In der heutigen digitalen Welt sind sichere Passwörter unser erster und oft wichtigster Schutz vor Cyberangriffen. Trotzdem verwenden viele Menschen immer noch schwache, leicht zu erratende Passwörter wie «123456» oder «password». Dieser Artikel erklärt, warum starke Passwörter so wichtig sind und wie Sie Ihre Online-Sicherheit deutlich verbessern können. Wie geht es also?
In diesem Artikel möchte ich auf ein paar relevante Punkte kommen, die du vielleicht so noch nicht gehört hast oder dir nie bewusst Gedanken dazu gemacht hast.
Weshalb gibt es Komplexitätsanforderungen?
Komplexitätsanforderungen für Passwörter mögen lästig erscheinen, haben aber wichtige sicherheitstechnische Gründe. Sie basieren auf mathematischen Prinzipien und jahrzehntelanger Erfahrung mit Cyberangriffen.
Die Mathematik hinter sicheren Passwörtern
Die Stärke eines sicheren Passworts wird durch den sogenannten «Entropie-Wert» gemessen. Dieser beschreibt, wie viele verschiedene Möglichkeiten ein Angreifer durchprobieren müsste, um Ihr Passwort zu erraten.
Beispielrechnung:
- Ein 8-stelliges Passwort nur aus Kleinbuchstaben: 26^8 = etwa 209 Milliarden Möglichkeiten
- Ein 8-stelliges Passwort mit Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen: 94^8 = etwa 6 Billionen Möglichkeiten
Häufige Angriffsmethoden
Dictionary-Attacks: Angreifer verwenden Listen mit häufig genutzten Passwörtern und deren Variationen. Komplexitätsanforderungen erschweren diese Angriffe erheblich.
Brute-Force-Angriffe: Systematisches Durchprobieren aller möglichen Kombinationen. Je komplexer das Passwort, desto länger dauert dieser Prozess.
Rainbow-Tables: Vorgefertigte Tabellen mit Hash-Werten häufiger Passwörter. Komplexe, einzigartige Passwörter sind in solchen Tabellen nicht enthalten.
Typische Anforderungen und ihre Bedeutung für sichere Passwörter
Mindestlänge: Längere Passwörter erhöhen die Entropie exponentiell. Jedes zusätzliche Zeichen macht das Passwort um den Faktor der verfügbaren Zeichen schwerer zu knacken.
Gross- und Kleinbuchstaben: Verdoppelt die verfügbaren Zeichen von 26 auf 52 und macht Passwörter erheblich sicherer.
Zahlen und Sonderzeichen: Erweitern den Zeichensatz auf 94 Zeichen und machen Dictionary-Attacks praktisch unmöglich.
Keine persönlichen Informationen: Namen, Geburtsdaten oder andere leicht erratbare Informationen – dazu gehören auch Inforamtionen die öffentlich über sie bekannt sind oder in irgendeiner Form schon mal im Internet war (Name des Haustieres, Schwimmklubverein oder ähnliches) – reduzieren die effektive Entropie drastisch.
Wörter die in einem Lexikon zu finden sind: Wörter in einem Lexikon können bei Dictonary-Attacks sehr schnell und leicht in verschiedensten Formen überprüft werden und reduzieren die effektive Entropie drastisch.
Meine Empfehlung für ein sicheres Passwort zu erstellen:
Ich überlege mir jeweils einen Satz, den nur ich kenne und ich mir auch einfach merken kann. Ein Bespiel dazu:
Ich verwende die Theorie von Dario, um super sichere Passwörter zu erstellen.
Dazu nutze ich nun Teile des Satzes um mein Passwort zu erstellen. Zum Beispiel:
IvedThvDaussPze
Das ist bereits ein 15-stelliges Passwort mit Gross und Kleinbuchstaben.
✅ Paswortlänge
✅ Gross- und Kleinbuchstaben
❌ Zahlen
❌ Sonderzeichen
Nun, da fehlen doch noch Zahlen und Sonderzeichen? Naja, diese können wir ganz einfach hinzufügen oder Buchstaben damit ersetzen.
I5edTh5,Dauss?ze.
In meinem Beispiel habe ich das V mit 5 ersetzt, damit ich Zahlen habe und das P mit ? ersetzt, damit ich Sonderzeichen habe. Weiter habe ich auch die Satzzeichen in das Passwort reingenommen.
Nun haben wir alle Komplexitätsanforderungen abgedeckt:
✅ Paswortlänge
✅ Gross- und Kleinbuchstaben
✅ Zahlen
✅ Sonderzeichen
⚠️ Vermeide diese häufigen Fehler
- Persönliche Informationen (Namen, Geburtsdaten, Adressen)
- Tastaturmuster (qwerty, 123456)
- Häufige Wörter oder Phrasen
- Vorhersagbare Substitutionen (@ für a, 3 für e)
- Zu kurze Passwörter (unter 12 Zeichen)
Best Practices für sichere Passwörter:
Passwort-Manager
Verwende wenn immer möglich einen Passwort-Manager. In diesem hast du zusätzlich die Möglichkeit ein Passwort generieren zu lassen. Generierte Passwörter erhöhen nochmals die Sicherheit, da sie keineswegs in Bezug zu dir gebracht werden können.
Ein weiterer Vorteil: Wir müssen uns Passwörter nicht merken, sondern haben diese sicher verstaut an einem Ort. Natürlich musst du darauf achten, dass das Master-Passwort auch entsprechend sicher ist!
Zudem können wir in einem Passwort-Manager auch andere Informationen speichern, wie Sozialversicherungsnummern, PIN für SIM-Karte, Wireless-Zugang Zuhause uvm.
Ein Passwort-Manager bietet also viele Vorteile. Ich Liste dir hier gerne einige auf:
Für welchen du dich entscheidest überlasse ich gerne dir.
Jeder Dienst ein eigenes Passwort
Immer wieder hört man «Für jeden Dienst ein eigenes sicheres Passwort verwenden». Weshalb ist das so?
Nun, wenn ihr immer wieder dasselbe sichere Passwort verwendet, kann es sein, dass zum Beispiel bei DropBox einen Datenabfluss passiert – Das war mal im 2012 so – wo auch Passwörter gestohlen werden. Diese Informationen liegen den Hackern nun zu Füssen. Wenn Ihr bei Zalando dasselbe Passwort verwendet, ist das Knacken des Passworts nur noch einen Versuch des bestehenden DropBox Login. Nun müsst Ihr natürlich jedem Konto nach, welches dieses Passwort verwendet, um die Sicherheit der Konten wiederherzustellen. Je nach Menge an Konten eine ziemliche Fleissarbeit und sind wir ehrlich, wer hat noch einen Überblick ohne Passwort-Manager, wo er überall Konten hat? Ganz geschweige von der Kombination aus Benutzername und Passwort. Aber natürlich auch mit Passwort-Manager eine ziemliche Aufgabe.
Verwendest du nun für jeden Deinst ein eigenes Passwort, so bleibt dieser Dienst der einzige der kompromittiert ist.
Multi-Faktor-Authentifizierung
Multi-Faktor ist der aktuelle Super-Begriff in der IT, alle sprechen davon. Aber was ist Multifaktor-Authentifizierung? Es bedeutet nichts anderes, als du gibst deinem ersten Faktor, das Passwort, einen weiteren. Diese findest du in jenstmöglichen Variationen. Als OTP (One-Time-Password) eine Zahl, die nur einmal gültig ist. Wie zum Beispiel der PhotoTAN bei der Bank oder andere möglichen Varianten. Zu MFA in einem anderen Blog-Beitrag mehr.
Weshalb ist das nun wichtig? Ihr nehmt mit einem weiteren Faktor, dem Angreifer, der vielleicht schon das Passwort hat, die Möglichkeit sich ein zuloggen. Meist sind MFA nach einer kurzen Zeit nicht mehr gültig, was es für den Angreifer erschwert, den Dienst zu kompromittieren.
Denkt daran, wenn ihr den zweiten Faktor auch in eurem Passwort-Manager macht, umgeht ihr den Sinn des zweiten Faktors. Daher empfehle ich eine weitere App für die weiteren Faktoren zu brauchen oder auf Passkeys umsteigen.
Passkeys
Nachdem du jetzt weisst, wie leicht dein «Passwort123» oder dein Geburtsdatum geknackt werden kann, lass mich dir die gute Nachricht verkünden: Passkeys sind wie der coole, technisch versierte Cousin deines nervigen Passworts, der endlich alle Probleme löst! Anstatt dir weiterhin komplizierte Kombinationen aus «Hund123!» zu merken (die du dann doch überall wiederverwendest – ich sehe dich!), erstellt dein Handy oder Computer einfach ein einzigartiges kryptographisches Schlüsselpaar für jede Website. Du entsperrst es mit deinem Fingerabdruck, Gesicht oder was auch immer du normalerweise benutzt, um dein Gerät zu entsperren – fertig! Das Geniale daran: Der private Schlüssel verlässt nie dein Gerät, während nur der öffentliche Teil an die Website gesendet wird.
Während du dir also nie wieder Sorgen um schwache Passwörter machen musst, machen Passkeys auch alle anderen Sicherheitsprobleme obsolet. Kein Phishing mehr möglich, keine Passwort-Wiederverwendung, keine Post-it-Zettel am Monitor mit «Passwort123» drauf. Es ist, als hättest du für jede Tür einen anderen, unknackbaren Schlüssel, aber trotzdem nur einen Schlüsselbund – und der ist in deiner DNA versteckt! Google, Apple und Microsoft haben sich endlich mal zusammengerauft, um diesen Standard zu pushen, weil sie genauso genervt von gehackten Accounts sind wie wir alle. Zeit, sich von den Zeiten schwacher Passwörter zu verabschieden!
Dazu aber in einem anderen Beitrag mehr.