Wie wähle ich ein sicheres Passwort

Am Anfang steht das Passwort. Gerade bei E-Mail-Domains ist eine hohe Sicherheitsanforderungen an das Passwort gestellt. Doch was zeichnet ein sicheres Passwort eigentlich aus?

Eigennamen, Kalenderdaten und alle Begriffe, die Sie in einem Wörterbuch finden, sind als singuläre Passwörter völlig ungeeignet. Mit Hilfe sogenannter Brute-Force-Attacken können Hacker bekannte Begriffe oder übliche Zahlenkombinationen einfach durchprobieren, bis die Kombination passt.

Je länger die von Ihnen gewählten Zeichenkombination, desto länger dauert es, Ihr Passwort zu erraten – vorausgesetzt, die Zeichen oder Wortkombinationen wurden zufällig gewählt. Im besten Fall ist das Passwort so gewählt, dass die Brute-Force-Methode viele Jahre benötigen würde, um zum Erfolg zu kommen.

Sicherheitsexperten des NIST (National Institute of Standards and Technology) empfahlen früher Klein- und Großbuchstaben, Sonderzeichen und Zahlen zu verwenden. Sicherheitsforscher fanden jedoch heraus, dass diese Vorgabe nicht zu besseren Passwörtern führte. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt weiter, Sonderzeichen, Klein- und Großbuchstaben und Zahlen zu verwenden.

Die Faustregel zur Zeichenanzahl lautet: Mit mindestens zehn zufällig gewählten Zeichen.

Jetzt fragen Sie sich bestimmt: Wie soll ich mir ein 10-stelliges oder längeres Passwort merken? Dazu gibt es einen einfachen Trick: Bauen Sie Ihr Passwort aus den Anfangsbuchstaben eines Satzes, den Sie leicht im Gedächtnis behalten können. Aus den Hölderlin-Versen “Wo aber Gefahr ist, wächst das Rettende auch” wird dann das Passwort »woabgeiswadareau«. Bei einem längeren Satz können Sie auch nur das erste Zeichen nehmen (Akyronym). Beachten Sie noch bei Sonderzeichen, dass Sie in Verlegenheit geraten könnten, Ihr Passwort auf einer ausländischen Tastatur einzugeben.

Eine noch einfachere Variante schlagen die Autoren der Seite xkcd.com vor. Hier ist die Merkbarkeit noch etwas besser.

Werden mehrere zufällig gewählte Wörter zu einem Passwort kombiniert, liegt die Sicherheit auf einem hohen Niveau. Auf diese Methode setzt beispielsweise Diceware. Der Erfinder empfiehlt 6 Wörter zu einem Passwort (Passphrase) zu verbinden.

Doch was nützt ein sicheres Passwort, wenn der Betreiber Ihres Lieblingsforums die Zugangsdaten seiner Nutzer seinerseits nicht sicher verwahrt? Denn verwenden Sie für alle Internet-Services dasselbe Passwort, können Hacker in den Besitz Ihres E-Mail-Passwortes gelangen, wenn nur einer dieser Dienste ein Sicherheitsleck aufweist. Im schlimmsten Fall erfahren Sie nicht einmal davon.

Hier helfen Passwort-Programme wie »1Password« (Mac und iOS) oder im Open-Source-Bereich »KeyPass« (Win, inoffiziell auch für viele andere Plattformen). Mit diesen Werkzeugen können Sie sich für jeden Service ein eigenes sicheres Passwort erzeugen lassen, müssen sich aber nur ein geheimes Master-Passwort merken. Sie helfen auch gegen Keylogger, das sind kleine versteckte Programme, welche Ihre Tastatureingaben ausspionieren. Zusätzlich können sie auch bei Phishing-Attacken helfen, da einige Passwortmanager nur dann das richtige Passwort einsetzen, wenn die richtige Domain aufgerufen wird.

Tipps:

1. Aktivieren Sie unsere zweistufige Verifizierung für Ihr Domainportfolio. Zusätzliche Informationen zur zweistufigen Verifizierung finden Sie auch in unserem Blogartikel »Zweistufige Verifizierung (2FA) für unser Domain-Portfolio«.

2. Lesen Sie unseren Blogartikel »Ein besseres Passwort« für Hinweise zu Passwortmanagern und Passwortsätzen (Passphrases).