Verfügung. Dieser spuckt im besten Fall eine 32 Zeichen umfassende Zufallsfolge aus, wobei die Komplexität gesteuert werden kann. So lassen sich Sonderzeichen und Zahlen sowie Grossbuchstaben einbinden.

Das von SecureSafe vorgeschlagene Passwort kann getrost als sicher betrachtet werden

Quelle: NMGZ

Wählt man die höchste Komplexitätsstufe, so sollte die Losung wohl kaum noch per Brute-Force-Angriff knackbar sein. Die vom Generator erstellten Passwörter können dann mit einem Passwortmanager verwaltet werden. Am bequemsten ist hier eine Lösung, bei der die Passwörter beim Besuch von Webseiten jeweils automatisch eingefüllt werden.

Bildergalerie

passw0rd: Eine Null einzubauen, soll clever sein, aber 733t5p33k ist heutzutage fast so verbreitet wie Englisch

Auf mehreren Seiten lesen

Kommentare

Nalevets
02.02.2016

Ja genau Das trifft den Nagel auf den Kopf. Es braucht eine Norm für Passwörter auf Webseiten, was Sonderzeichen usw. anbelangt. Es wäre aber schwierig, so eine Norm durchzusetzen - der Webdesigner kann machen, was er will. Auch ein Passwort zu ändern, bloss weil der Zeitpunkt zum Passwortändern gekommen ist, ist an und für sich sinnlos - man sollte das Passwort ändern, wenn man Grund zur Annahme hat, dass Unbefugte Zugang zum Passwort erlangt haben. Eine Passwortänderung über ein Computersystem zu erzwingen, ist eine Alibiübung der Informatikabteilung, die bloss zeigen will, dass sie "etwas für die Sicherheit" macht.

karnickel
07.02.2017

Das Ändern stellt auch sicher, dass das Konto nicht verwaist ist. Unsicher an einem System ist nämlich auch, wenn es gekaperte Konten aufweist, die über Jahre in fremden Händen liegen.

Bitte loggen sie sich ein, um einen Kommentar zu verfassen.