Ratgeber
So wählt ihr sichere Passwörter für eure Accounts
Sichere Passwörter auf Basis von Sätzen.
Unsichere Passwörter sind in Deutschland, aber auch andernorts, offenbar immer noch die Regel. (Bild: Memegenerator)
In einer Zeit, in der Computer immer leistungsfähiger werden, ist das Knacken eines Passworts wortwörtlich nur eine Frage der Zeit. Hacker-Tools werben damit, dass sie acht Millionen Durchläufe pro Sekunde und Passwort schaffen. Das heißt aber auch, dass solche Programme auf mehreren Computern gleichzeitig laufen könnten – und das über mehrere Tage oder sogar Wochen hinweg.
Um den Zeitfaktor noch weiter zu verkürzen, ist es für Angreifer wichtig, nicht einfach nur jede Zeichenkombination auszuprobieren. Daher werden die meistgenutzten Passwörter zuerst ausprobiert. Schließlich ist es sinnlos, ein Passwort mit acht Zeichen zu cracken, indem alle 200 Milliarden Möglichkeiten ausprobiert werden.
Auch werden die „Dictionaries“ für Crack-Software immer besser, indem sie zuerst oft genutzte Passwörter überprüfen und danach dieselben noch mal mit üblichen Ergänzungen oder Endungen – und das in verschiedenen Sprachen. Zudem sind derzeitige Crack-Programme auch in der Lage, verschiedene Wörter beziehungsweise Passwörter zu neuen Wortkonstrukten zusammenzufügen oder gewisse Zeichen wie „1“, „a“ oder „s“ durch „l“, „@“ oder „$“ zu ersetzen.
Aus diesem Grund ist es nicht mehr ratsam, die XKCD-Methode einzusetzen, um ein „sicheres“ Passwort zu erzeugen. Daher gilt: Jedes Passwort, das leicht zu merken ist, kann auch relativ leicht geknackt werden. Einen interessanten Ansatz, diesem Problem Herr zu werden, bietet Bruce Schneier, der schon 2008 sein „Schneier Scheme“ für sichere Passwörter vorgestellt hat.
Dabei merkt man sich einen ganzen Satz, benutzt aber nur die ersten Buchstaben und ersetzt einige davon durch Sonderzeichen und Zahlen. Somit wird aus: „When I was seven, my sister threw my stuffed rabbit in the toilet.“ das relativ leicht zu merkende aber schwerer zu knackende Passwort „WIw7,mstmsritt“.
Schneier weist in einem aktuellen Artikel für BoingBoing aber auch ausdrücklich drauf hin, dass ein Passwort alleine nicht ausreicht. Es müssten auch weitere Hinweise beachtet werden:
- Verwendet niemals ein Passwort auf mehreren Websites.
- Erneuert beziehungsweise ändert eure Passwörter regelmäßig.
- Nutzt einen Passwortmanager.
- Wenn eine Website eine Zwei-Faktor-Authentifizierung anbietet, nutzt sie.
Und welches Passwort verwendet ihr?
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team
Seit Jahren stellt sich allerdings auch schon die Frage: Warum sollte „WIw7,mstmsritt“ sicherer sein als „When I was seven, my sister threw my stuffed rabbit in the toilet.“ ?
Warum verlinkt ihr nicht direkt auf die XKCD-Methode https://www.xkcd.com/936/ anstatt dass man diesen in den verlinkten Seiten suchen muss…
Ist es ja auch nicht. Möglicherweise gibt es immernoch Dienste, die die Passwortlänge beschränken oder viele haben sich an Daumenregeln wie +8 Zeichen gewöhnt, dass +20 Zeichen absurd scheinen.
Immer häufiger findet man den sinnvollen Hinweis statt nur PassWÖRTERN doch PassSÄTZE zu nutzen. Z.B. von Alexander Lehman & co schön dargestellt: https://vimeo.com/138839266
Ich verwende seit jeher „12345“. ;-)
Gestehen wir uns ein, dass es blöd ist, in einer Welt zu leben, in der „Passwörter“ nötig sind! Weil die (berechtigte) Angst existiert, dass andere die Gelegenheit beim Schopfe packen, uns zu schaden. Ist das die menschliche Natur oder „anerzogen“? Meine Vision: Wir kommen in ferner Zukunft darüber hinweg.
Ich hashe mein Passwort, welches nach einem einfachen Schema für alle Websites einzigartige Passwörter erzeugt.
Es gibt viele Websites, die speichern Passwörter direkt ab ohne Hashing bei der Übertragung.
So bin ich auf der sicheren Seite und ein MD5-Generator ist überall zur Hand.