So erhöhen Sie Ihren Schutz durch sichere Passwörter

Wir zeigen, wie Sie sichere Passwörter erstellen.

Sie haben keine Lust auf komplizierte Passwörter? Wir zeigen Ihnen, wie Sie komfortable und sichere Passwörter erstellen und diese einfach nutzen.

22.05.2018 - 09:55 Uhr

Heute ist der "Ändere Dein Passwort"-Tag. Wer leichtsinnig bei der Vergabe von Passwörtern verfährt, stellt für Hacker keine Hürde dar. Es gibt aber Methoden, mit denen sich die Sicherheit eines Passwortes steigern lässt.

Auch, wenn einige Passwörter vermeintlich leicht zu merken oder witzig gemeint sind, hört der Spaß spätestens dann auf, wenn diese geknackt werden. Binnen kürzester Zeit kann der Schaden an Ihren Finanzen oder Ihrer Reputation ungeahnte Ausmaße annehmen. Denn zum einen können Hacker in Ihrem Namen Waren bestellen, zum anderen werden die hinterlegten Nutzerdaten wahlweise veröffentlicht oder gehandelt. Da einige Nutzer ihr Passwort mehrfach auf unterschiedlichen Seiten verwenden, lässt sich mit wenig Aufwand viel über diese erfahren. Auf Social-Media-Plattformen kann noch weiterer Missbrauch betrieben werden. Zahlenkombinationen wie 1234, 12345 oder 696969 sollten daher eigentlich ebenso vermieden werden wie Passwörter à la passwort, geheim, keins oder qwertz, die nicht nur leicht zu lösen sind, sondern auch inflationär genutzt werden. Nichtsdestotrotz wurde bereits mehrfach festgestellt, dass diese Verwendung finden - obwohl Berichte immer wieder vor schwachen Passwörtern warnen. Im Folgenden zeigen wir Ihnen, was Sie bei der Vergabe von Passwörtern bedenken sollten, um sich umfänglich zu schützen.

Wer Passwörter knackt, begeht eine Straftat

Der Diebstahl von Passwörtern ist alles andere als ein Kavaliersdelikt und wird in Deutschland seit August 2007 strafrechtlich verfolgt. Damit setzte die Bundesrepublik die EU-Vorgaben zur Bekämpfung von Computerkriminalität um. Definiert wurde dies im Paragraf 202c des Strafgesetzbuches (StGB) als Vorbereiten des Ausspähens und Abfangens von Daten. Dieser Paragraf besagt im genauen Wortlaut Folgendes:

Wer eine Straftat nach § 202a (Ausspähen von Daten) oder § 202b (Abfangen von Daten) vorbereitet, indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit einer Geldstrafe bestraft.

Dementsprechend sollte es sich jeder zweimal überlegen, ob er zu solchen Methoden greifen und die Sanktionen erdulden möchte.

Immer bestens geschützt sind Sie mit Avira Antivirus Pro - jetzt informieren

Unsichere Passwörter lassen sich blitzschnell knacken

Die Zeit, die Hacker zum Entschlüsseln von Passwörtern aufwenden, ist von zwei Faktoren abhängig: der Komplexität des Passwortes und der zum Angriff genutzten Hardware. In der Regel greifen Hacker auf zwei Methoden zurück, um ein Passwort zu knacken:

Wörterbuchangriff:

Eine sehr einfache Methode, an ein Passwort zu gelangen, ist der Wörterbuchangriff.
Diese Methode lässt sich mit jedem PC bewerkstelligen und nutzt die Naivität oder Unbedarftheit der Verwender von einfachen Passwörtern aus.
Dabei wendet eine Software jedes Wort aus einer vorgegebenen Liste auf die Passworteingabe an.
Diese Liste basiert meist auf Wörterbüchern und/oder häufig genutzten Passwörtern in unterschiedlichen Sprachen.
Zudem gibt es Zahlenlisten, die ebenfalls zum Entschlüsseln von sinnvollen Kombinationen aus Buchstaben und Zahlen verwendet werden.
Unabhängig von der Art der Suche beträgt die aufgewandte Zeit für einen Durchlauf nur wenige Sekunden.
Der Wörterbuchangriff wird in der Regel dann genutzt, wenn äußerst viele Passwörter in kürzester Zeit angewandt werden können.

Brute-Force-Attacke:

Bei einer Brute-Force-Attacke ist der Name quasi Programm. Jedoch nicht im wörtlichen Sinne von roher Gewalt, sondern mehr von Holzhammerangriff.
Denn das Vorgehen bei dieser Methode ist vergleichsweise plump, dafür aber sehr effektiv.
Manche Passwörter werden mittels kryptographischer Hash-Funktionen verschlüsselt, die den Eindruck vermitteln, dass ein Passwort nicht aus dem Hash-Wert berechnet werden kann.
Bei dem Hash-Wert handelt es sich um eine sich permanent erneuernde Zeichenkombination, die aus dem Passwort generiert wird.
Bei jedem Anmeldevorgang wird der Hash-Wert neu berechnet und mit dem Wert in der Datenbank verglichen.
An dieser Stelle setzt dann der Holzhammer ein, indem ein Angreifer Passwörter mit vorher berechneten Hash-Werten ausprobiert.
Dabei wird auf vordefinierte Hash-Listen oft genutzter Passwörter, sogenannte Rainbow Tables zurückgegriffen.
Sollte bei den Suchdurchläufen ein Hash-Wert mit dem eines Passwortes übereinstimmen, dann ist dieses entschlüsselt.
Leider gibt es vor Brute-Force-Attacken keinen wirklichen Schutz und sie werden in Zukunft vermutlich häufiger vorkommen.
Denn ein kompliziertes Passwort verlängert lediglich den Entschlüsselungsprozess, bis es irgendwann doch geknackt wird.
Sollte Ihr Passwort allerdings sehr kompliziert sein, kann das Dechiffrieren Jahre dauern, was Hacker vielleicht davon abhält.
Über die Webseite www.howsecureismypassword.net können Sie Ihr Passwort unter dem Gesichtspunkt prüfen lassen, wie lange ein Computer für die Entschlüsselung benötigt.
Allerdings steigt die Rechenleistung von Prozessoren und Grafikkarten unablässig, sodass die Berechnung von Passwörtern mit Brute Force zukünftig schneller umgesetzt werden kann.

Neue Schutzmethoden für Geräte, Dienste und Dokumente

Grundsätzlich kann jedes digitale Gerät, ob PC, Smartphone oder Tablet, mit einem Passwort geschützt werden. In den letzten Jahren machten sich allerdings andere Methoden daran, das Passwort zu ersetzen. Am bekanntesten wird in diesem Zusammenhang vermutlich das Entsperrmuster bei Smartphones sein. Bei dieser Methode können bis zu neun Punkte miteinander kombiniert werden, was 389 122 Kombinationsmöglichkeiten entspricht. Apple schlägt, wie so oft, eigene Wege ein. Dies gilt auch für den Schutz von iPhones. Diese verfügen optional über eine Touch-ID, die mittels Fingerabdruck ein iPhone entsperrt und authentifiziert. Das wird über den Home-Knopf realisiert, in welchem ein Fingerabdrucksensor integriert ist. Zur Erkennung reicht es aus, den Finger aufzulegen, die Taste muss dafür nicht gedrückt werden. Diese Methode bietet einen deutlich höheren Schutz für das iPhone als die PIN-Eingabe.

Eine weitere Methode stellen Security-Token dar, bei denen zur Erkennung der Nutzer auf spezielle Hardware zurückgegriffen wird. Diese besteht wahlweise aus einem USB-Stick, einer Smartcard oder einem Chip, über die Sie sich bei einem Computer oder einem Programm anmelden. Sie sind zum Beispiel in SIM-Karten von Handys oder Zugangskarten von Pay-TV-Angeboten integriert. In der Regel sind Security-Token personalisiert. Darüber hinaus können aber auch noch PINs für zusätzlichen Schutz festgelegt werden. Je nach Art offerieren die Security-Token gewisse Vor- wie Nachteile, wobei die positiven Aspekte überwiegen. In den meisten Fällen erübrigt ein Security-Token das Merken eines Passwortes und verlangt nur nach Anschluss an das jeweilige Gerät. USB-Token haben dabei den Vorteil, dass sie kein externes Kartenlesegerät benötigen wie bei einer Smartcard oder dem neuen Personalausweis, der über eine Online-Funktion verfügt. Die Anzahl an Möglichkeiten, um diesen im Internet zu verwenden, ist bisher aber noch sehr gering. Die Nachteile von Security-Token hängen vor allem mit der Bauweise und der Portabilität zusammen. Ein USB-Token kann beispielsweise durch Unachtsamkeit zerstört werden oder verloren gehen. Im ersten Fall können Sie lediglich nicht mehr auf das Gerät oder die Anwendung zurückgreifen, im zweiten Fall besteht jedoch die Gefahr, dass eine unbefugte Person Zugang erhält. Daher empfiehlt sich ein zusätzlicher Log-in-Schutz bei Security-Token.

Das sind die unsichersten Passwörter 2017:

master
passw0rd
dragon
123123
starwars
abc123
login
monkey
welcome
admin
iloveyou
football
1234567
letmein
123456789
12345
qwertz
12345678
password
123456

Schutz für Ihre Dokumente: Passwörter für Office-Dateien

Die Gründe, Dokumente mit einem Passwort zu versehen, sind mannigfaltiger Natur. Naheliegend erscheint der Schutz des geistigen Eigentums vor Dritten. Ein anderer Grund steht im Zusammenhang mit diffizilen Dokumenten wie Vertragsentwürfen, Redevorlagen oder Schriftstücken, die einer temporären Veröffentlichungssperre unterliegen. Denn auf diese Weise bleibt es ausschließlich den Erstellern des Dokuments vorbehalten, dieses zu verändern.

Des Weiteren empfiehlt es sich, Passwörter bei gemeinsamen Dateien und Ordnern im Netzwerk mit anderen Mitarbeitern oder Familienmitgliedern zu vergeben. In beiden Fällen ist zwar die Motivation für den Schutz der Daten unterschiedlich, ihre potenzielle Brisanz aber gleichwertig. Auf diese Weise kann niemand während Ihrer Abwesenheit auf die Daten Ihres Arbeitsrechners zugreifen und neugierige Kinder erhalten keinen Einblick in sensible Dateien.

Die Verantwortung der Anbieter von passwortgeschützten Diensten

Auch, wenn Sie sich alle Mühe gegeben und ein sehr sicheres Passwort gewählt haben, nützt Ihnen dies nur wenig, wenn die Anbieter von passwortgeschützten Diensten nachlässig mit der Sicherheit sind. Eigentlich sollte es selbstverständlich sein, Passwörter nur als Hash-Wert in einer Datenbank abzulegen. In der Praxis sieht dies leider in manchen Fällen anders aus. Des Weiteren wäre es gut, wenn die Anbieter von passwortgeschützten Diensten ein ähnliches Vorgehen an den Tag legen würden wie Kreditkartenunternehmen. Denn diese analysieren permanent die Kreditkarten und brechen Abbuchungen bei Auffälligkeiten sofort ab. In dieser Hinsicht wäre es vorteilhaft, wenn Anbieter überprüfen würden, wann und mit welchem Gerät sich die Kunden einloggen. Sollten Zweifel bestehen, wäre eine Abfrage mittels eines zusätzlichen Passwortes ideal. Jedoch haben auch solche Optionen ihre Nachteile. Zum Beispiel könnten Anwender solch ein Passwort vergessen oder verlegen, sodass sie keinen Zugriff mehr auf ihr Konto erhalten. Stattdessen wäre eine Zwei-Faktor-Authentifizierung eine gute Lösung. Hierbei erfolgt die Anmeldung über zwei Funktionen. Auf der einen Seite wäre das Passwort und auf der anderen Seite ein Hardware-Token oder Smartphone mit dazugehöriger Code-App. Der Vorteil dieser Methode besteht in dem deutlich erschwerten Zugang für Hacker. Aufgrund dieser Redundanz ist ein Konto, selbst wenn Hacker im Besitz des Nutzernamens und Passwortes sind, immer noch sicher, da die Langfinger keinen Zugriff auf die Hardware haben. Ein Manko dieser Methode ist bislang ihre geringe Verbreitung unter Online-Diensten wie etwa PayPal oder Google.

Dies gilt es, für sichere Passwörter zu beachten

Grundsätzlich empfiehlt es sich, ein Passwort zu wählen, welches über mindestens acht Zeichen verfügt. Ausgenommen hiervon sind Verschlüsselungsverfahren wie etwa bei WLAN-Verbindungen im eigenen Heim, da diese Passwörter aus mindestens 20 Zeichen bestehen sollten. Denn im Gegensatz zu Online-Konten können über diese Verbindungen Offlineattacken über einen längeren Zeitraum durchgeführt werden. Umso dringlicher ist ein effektiver Passwortschutz. Dabei wird davon abgeraten, Namen von Familienmitgliedern, Haustieren, Freunden oder deren Geburtsdaten für ein Passwort zu nehmen. Das Anhängen einer Zahl oder eines Sonderzeichens am Ende des Passwortes wie etwa Schatzi4 bringt keinen zusätzlichen Schutz. Gleiches gilt für Wörter, die in Wörterbücher niedergeschrieben wurden oder sich als Variante daraus ableiten lassen, und typische Wiederholungs- oder Tastaturmuster wie asdfgh, 1234 oder qwertz.

Ein Mittel, mit dem sich die Sicherheit von Passwörtern steigern lässt, sind Umlaute. Diese sind im Ausland zum einen nicht so geläufig, zum anderen auf ausländischen Tastaturen meist nicht vorhanden. Vergleichbar, jedoch optimaler, sind Sonderzeichen, die sich nicht auf der Tastatur befinden, da diese bei Attacken seltener in Betracht gezogen werden. So können Sie das Zeichen ® nur aus den Symbolen oder durch die Zahlen 0174 im Num-Block bei gedrückter ALT-Taste auswählen.

Passwörter müssen immer sicher aufbewahrt werden, sei es an einem tatsächlichen Ort oder in einer verschlüsselten Datei. Auf gar keinen Fall dürfen sie offen einsehbar sein oder unverschlüsselt auf dem PC liegen. Darüber hinaus wird empfohlen, die Passwörter in regelmäßigen Abständen von ein paar Monaten zu wechseln. Dringend abgeraten wird von der Mehrfachnutzung von Passwörtern. Verwenden Sie für jeden Online-Account ein eigenes Passwort. Ansonsten laufen Sie Gefahr, dass mehrere Accounts gehackt werden.

Bei neuen Geräten sollten voreingestellte Passwörter ebenfalls geändert werden, da diverse Produzenten diese mit einer Standardverschlüsselung versehen oder gar nicht sichern. Denn, wenn etwas passieren sollte, sind zum Beispiel die Hersteller von Routern nicht in der Pflicht. Dies wurde 2010 vom Bundesgerichtshof im Urteil zur Störerhaftung (Az. I ZR 121/08) festgelegt, welches besagt, dass die Besitzer von WLAN-Routern den Schutz von Werk aus gegen einen eigenen tauschen müssen.

Weitere und detailliertere Informationen zum Schutz von Passwörtern bietet das Bundesamt für Sicherheit in der Informationstechnik, welches auch Empfehlungen ausspricht.

Dienste, Tricks und Tools für sichere Passwörter

Wenn Sie Ihre kreativen Fähigkeiten hinsichtlich der Erfindung von Passwörtern nicht allzu hoch einschätzen, können Sie diese entweder mit einem Trick oder mittels spezieller Programme generieren. Ein einfacher Trick sind Phrasen, die sich gut merken lassen und im Idealfall einen persönlichen Bezug haben, den nur die Nutzer kennen. Auf diese Weise lassen sich sehr schnell lange und komplexe Passwörter kreieren. Dabei gehen Sie wie im folgenden Beispiel vor. Wenn die Phrase Max ist 10 Jahre alt und ein holländischer Schäferhund lautet, dann wäre das Passwort Mi10JauehS. Achten Sie dabei auf Buchstaben- und Zahlenkombinationen, wenn möglich auch mit Sonderzeichen.

Eine andere Möglichkeit zur Generierung von Passwörtern bietet das kostenlose Programm Password Generator. Dieses ist auch als vereinfachte Online-Version unter www.gaijin.at/olspwgen.php verfügbar. Für die Erstellung eines Passwortes legen Sie dessen Bestandteile fest. Dafür stehen Klein- und Großbuchstaben, Ziffern, Sonderzeichen und Hex-Werte zur Verfügung. Das Passwort lässt sich erfahrungsgemäß besser merken, wenn Vokale, Konsonanten und einzelnen Wortsilben separiert werden. Für die Kreation von langen und komplizierten WLAN-Passwörtern sollte das Tool RK-WLAN-Keygen genutzt werden. Steuern Sie im Ausklappmenü zunächst den Punkt SSID/Schlüsseltyp und dann WPAPSK/WPA2-PSK Passphrase ASCII 8-63 Zeichen an. In dem darunter befindlichen Abschnitt werden die Zeichentypen definiert, die zur Erstellung des Passwortes genutzt werden sollen. Es empfiehlt sich dabei 0-9, A-Z, a-z + erweiterte Sonderzeichen auszuwählen, da dies die sicherste Option darstellt. Bedenken Sie allerdings, dass eventuell Umlaute oder Akzente genutzt werden können, die nicht Bestandteil der deutschen Tastenbelegung sind. Nutzen Sie alternativ die zweite Variante 0-9, A-Z, a-z + Sonderzeichen. Zuletzt müssen Sie noch die Länge des Passwortes festlegen, wofür maximal 63 Zeichenstellen zur Verfügung stehen. Danach wählen Sie Schlüssel generieren aus, um das Passwort zu erstellen.

Immer bestens geschützt sind Sie mit Avira Antivirus Pro - jetzt informieren

Mehr Schutz für Ihr Smartphone oder iPhone

Wenn ein Smartphone ohne Zugangsschutz einmal abhanden kommen oder gestohlen werden sollte, stehen Dritten sämtliche Daten und Funktionen zur Verfügung. Der daraus resultierende Schaden kann enorm sein. Dementsprechend ist es unabdingbar, ein Smartphone umfassend zu schützen, am besten durch eine Sperre.

Android

Android-Geräte verfügen über einige Schutzfunktionen, die individuell eingestellt werden können. Am anwenderfreundlichsten ist das Sperrmuster, welches beispielsweise bei Galaxy S4 wie folgt festgelegt wird. Zuerst gehen Sie in die Einstellungen und im Reiter Mein Gerät auf Sperrbildschirm. Nun wählen sie Muster aus, um die Sperre zu definieren. In der Regel stehen dafür neun Punkte bereit. Nun ziehen Sie mit dem Finger ein möglichst kompliziertes aber merkbares Muster. Bedenken Sie, dass mindestens vier Punkte miteinander verbunden werden müssen. Neben dem Sperrmuster müssen Sie noch eine Sicherungs-PIN bestimmen. Mit dieser kann das Smartphone freigegeben werden, falls Sie sich nicht an das Muster erinnern können.
Apple iOS

Auf die Code-Sperre, mit der sich ein unbefugter direkter Zugriff auf das iPhone verhindern lässt wird ebenso in iOS zurückgegriffen. Dabei sollten Sie bei der Einrichtung der Code-Sperre darauf achten, dass diese einerseits umgehend aktiv ist, andererseits der Code jedes Mal zur Freigabe des Bildschirms eingegeben werden muss. Zusätzlich sollten Sie Ihr iPhone mit einem langen sowie komplexen Passwort versehen. Dafür müssen Sie zunächst die iOS-Einstellungen aufrufen. Danach wählen Sie Allgemein sowie Code-Sperre aus und deaktivieren im Anschluss den Punkt Einfacher Code. Nun können Sie ein neues Passwort festlegen. Je höher die Zahl an Stellen ist, desto mehr ist das iPhone vor Brute-Force-Attacken geschützt. Apple weist zur Veranschaulichung darauf hin, dass ein sechsstelliges Passwort innerhalb von 22 Stunden, ein neunstelliges jedoch erst nach zweieinhalb Jahren entschlüsselt werden kann.

Quelle: In Zusammenarbeit mit PC-Welt