Wie muss ein sicheres Passwort aussehen?

Software-Systeme wie Google, Facebook, aber auch Wordpress sind heutzutage ansich sehr sicher. Die größte Schwachstelle ist das Passwort der Benutzer. Deshalb solltest auch Du ein möglichst sicheres Passwort für Deinen Wordpress-Administrationsbereich wählen. Und nicht nur da.

Was sind die Kriterien für ein sicheres Passwort?

Eines vorweg: Jedes Passwort kann geknackt werden. Unsere Aufgabe ist es, das Knacken der eigenen Passwörter so schwierig wie möglich zu machen. Das bedeutet: Es muss möglichst lange dauern, bis das Passwort geknackt wird.

Unsichere Passwörter

Bevor wir uns um sichere Passwörter kümmern, werfen wir kurz einen Blick auf unsichere Passwörter.

Was sind unsichere Passwörter?

  • Sehr kurze Passwörter können schneller gehackt werden als lange Passwörter.
  • Einfache Standard-Passwörter wie passwort oder 1234 probieren Hacker immer als erstes.
  • Als nächstes werden Wörter versucht, die im Wörterbuch stehen.
  • Auch Tastaturmuster wie qwertzuiop oder asdfghj sind sehr unsicher.
  • Vermeide Namen von Familienmitgliedern, Freunden, Haustieren und deren Geburtsdaten.

Sichere Passwörter

Okay, das klingt alles ganz logisch. Was sind denn nun die Kriterien für ein sicheres Passwort?

  • Mindestens 8 Zeichen lang, besser 12 oder mehr.
  • Verwende verschiedene Kleinbuchstaben (a-z)
  • Verwende verschiedene Großbuchstaben (A-Z)
  • Verwende verschiedene Zahlen (0-9)
  • Verwende verschiedene Sonderzeichen (z.B. !,.-_@)

Auf Umlaute solltest Du eventuell verzichten, da es sein kann, dass sie auf ausländischen Tastaturen nicht vorhanden sind.

Beispiele für sichere Passworte: uZh5@rT.x2!Km oder 3c.Et8u_kL2!z

Leichter zu merkende Passwörter

Es ist natürlich nicht unbedingt leicht, sich solch ein kompliziertes Passwort zu merken. Es kann helfen, sich einen leicht zu merkenden Satz auszudenken und die Anfangsbuchstaben der einzelnen Wörter zu einem sicheren Passwort zusammenzusetzen.

Beispiel:

Satz: Ich war 3 Jahre alt, als Papa mich zum 1. Mal in den Kindergarten brachte.

Passwort: Iw3Ja,aPmz1.MidKb.

Wie kann ich überprüfen, ob mein Passwort sicher ist?

Auf howsecureismypassword.net gibt es ein Tool, das berechnet, wie lange es voraussichtlich dauern würde, das eingegebene Passwort zu knacken.

Die beiden oben genannten Beispiele sind laut diesem Tool in etwa 47 Millionen Jahren geknackt. Unser Beispiel-Satz mit dem Kindergarten gilt laut dem Tool als schier unknackbares Passwort. Probiert es selbst aus!

Die oben als unsicher deklarierten Passworte wären in wenigen Millisekunden gehackt, außer qwertzuiop, dafür bräuchte ein Computer etwa 59 Minuten. Auch das ist alles andere als sicher.

Nicht überall dasselbe Passwort verwenden

Wichtig ist es, nicht überall dasselbe Passwort zu benutzen. Selbst wenn das gewählte Passwort so sicher ist, dass es Jahre bräuchte, es zu knacken: Sollte es mal passieren, dass Hacker ganze Datensätze von Servern klauen, bringt einem das sichere Passwort auch nicht mehr viel.

In so einem Fall heißt es: Schadensbegrenzung.

Ein Beispiel: Nehmen wir mal an, Du hast Dich auf Facebook, bei Amazon, auf irgendeiner kleinen Website und auf Deinem eigenen Blog mit Deiner E-Mail-Adresse und überall demselbem (vermeintlich sicheren) Passwort - z.B. uZh5@rT.x2!Km - angemeldet.

Nehmen wir nun weiter an, die Datenbank der o.g. kleinen Website wird gehackt und alle Datensätze gestohlen. Wenn diese Website unsicher programmiert wurde und die Passwort bspw. unverschlüsselt in der Datenbank gespeichert wurden, haben die Hacker nun 1. Deine E-Mail-Adresse und 2. Dein Passwort.

Was heißt das konkret?

Ganz einfach: Die Hacker füttern ihre Programme nun mit den gestohlenen Daten und testen diese Daten auf diversen Websites durch, so z.B. auch auf Facebook, auf Amazon und auch auf Deinem Blog (das muss niemand per Hand machen, das machen die Computer der Hacker innerhalb von Millisekunden vollautomatisch).

Da Du überall dasselbe Passwort verwendet hast, haben die Hacker nun uneingeschränkten Zugriff auf Deinen Facebook-Account, auf Dein Amazon-Konto und auf Deinen Wordpress-Blog.

Traumhafte Vorstellung, oder?

Du solltest also möglichst für jeden Account ein eigenes Passwort verwenden.

Einfacher Tipp von mir

Ich weiß, dass das ganz schnell dazu führt, dass man den Überblick über seine Passworte verliert. Daher verwende ich seit einiger Zeit einen kleinen Trick, mit dem ich fast überall unterschiedliche Passworte habe, mir aber dennoch nur ein einziges merken muss:

Nehmen wir wieder an, Dein Passwort ist uZh5@rT.x2!Km - das kannst Du Dir gerade so merken.

Hier der kleine Tipp:

  • Für Facebook benutzt Du nun das Passwort uZh5@rT.x2!Km.F
  • Für Amazon benutzt Du nun das Passwort uZh5@rT.x2!Km.A
  • Für Deinen Wordpress-Blog benutzt Du nun das Passwort uZh5@rT.x2!Km.W

Erkennst Du die Logik dahinter?

Richtig! Du benutzt überall dasselbe Passwort, hängst am Ende aber z.B. den ersten Buchstaben der jeweiligen Website an. Optimalerweise noch mit einem Sonderzeichen davor, also z.B. .F für Facebook.

Noch sicherer erscheint es im ersten Moment, den gesamten Webseiten-Namen anzuhängen, dann wird das Passwort noch länger. Ja, im ersten Moment stimmt das, aber meinst Du nicht, dass ein Hacker das System erkennt, wenn er oder sein Hackerprogramm ein Passwort vorfindet, das uZh5@rT.x2!Km.Facebook heißt?

Wenn Du nur den ersten Buchstaben benutzt, fällt das im ersten Moment nicht auf. Der Hacker müsste dann schon zwei Datenbanken gleichzeitig geknackt haben, um die Regelmäßigkeit zu erkennen.

Und im Zweifelsfall nimmst Du einfach immer den nächsten Buchstaben im Alphabet: uZh5@rT.x2!Km.G für Facebook oder uZh5@rT.x2!Km.B für Amazon. Dann ist gar kein System mehr zu erkennen. Aber: Du brauchst Dir nur ein einziges Passwort - und natürlich Deine eigene Taktik - merken.

Bildquelle: linusb4 via freeimages.com