Ver­öf­fent­licht am 18.1.2018

Kri­te­ri­en für siche­re Passwörter

Damit Pass­wör­ter nicht (auto­ma­ti­siert) „erra­ten” wer­den kön­nen (vgl. Bru­te-Force-Metho­de), soll­te die Anzahl mög­li­cher Zei­chen­kom­bi­na­tio­nen so groß sein, dass das (auto­ma­ti­sier­te) „Aus­pro­bie­ren” aller Zei­chen­kom­bi­na­tio­nen mit aktu­ell ver­füg­ba­rer Tech­nik zu lan­ge dau­ern wür­de und die Wahr­schein­lich­keit eines „Zufalltref­fers” sehr gering ist.

Ein siche­res Pass­wort soll­te die fol­gen­den Kri­te­ri­en erfüllen:

  • Pass­wort­län­ge:
    • Mini­ma­le Pass­wort­län­ge: 16 Zeichen
  • Zei­chen­raum maximieren: 
    • Son­der­zei­chen verwenden
    • Groß- und Klein­buch­sta­ben verwenden
    • Zif­fern verwenden

Dar­über hin­aus soll­te das Pass­wort kei­ne real exis­tie­ren­den Wör­ter ent­hal­ten (vgl. Wör­ter­buch­an­grif­fe) und kei­nen all­ge­mein bekann­ten Sinn erge­ben (z.B. Spitznamen).

Auch die tri­via­le Abwand­lung von Wör­tern reicht für siche­re Pass­wör­ter nicht aus (z.B. das Erset­zen bestimm­ter Buch­sta­ben durch Zah­len), weil vie­le die­ser typi­schen Abwand­lungs­mög­lich­kei­ten all­ge­mein bekannt sind.

Siche­re Pass­wör­ter erzeugen

Mög­lich­keit 1: Passwortgenerator

Ein siche­res Pass­wort lässt sich sehr ein­fach mit einem Pass­wort­ge­ne­ra­tor gene­rie­ren, z.B. mit „PWGen”.

Dabei kön­nen rela­tiv kur­ze und trotz­dem siche­re Pass­wör­ter gene­riert werden.

Auch bei Aus­schöp­fung des kom­plet­ten Zei­chen­sat­zes (inkl. Son­der­zei­chen und Zah­len) soll­te eine Min­dest­län­ge von 16 Zei­chen nicht unter­schrit­ten wer­den. Bes­ser ist es, etwas län­ge­re Pass­wör­ter zu nutzen.

Die freie Soft­ware „PWGen” kann z.B. hier her­un­ter­ge­la­den werden:

PWGen für Ubuntu

PWGen für Windows

Kom­ple­xi­tät, Pass­wort­län­ge und letzt­lich das Sicher­heits­ni­veau kön­nen durch ent­spre­chen­de Para­me­ter kon­fi­gu­riert werden.

PWGen gene­riert auch „les­ba­re” und damit bes­ser „erlern­ba­re” Passwörter.

Kon­fi­gu­ra­ti­ons­pa­ra­me­ter PWGen

Mög­lich­keit 2: Diceware

Wenn man nicht „schum­melt”, kann man mit dem Dice­wa­re-Ver­fah­ren eben­falls siche­re Pass­wör­ter generieren.

Dabei kön­nen Pass­phra­sen gene­riert wer­den, die man sich rela­tiv leicht mer­ken kann.

Mit einem Wür­fel wür­felt man fünf­mal und setzt die Ergeb­nis­se zu einer fünf­stel­li­gen Zahl zusam­men. Bei­spiel: 61426

Jetzt liest man das zuge­hö­ri­ge Wort aus der Dice­wa­re-Tabel­le ab:

Dice­wa­re-Wort­lis­te deutsch

Bei­spiel: 61426 => these

Wich­tig:

Dabei soll­te man nicht „schum­meln”, indem man sich anstel­le des gewür­fel­ten ein „beque­me­res” Wort aussucht.

Durch die Mög­lich­keit „zu schum­meln” ist bei die­sem Ver­fah­ren davon aus­zu­ge­hen, dass es in der Pra­xis zu einer Häu­fung „beque­mer” Wör­ter kommt (vgl. zu die­ser Pro­ble­ma­tik den fol­gen­den Artikel):

„Risi­ko Mensch“ bei der Passwortwahl

Die­sen Ablauf wie­der­holt man für 6 Wör­ter, die man zum Schluss in einer lan­gen Pass­phra­se zusammensetzt.

Zusätz­lich soll­ten noch wei­te­re Zei­chen hin­zu­ge­fügt wer­den (z.B. Son­der­zei­chen und Zah­len), wodurch das Pass­wort stär­ker wird.

Anlei­tung für das Dice­wa­re-Ver­fah­ren (Wiki­pe­dia)

Pass­wort­va­ri­an­ten von einem Basis­pass­wort sys­te­ma­tisch ableiten

Von einem siche­ren Basis­pass­wort kön­nen unter­schied­li­che Pass­wör­ter für ein­zel­ne Accounts sys­te­ma­tisch abge­lei­tet werden.

Wich­tig ist dabei, dass bei Kennt­nis eines der Pass­wör­ter nicht auf ande­re Pass­wör­ter geschlos­sen wer­den kann.

Aus die­sem Grund eig­nen sich nach dem Dice­wa­re-Ver­fah­ren gene­rier­te Pass­wör­ter weni­ger gut als Basispasswort.

Bei­spiel:

Basis­pass­wort:
pah_f5Mahtr

Ablei­tung für facebook:
pahak_f5Mahtr

  • Das ein­ge­füg­te „a” ergibt sich aus dem 2. Buch­sta­ben des Domain-Namens facebook.com, das „k” aus dem letz­ten Buchstaben.
  • Bei Kennt­nis des Pass­worts „pahak_f5Mahtr” ist es nicht ein­fach mög­lich, auf ande­re abge­lei­te­te Pass­wör­ter (z.B. pahwr_f5Mahtr für twitter.com) zu schließen.

Eine schlech­te Ablei­tung wäre z.B.:
pah_f5Mahtr-face­book

  • In die­sem Fall wäre es mög­lich, Rück­schlüs­se auf das Mus­ter zu schlie­ßen und z.B. das Pass­wort pah_f5Mahtr-twit­ter herzuleiten.

Für sicher­heits­re­le­van­te Accounts soll­ten nur eigens gene­rier­te und kei­nes­falls abge­lei­te­te Pass­wör­ter ver­wen­det werden!

Wann müs­sen Pass­wör­ter geän­dert werden?

„Abge­lei­te­te” Pass­wör­ter unter­schei­den sich i.d.R. nur durch weni­ge Zeichen.

Aus die­sem Grund kön­nen bei Kennt­nis zwei­er Pass­wör­ter leicht wei­te­re Pass­wör­ter „geknackt” werden.

Wird ein Pass­wort­dieb­stahl bekannt, soll­te des­halb das Basis­pass­wort und alle zuge­hö­ri­gen abge­lei­te­ten Pass­wör­ter kom­plett neu gene­riert wer­den (nicht nur leicht abgewandelt!).

Um den Auf­wand in sol­chen Fäl­len zu begren­zen, soll­ten für unter­schied­li­che Berei­che ver­schie­de­ne Basis­pass­wör­ter ver­wen­det werden.

Für sicher­heits­re­le­van­te Accounts soll­ten nur eigens gene­rier­te und kei­nes­falls abge­lei­te­te Pass­wör­ter ver­wen­det werden!

Schutz vor Passwortdiebstahl

Pass­wör­ter speichern

Vor­tei­le von Passwortmanagern

Um sich Pass­wör­ter nicht mer­ken zu müs­sen, kann ein Pass­wort­ma­na­ger genutzt werden.

Die Pass­wör­ter ein­zel­ner Accounts müs­sen dann nicht sys­te­ma­tisch abge­lei­tet wer­den, son­dern kön­nen unab­hän­gig von­ein­an­der gene­riert werden.

Kom­ple­xi­tät und Län­ge der Pass­wör­ter wer­den nicht durch das Erin­ne­rungs­ver­mö­gen beschränkt.

Bei­spiels­wei­se ist der quell­of­fe­ne Pass­wort­ma­na­ger „Kee­Pas­sXC”, für vie­le Betriebs­sys­te­me erhältlich:

Infos Kee­Pass (Wiki­pe­dia)

Home­page und Down­load KeePassXC

Kee­Pass DX (für Android)

Mini­Kee­Pass (für iOS)

Im Brow­ser soll­ten Pass­wör­ter nicht gespei­chert wer­den, der Pass­wort­ma­na­ger des Brow­sers soll­te nicht genutzt werden.

Nach­tei­le von Passwortmanagern

Pass­wort­ma­na­ger sind ein begehr­tes Angriffs­ziel und stel­len dadurch ein gewis­ses Sicher­heits­ri­si­ko dar.

Aus die­sem Grund soll­te kein Pass­wort­ma­na­ger ver­wen­det wer­den, der die Daten online spei­chert. Die zuge­hö­ri­gen Ser­ver sind als Angriffs­ziel ein­fach zu begehrt.

Bei Nut­zung meh­re­rer Gerä­te (PC, Han­dy, Tablet usw.) kön­nen Syn­chro­ni­sa­ti­ons­pro­ble­me auftreten.

Als Schutz gegen Defekt und Dieb­stahl müs­sen Siche­rungs­ko­pien (Back­ups) der gespei­cher­ten Pass­wör­ter ange­legt und unab­hän­gig vom Gerät auf­be­wahrt werden.

Ana­lo­ge Speicherung

In Abhän­gig­keit von den Sicher­heits­an­for­de­run­gen kann es sinn­voll sein, bestimm­te Pass­wör­ter (z.B. das Basis­pass­wort oder das Pass­wort des Pass­wort­ma­na­gers) nicht digi­tal, son­dern „klas­sisch” auf Papier zu notie­ren und die­ses sicher aufzubewahren.

Um phy­si­scher Zer­stö­rung und Dieb­stahl vor­zu­beu­gen, soll­te das Pass­wort mehr­fach und an unter­schied­li­chen Orten depo­niert werden.