Passwortmanagement

Laptop mit Login- und Passwort-Eingabe

Für viele Dienste im Internet ist das vom Benutzer selbst vergebene Passwort eine der wichtigsten Hürden für potentielle Angreifer – Passwörter schützen den Zugang zu privaten Nachrichten, Bankgeheimnissen, Fotos, Dokumenten und vielen weiteren wichtigen Daten. Deswegen sollten beim Umgang mit ihnen ein paar wichtige Grundregeln beachtet werden. Mit kleinen Tricks und den richtigen Programmen ist es aber kein Problem diese einzuhalten.

Eines vorab: Angreifer bedienen sich intelligenter Methoden und leistungsfähiger Rechner, um Passwörter zu knacken.

Passwort-Aufbau:

Die wichtigste Eigenschaft von Passwörtern ist, dass sie nicht erraten werden können. Daher sollten sie:

  • in keiner Beziehung zu persönlichen Daten stehen
  • eine Mischung aus mindestens 12 Klein- und Großbuchstaben, Zahlen und Sonderzeichen sein
  • für jeden Account komplett verschieden sein
  • keine Wörter enthalten, die man in Wörterbüchern findet (auch keine Fremdsprachen); Produkt-, Firmen- und Personennamen sind ebenfalls zu leicht zu erraten

Passwort ausdenken und merken:

Eine gute Methode merkbare Passwörter zu generieren funktioniert folgendermaßen:

  • Es wird ein eigener einfacher Satz gebildet: "Diesen Trick habe ich auf der Cryptoparty im Juni an der Hochschule Offenburg gelernt"
  • Von jedem Wort wird der erste Buchstabe genommen: DThiadCiJadHOg
  • Buchstaben werden durch ähnlich aussehende Zahlen ersetzt (i = 1, O = 0): DTh1adC1JadH0g
  • Nach dem dritten und sechsten Zeichen wird ein Sonderzeichen eingefügt: DTh$1ad§C1JadH0g

Wichtig ist, dass keine bekannten Sätze wie Zitate oder Songtexte benutzt werden, denn diese kennen potentielle Angreifer ebenso wie die beschriebene Methode und sie versuchen automatisiert, große Listen mit Passwörtern zu erstellen, die nach diesem Schema erzeugt werden.

Das so erstellte Passwort ist kaum zu erraten und relativ leicht zu merken. Hält man sich jedoch an die weiteren Empfehlungen auf dieser Seite und benutzt eine Vielzahl von Passwörtern und wechselt diese regelmäßig, so kommt man auch mit dieser Methode an seine Grenzen. Ein Passwort-Manager, wie er weiter unten vorgestellt wird, kann dann Abhilfe schaffen und die genannte Methode wird für das Masterpasswort wieder sehr nützlich.

Passwort ändern:

Passwörter sollten je nach Wichtigkeit des Systems, der Passwortqualität und den Vorgaben durch Richtlinien (z. B. des Arbeitgebers) regelmäßig geändert werden. Dabei ist zu beachten, dass eine vorhersehbare Veränderung wie das Hochzählen von Nummern (passwort1, passwort2) oder tauchen von Bestandteilen (passwort1 – wortpass2) leicht erraten werden kann und somit das Ziel verfehlt. Nur echt neue Zeichenfolgen erfüllen den Zweck, mehr Sicherheit zu schaffen.

Verschiedene Accounts...

… verschiedene Passwörter! In den letzten Jahren ist es regelmäßig zum Diebstahl umfangreicher Kundendaten gekommen. Darunter waren auch Benutzernamen, E-Mail-Adressen und die gespeicherten Passwörter. Kommt ein Krimineller in den Besitz der Daten von einem Dienst, so ist die Wahrscheinlichkeit groß, dass er versuchen wird, sich mit den selben Daten bei anderen Diensten anzumelden und Zugriff auf sensible Daten zu erlangen. Da der Endbenutzer nicht steuern kann, wie seine Daten auf den genutzten Servern gesichert werden, kann er sich nur schützen in dem er Passwörter niemals doppelt verwendet.

Leider hilft hierbei eine leichte Abwandlung des Standard-Passworts wie z. B. facepasswort1book zu amapasswort1zon und goopasswort1gle nicht, denn für den Angreifer sind diese Methoden leicht nachzuvollziehen und auszuhebeln.

Passwort-Manager:

Passwörter sollten niemals unverschlüsselt auf dem PC abgelegt werden oder auf dem berühmten Notizzettel am Bildschirm kleben. Wer sich Passwörter notieren will, sollte diese stattdessen auf Papier unter Verschluss halten bzw. auf dem Rechner in einer verschlüsselten Datei ablegen.

Eine gute Variante ist, die Passwörter mit einem Passwort-Manager wie Keepass zu verwalten und den enthaltenen Generator zur Erstellung zu nutzen. Mit diesen Managern lassen sich alle Account-Details in einer verschlüsselten Datei übersichtlich speichern. So reicht es, sich nur noch das Passwort des Managers zu merken – alles andere ist sicher abgespeichert.

Bei der Wahl des Tools ist darauf zu achten, dass es eine Version für Smartphones gibt, so dass man auch unterwegs immer Zugriff auf alle Zugangsdaten hat.

Keepass ist ein Open Source Passwort-Manager der auf vielen Geräten lauffähig ist:

Screenshot Keepass
Screenshot Browser

Die meisten aktuellen Browser bieten die Möglichkeit, Benutzernamen und Passwörter für Websites abzuspeichern. Damit die Passwörter nicht im Klartext auf der Festplatte liegen, muss ein Master-Passwort gesetzt werden. Sollte der PC bei einem Einbruch entwendet werden oder geht der Laptop verloren, sind ohne diese Vorkehrung sämtliche gespeicherten Passwörter in Gefahr. 
In Mozilla Firefox lässt sich das Passwort über das Menü Bearbeiten -> Einstellungen -> Reiter Sicherheit -> Button "Master-Passwort ändern…" festlegen

Standard-Passwörter:

Besonders bei Routern und WLAN-Accesspoints aber auch Softwarepaketen werden die Zugänge oft mit Standardpasswörtern ausgeliefert. Selbst wenn diese komplex erscheinen, müssen sie dringen geändert werden. Im Internet kursieren Listen mit gesammelten Passwörtern, die von Angreifern genutzt werden können, um voll automatisiert zu prüfen ob eines von ihnen gültig ist.