Ver­öf­fent­licht am 18.1.2018

Siche­re Pass­wör­ter erzeugen

Mög­lich­keit 1: Passwortgenerator

Ein siche­res Pass­wort lässt sich sehr ein­fach mit dem Pass­wort­ge­ne­ra­tor „PWGen” generieren.

Dabei kön­nen rela­tiv kur­ze und trotz­dem siche­re Pass­wör­ter gene­riert werden.

Auch bei Aus­schöp­fung des kom­plet­ten Zei­chen­sat­zes (inkl. Son­der­zei­chen und Zah­len) soll­te eine Min­dest­län­ge von 8 Zei­chen nicht unter­schrit­ten wer­den. Bes­ser ist es, etwas län­ge­re Pass­wör­ter zu nutzen.

Die freie Soft­ware kann z.B. hier her­un­ter­ge­la­den werden:

PWGen für Ubuntu

PWGen für Windows

Kom­ple­xi­tät, Pass­wort­län­ge und letzt­lich das Sicher­heits­ni­veau kön­nen durch ent­spre­chen­de Para­me­ter kon­fi­gu­riert werden.

PWGen gene­riert auch „les­ba­re” und damit bes­ser „erlern­ba­re” Passwörter.

Kon­fi­gu­ra­ti­ons­pa­ra­me­ter PWGen

Mög­lich­keit 2: Diceware

Wenn man nicht „schum­melt”, kann man mit dem Dice­wa­re-Ver­fah­ren eben­falls siche­re Pass­wör­ter generieren.

Dabei kön­nen Pass­phra­sen gene­riert wer­den, die man sich rela­tiv leicht mer­ken kann.

Mit einem Wür­fel wür­felt man fünf­mal und setzt die Ergeb­nis­se zu einer fünf­stel­li­gen Zahl zusam­men. Bei­spiel: 61426

Jetzt liest man das zuge­hö­ri­ge Wort aus der Dice­wa­re-Tabel­le ab:

Dice­wa­re-Wort­lis­te deutsch

Bei­spiel: 61426 => these

Wich­tig:

Dabei soll­te man nicht „schum­meln”, indem man sich nicht das gewür­fel­te son­dern ein „beque­me­res” Wort aussucht.

Durch die Mög­lich­keit „zu schum­meln” ist bei die­sem Ver­fah­ren davon aus­zu­ge­hen, dass es in der Pra­xis zu einer Häu­fung „beque­mer” Wör­ter kommt (vgl. zu die­ser Pro­ble­ma­tik den fol­gen­den Artikel):

„Risi­ko Mensch“ bei der Passwortwahl

Die­sen Ablauf wie­der­holt man für 6 Wör­ter, die man zum Schluss in einer lan­gen Pass­phra­se zusammensetzt.

Zusätz­lich kön­nen noch wei­te­re Zei­chen hin­zu­ge­fügt wer­den (z.B. Son­der­zei­chen und Zah­len), wodurch das Pass­wort noch stär­ker wird.

Anlei­tung für das Dice­wa­re-Ver­fah­ren (Wiki­pe­dia)

Pass­wort­va­ri­an­ten von einem Basis­pass­wort sys­te­ma­tisch ableiten

Von einem siche­ren Basis­pass­wort kön­nen unter­schied­li­che Pass­wör­ter für ein­zel­ne Accounts sys­te­ma­tisch abge­lei­tet werden.

Wich­tig ist dabei, dass bei Kennt­nis eines der Pass­wör­ter nicht auf ande­re Pass­wör­ter geschlos­sen wer­den kann.

Aus die­sem Grund eig­nen sich nach dem Dice­wa­re-Ver­fah­ren gene­rier­te Pass­wör­ter weni­ger gut als Basispasswort.

Bei­spiel:

Basis­pass­wort:
pah_f5Mahtr

Ablei­tung für facebook:
pahak_f5Mahtr

  • Das ein­ge­füg­te „a” ergibt sich aus dem 2. Buch­sta­ben des Domain-Namens facebook.com, das „k” aus dem letz­ten Buchstaben.
  • Bei Kennt­nis des Pass­worts „pahak_f5Mahtr” ist es nicht ein­fach mög­lich, auf ande­re abge­lei­te­te Pass­wör­ter (z.B. pahwr_f5Mahtr für twitter.com) zu schließen.

Eine schlech­te Ablei­tung wäre z.B.:
pah_f5Mahtr-face­book

  • In die­sem Fall wäre es mög­lich, Rück­schlüs­se auf das Mus­ter zu schlie­ßen und z.B. das Pass­wort pah_f5Mahtr-twit­ter herzuleiten.

Für sicher­heits­re­le­van­te Accounts soll­ten nur eigens gene­rier­te und kei­nes­falls abge­lei­te­te Pass­wör­ter ver­wen­det werden!

Wann müs­sen Pass­wör­ter geän­dert werden?

„Abge­lei­te­te” Pass­wör­ter unter­schei­den sich i.d.R. nur durch weni­ge Zeichen.

Aus die­sem Grund kön­nen bei Kennt­nis zwei­er Pass­wör­ter leicht wei­te­re Pass­wör­ter „geknackt” werden.

Wird ein Pass­wort­dieb­stahl bekannt, soll­te des­halb das Basis­pass­wort und alle zuge­hö­ri­gen abge­lei­te­ten Pass­wör­ter kom­plett neu gene­riert wer­den (nicht nur leicht abgewandelt!).

Um den Auf­wand in sol­chen Fäl­len zu begren­zen, soll­ten für unter­schied­li­che Berei­che ver­schie­de­ne Basis­pass­wör­ter ver­wen­det werden.

Für sicher­heits­re­le­van­te Accounts soll­ten nur eigens gene­rier­te und kei­nes­falls abge­lei­te­te Pass­wör­ter ver­wen­det werden!

Sicher­heits­hin­wei­se für den Passwortschutz

Pass­wör­ter speichern

Vor­tei­le von Passwortmanagern

Um sich Pass­wör­ter nicht mer­ken zu müs­sen, kann ein Pass­wort­ma­na­ger genutzt werden.

Die Pass­wör­ter ein­zel­ner Accounts müs­sen dann nicht sys­te­ma­tisch abge­lei­tet wer­den, son­dern kön­nen unab­hän­gig von­ein­an­der gene­riert werden.

Kom­ple­xi­tät und Län­ge der Pass­wör­ter wer­den nicht durch das Erin­ne­rungs­ver­mö­gen beschränkt.

Bei­spiels­wei­se ist der quell­of­fe­ne Pass­wort­ma­na­ger „Kee­Pas­sXC”, für vie­le Betriebs­sys­te­me erhältlich:

Infos Kee­Pass (Wiki­pe­dia)

Home­page und Down­load KeePassXC

Kee­Pass DX (für Android)

Mini­Kee­Pass (für iOS)

Im Brow­ser soll­ten Pass­wör­ter nicht gespei­chert wer­den, der Pass­wort­ma­na­ger des Brow­sers soll­te nicht genutzt werden.

Nach­tei­le von Passwortmanagern

Pass­wort­ma­na­ger sind ein begehr­tes Angriffs­ziel und stel­len dadurch ein gewis­ses Sicher­heits­ri­si­ko dar.

Aus die­sem Grund soll­te kein Pass­wort­ma­na­ger ver­wen­det wer­den, der die Daten online spei­chert. Die zuge­hö­ri­gen Ser­ver sind als Angriffs­ziel ein­fach zu begehrt.

Bei Nut­zung meh­re­rer Gerä­te (PC, Han­dy, Tablet usw.) kön­nen Syn­chro­ni­sa­ti­ons­pro­ble­me auftreten.

Als Schutz gegen Defekt und Dieb­stahl müs­sen Siche­rungs­ko­pien (Back­ups) der gespei­cher­ten Pass­wör­ter ange­legt und unab­hän­gig vom Gerät auf­be­wahrt werden.

Ana­lo­ge Speicherung

In Abhän­gig­keit von den Sicher­heits­an­for­de­run­gen kann es sinn­voll sein, bestimm­te Pass­wör­ter (z.B. das Basis­pass­wort oder das Pass­wort des Pass­wort­ma­na­gers) nicht digi­tal, son­dern „klas­sisch” auf Papier zu notie­ren und die­ses sicher aufzubewahren.

Um phy­si­scher Zer­stö­rung und Dieb­stahl vor­zu­beu­gen, soll­te das Pass­wort an unter­schied­li­chen Orten depo­niert werden.