Wenn es um die Sicherheit von Passwörtern geht, klaffen Theorie und Praxis weit auseinander. Theoretisch sind die Anforderungen an sichere Passwörter klar. Praktisch werden die Erkenntnisse umgangen oder entwertet, etwa indem Passwörter unsicher aufbewahrt werden.
Ob ein Passwort sicher ist, hängt davon ab, wo es eingesetzt wird. Die Passwortanforderungen für ein Webdienst, bei dem keine persönlichen oder wertvollen Daten hinterlegt sind, sind niedriger als die Anforderungen an ein Passphrase, der den Zugang zu einem Passwort-Manager ermöglicht und die Passwörter zu allen Diensten enthält.
Je länger und sicherer ein Passwort ist, umso schwerer merkbar ist es meist. Einerseits können wir unsere Erinnerungsfähigkeit durch verschiedene Strategien verbessern und dadurch die Passwortsicherheit erhöhen. Andererseits verwenden wir für Erinnerungsstrategien Muster, die es einem Hacker erleichtern ein Passwort zu finden, sobald er das Muster kennt.
Für die meisten Benutzer ist es daher wichtig, eine Strategie zu entwickeln, die Sicherheit und Merkbarkeit ausbalanciert. Dieser Artikel soll diese Balance treffen. Er erklärt nicht die sicherste Methode, da sie im Alltag nicht praktikabel ist, sondern legt Wert auf Praktikabilität und bietet dennoch eine sehr hohe Sicherheit. Unsere Empfehlung für gute Passwörter ist daher:
- Verwenden Sie einen Passwort-Manager
- Erstellen Sie einen Passphrase für Ihren Passwort-Manager
- Generieren Sie sichere Passwörter automatisch in Ihrem Passwort-Manager
- Bei united-domains: Aktivieren Sie unsere zweistufige Verifizierung
Passwort-Manager
Der Vorteil eines Passwort-Managers beruht darauf, für jeden Dienst ein ausreichend sicheres Passwort zu generieren. Zudem können alle Passwörter einfach verwaltet werden. Die Wahl setzt voraus, dem Softwareanbieter und dem Konzept zu vertrauen. Auch das BSI (Bundesamt für die Sicherheit in der Informationstechnik) empfehlt einen Passwortmanager.
Eine Auswahl von Passwort-Managern:
- 1Password
- Dashlane
- Enpass
- Keeper Password Manager & Digital Vault
- LastPass
- LogMeOnce Password Management Suite Ultimate
- Password Boss Premium v2.0
- RoboForm 8 Everywhere
- Sticky Password Premium
- True Key by Intel Security
Passwort und Passphrase
Vertraut der Benutzer einem Passwort-Manager, sollte er ein sicheres Passwort für den Passwort-Manager erstellen. Dadurch geniesst er die Vorteile von guten, zufällig erstellten Passwörtern, die individuell für jeden Dienst erstellt werden.
Wie sieht ein gutes Passwort aus? Sehen Sie sich das Interview von John Oliver mit Edward Snowden an:
Oliver bittet Snowden zunächst um die Bewertung verschiedener Passwörter:
- Passwerd
- onetwothreefour
- limpbiscuit4eva
Alle bewertet Snowden als unzureichend und möchte den User zu einem Umdenken bewegen. Weg vom Passwort und hin zu einem Satz, der als Passwort dient – dem Passphrase.
The best advice here is to shift your thinking from passwords to passphrases.
Sein Beispiel für ein Passphrase: margaretthatcheris110%SEXY. Analog können Sie sich Ihren eigenen Passphrase bauen. Eine Alternative dazu ist ein Passwort aus den ersten (ein, zwei oder drei) Anfangsbuchstaben eines Satzes, den Sie leicht im Gedächtnis behalten können. Aus den Hölderlin-Versen »Wo aber Gefahr ist, wächst das Rettende auch« kann so das (19-Zeichen) Passwort »woab-geis-wada-reau« werden. Beachten Sie bei Sonderzeichen, dass Sie in Verlegenheit geraten könnten, Ihr Passwort auf einer ausländischen Tastatur einzugeben. Wenn Sie ein Verfahren vorziehen, dass zufällig ist und keinen Rechner erfordert, können Sie auf diceware zurückgreifen. Dieses Verfahren wurde entworfen, um PGP-Passphrases zu erstellen. Es nutzt Wörterlisten und Würfel und wird auch von Kryptologen empfohlen. Webdienste, die einen Passphrase generieren, sind keine seriösen Bezugsquellen. Es ist unklar, wer Zugriff auf den generierten Passphrase hat, ob dieser gespeichert und ob dieser sicher übermittelt wird. Zudem ist nicht nachvollziehbar, ob der Zufallszahlengenerator ausreichend gut ist, der wiederum die Passwortstärke bestimmt.
Tipp: Wählen Sie Sonderzeichen im Passwort/Passphrase mit Bedacht: Einfache und offensichtliche Ersetzungsvorgänge machen ein Passwort nicht sicherer und sind schwieriger zu merken. Auch wenn es die Passwortanforderungen vieler Anbieter erfüllt, ist „P@$$w0rd!“ ein schlechtes Passwort. Randall Munroe hat dazu eine überzeugende und verständliche Illustration erstellt.
Passwörter im Passwort-Manager generieren
Sichere Passwörter können Sie in Ihrem Passwort-Manager generieren. Je nach Anbieter stehen Ihnen unterschiedliche Kompositionsregeln zur Verfügung. Da Sie sich die Passwörter nicht merken müssen, können Sie auf 30+ Zeichen zurückgreifen, sofern die Webdienste lange Passwörter unterstützen.
Zweistufige Verifizierung
united-domains bietet als zusätzlichen Absicherung des Kundenportfolios eine zweistufige Verifizierung. Mit einem Smartphone ist es möglich, einen zusätzlichen zweiten Faktor abzufragen, ohne den Login-Aufwand signifikant zu erhöhen. Dazu wird über eine OTP/Authenticator-App ein Code generiert, der 30 Sekunden gültig ist. Dieser Code wird beim Login in das Kundenportfolio zusätzlich abgefragt.
Lesen Sie dazu unsere FAQ »So aktivieren Sie die zweistufige Verifizierung bei united-domains«. Der Blogartikel »Zweistufige Verifizierung (2FA) für unser Domain-Portfolio« erklärt die Vorteile einer zweistufigen Registrierung und enthält eine kurze Übersicht zu One-Time-Password-Apps (OTP-Apps).