Passwörter. Niemand mag sie. Und unsere eigenen hassen wir erst recht. Wir wissen, dass sie miserabel sind, aber es ist so kompliziert, sie zuverlässiger zu gestalten: Verwenden Sie Groß- und Kleinbuchstaben. Zahlen. Symbole. Verwenden Sie keine Sätze, verwenden Sie keine Wörter, blablabla.

Zum Schluss kommt etwas dabei heraus wie M@5t3Rp@$$w0rd1967.

Und wer soll sich all das merken?

Wie würden Sie reagieren, wenn wir Ihnen verraten würden, dass schwafeln Nimmersatt Gesetzgebung kürzer Monsun Autor ein stärkeres Passwort ist als M@5t3Rp@$$w0rd1967?

Diese Art von Passwort wird als Passphrase bezeichnet: eine beliebige Folge ganz normaler Wörter. Man kann es sich viel einfacher merken als „herkömmliche Passwörter“ – und dennoch fällt es Hackern schwerer, sie zu entschlüsseln. Perfekt!

Bevor wir uns mit dem konkreten Entwurf Ihrer eigenen Passphrase auseinandersetzen, fragen Sie sich vielleicht, warum dies notwendig ist. Wie schlecht können Ihre aktuellen Passwörter schon sein?

Muss ich wirklich alle meine Passwörter ändern?

Kurze Antwort: Ja. Wenn Sie wie die meisten Leute sind, dann stehen die Chancen gut, dass Ihr Passwort nicht besonders wirksam ist. Ein leicht zu erratendes Passwort bedeutet nur, dass Sie sich sozusagen selbst zum Hacking freigeben. 

Wie? Nun, Hacker verfügen gleich über mehrere Methoden:

  • Sie probieren die gängigsten Passwörter aus: Hacker können sich mühelos Zugang zu Konten verschaffen, indem Sie einige der gängigsten Passwörter ausprobieren – Sachen wie 123456 oder das Wort Passwort. Sollten Sie eines davon verwenden und Ihr Konto dennoch noch nicht geknackt worden sein, dann sollten Sie sich vielleicht ein Lotterielos kaufen, weil Sie dann von mehr Glück gesegnet sind als die meisten Menschen der Welt. 
  • Brute-Force-Angriffe: Wenn Ihr Benutzername und Ihr Passwort bei einer Datenleck offengelegt werden, können Hacker Ihre Daten über Brute-Force-Angriffe entschlüsseln. Mit einem Programm können zwielichtige Akteure alle nur erdenklichen Passwörter durchprobieren (und so Hunderte oder Tausende möglicher Optionen testen), bis sie das richtige gefunden haben. Selbst wenn Sie eine Kombination aus Groß- und Kleinbuchstaben und Sonderzeichen verwendet haben, kann moderne Technologie ein 8-stelliges Passwort in etwa zwei Stunden (!) entschlüsseln.
  • Anmeldedaten wiederverwenden: Sobald Hacker oder Spammer Ihren Benutzernamen und Ihr Passwort für ein Konto besitzen, können sie diese Anmeldedaten problemlos bei allen anderen Konten ausprobieren. Wenn Sie Ihre Anmeldedaten recycelt haben (d.h., Sie haben denselben Benutzername und dasselbe Passwort anderswo bereits verwendet – dann haben Sie Zugriff auf all Ihre Konten, die diese Anmeldedaten ebenfalls verwenden.

Worauf kommt es also an, um Hacker in die Knie zu zwingen? Welche Art von Passwort gilt als sicher? So ärgerlich es auch sein mag, Sie müssen tatsächlich die Länge und Komplexität Ihrer Passwörter erhöhen und für jedes Konto ein anderes Passwort verwenden.

Aber nicht verzweifeln: Das Ganze ist einfacher als Sie vielleicht denken, zumindest wenn Sie Passphrasen verwenden.

Was ist eine Passphrase?

Wie bereits erwähnt, ist eine Passphrase eine Zusammenstellung ganz allgemeiner Wörter, die zufällig zu einer Phrase kombiniert werden. Stellen Sie sich eine Passphrase wie schwafeln Nimmersatt Gesetzgebung kürzer Monsun Autor vor.

Die besten Passwörter sind jene, die 1) leicht zu merken und 2) für Hacker schwer zu entschlüsseln sind. Passphrasen sind die besten Passwörter, weil sie echte Wörter verwenden, an die man sich erinnern kann (und nicht eine Sammlung verrückter Symbole und Buchstaben), und sie sind sehr lang, was es viel schwieriger macht, sie mit Brute-Force-Angriffen oder anderen Methoden zu knacken.

Der einzige Haken dabei ist, dass die gängigen Wörter in Ihrer Passphrase wirklich zufällig sein müssen, um ein sicheres Passwort zu ergeben.

Zum Glück haben wir eine Methode dafür. Sie brauchen lediglich ein paar Minuten Zeit und ein paar Würfel.

Wie erstelle ich eine Passphrase?

Eine Passphrase zu erstellen ist ganz einfach. Aber wählen Sie die Wörter nicht selbst. Menschen sind notorisch schlecht darin, echte Zufälligkeit zu erzeugen. Wir haben eine zu große Vorliebe für Muster und alle unsere Wörter haben eine Bedeutung. Das macht es doppelt so schwer für uns, wirklich zufällige Passphrasen zu erstellen.

Anstatt einen zufälligen Passphrasen-Generator online zu verwenden, können Sie die entsprechenden Schritte ganz einfach selbst durchführen. Wir empfehlen die Verwendung von Diceware, einer vom IT-Guru Arnold Reinhold entwickelten Methode zur Generierung von Passphrasen. Dazu gehört eine einfache Liste mit 7776 Wörtern, von denen jedem eine entsprechende 5-stellige Zahl zugeordnet ist, die Sie auswürfeln können.

Es ist viel einfacher als es klingt. Ich zeige es Ihnen Schritt für Schritt:

  1. Laden Sie die Diceware-Wortliste herunter: Sie können sie in einem einfachen Texteditor öffnen.
  2. Würfeln Sie fünfmal mit einem Würfel (oder einmal mit fünf Würfeln) und markieren Sie die Zahlen der Reihe nach.
  3. Suchen Sie das Wort, dass Ihren gewürfelten Zahlen entspricht, und schreiben Sie es auf.
  4. Wiederholen Sie den Vorgang, bis Sie insgesamt sechs bis sieben Wörter zusammen haben.

Das war's schon.

Wenn Sie zum Beispiel fünfmal würfeln und das Ergebnis 34462 ist, würden Sie die Liste durchsehen:

34456

 

Jobs

34461

 

Jock

34462

 

Jockey

34463

 

Jody

34464

 

Joe

34465

 

Joel

34466

 

Joey

34511

 

Joggen

Und Sie würden Jockey finden.

Wiederholen Sie den Vorgang, bis Sie mindestens sechs Wörter gewählt haben.

Sie können nach Lust und Laune Symbole, Großbuchstaben oder Zahlen mit untermischen. Damit machen Sie Ihre Passphrase noch stärker und die meisten Dienste, die einen gewissen Ehrgeiz bezüglich der Sicherheit haben, verlangen außerdem Sonderzeichen.

Seien Sie jedoch vorsichtig bei den folgenden beiden seltenen Fällen:

  • Sie erhalten so viele kurze Wörter, dass sie insgesamt weniger als 17 Zeichen umfassen.
  • Sie erhalten eine Art Satz.

Fangen Sie in beiden Fällen noch einmal von vorn an.

Denken Sie daran: Bei dieser Methode überlassen Sie dem Würfel die Entscheidung, damit Ihre Passphrase wirklich rein zufällig entsteht. Basteln Sie also nicht am Ergebnis herum, weil Sie denken, dass zwei Wörter gut zusammen aussehen. Sie würden Muster erstellen (und die Wirksamkeit der Passphrase schwächen.)

Es gibt mehrere verschiedene Listen auf Englisch, aus denen Sie wählen können, und mehrere auch in anderen Sprachen. Durch das Kombinieren von Einträgen aus den Listen erhalten Sie noch stärkere Passphrasen.

Schreiben Sie Ihre Passphrase auf einen Zettel, bis Sie sie sich eingeprägt haben. Sie sollte im Gedächtnis bleiben, nachdem Sie sie ein paarmal verwendet haben. Falls Sie damit Schwierigkeiten haben, dann erfinden Sie eine Geschichte, damit sie leichter zu merken ist.

Beispiel: Der predigende Nimmersatt plädiert für eine per Gesetzgebung vorgeschriebene verkürzte Monsun-Saison aus, sagte der Autor.

So arbeiten Gedächtniskünstler. Sobald Sie es im Kopf haben, vernichten Sie den Zettel.

Ich mag keine Würfel. Geht das auch automatisch?

Ja, das geht. Es gibt jede Menge nützliche Diceware-Passphrase-Generatoren wie diesen hier.

Beachten Sie jedoch, dass solche Generatoren zwar immer noch sehr sicher sind, aber Computer niemals hundertprozentig zufällige Ergebnisse produzieren. Dies wird niemals so sicher sein wie das Auswürfeln Ihrer eigenen Passphrase.

Kann ich diese Passphrase überall verwenden?

Das sollten Sie definitiv nicht tun.

Dieselben Passwörter oder Passphrasen für verschiedene Dienste zu verwenden, gehört zu den schlechtesten Sicherheitsprinzipien, die man sich vorstellen kann. Wie gesagt: Wird erst einmal ein Konto gehackt, dann folgen bald auch die anderen.

Im Idealfall verwenden Sie die Passphrase als Master-Passwort für einen Passwort-Manager. Der Manager kann dann lange zufällige Passwörter für jedes Ihrer Konten erstellen und sie alle überwachen. (Kein Rätselraten mehr über gute Passwort-Ideen – das Programm erledigt das alles für Sie!) Es sind viele kostenlose oder preisgünstige Passwort-Manager erhältlich. Es gibt also keinen Grund, es nicht mit einem davon zu versuchen.

Wenn Sie keinen Passwort-Manager verwenden möchten, sollten Sie eine Reihe weiterer Schritte durchführen:

  1. Erstellen Sie eine Passphrase für Ihre wichtigsten Konten und fügen Sie Modifikatoren hinzu
    Das können einfache Abkürzungen für den Dienst oder auch der vollständige Name sein. Im obigen Beispiel könnte Folgendes dabei herauskommen:
    G@G1 predigend Nimmersatt Gesetzgebung kürzer Monsun AutorOder
    predigend Nimmersatt Gesetzgebung kürzer Monsun Autor Facebook1@
  2. Erstellen Sie eine zweite Passphrase für alle weniger wichtigen Konten
    Aber selbst die Verwaltung von zwei Passphrases kann aufwändig sein. Wir empfehlen daher definitiv einen Passwort-Manager.

Und das war’s auch schon. Damit sind Sie mit einem der wirksamsten Passwörter gerüstet, die überhaupt möglich sind. So - und nun viel Spaß im Internet ...

... wenn Sie aber mehr über Passphrases wissen wollen und zusätzliche Methoden zur Verbesserung Ihrer Sicherheit erfahren möchten, dann lesen Sie weiter.

Starke Passwörter. Zusammenfassung

All die üblichen Ratschläge für Passwörter sind nicht wirklich falsch. Aber ohne allzu sehr auf technische Details einzugehen (also ganz ohne technische Erläuterungen): Es gibt nur zwei wesentliche Anforderungen für ein starkes Kennwort:

  • Es muss lang sein: Und zwar wirklich lang! Es sollte aus mindestens 17 Zeichen bestehen. Damit es auch in Zukunft brauchbar ist, sind 20 Zeichen oder mehr besser.
  • Es muss zufällig sein: Hacker sind äußerst gewieft darin, Muster zu erkennen und ihre Tools so zu programmieren, dass diese sie erkennen.

Das war's auch schon.

Also zurück zu unserem ursprünglichen Beispiel, M@$t3Rp@$$w0rd1967. Es sieht vielleicht aus wie ein sicheres Passwort und viele Passwortprüffunktionen wie diese zeigen Ihnen dies an. Aber es hätte dennoch keine Chance gegen die Hacker von heute, da es eine sehr einfache Struktur besitzt: zwei Wörter und ein Datum.

Die beiden Wörter sind nicht nur sehr gebräuchlich („Master“ und „Password“), sondern stehen auch häufig zusammen. Die Substitutionen sind vorhersagbar und damit ebenfalls leicht zu knacken: A sieht aus wie @, S wie $ usw. Und wenn Leute ihren Passwörtern Zahlen hinzufügen, dann hängen sie sie oft ans Ende und sie verwenden eine PIN oder ein Datum – nicht selten sogar ihr Geburtsdatum.

Hacker kennen alle diese Tricks und probieren sie meist gleich als Erstes aus. Und sie verwenden Maschinen dafür, während wir selbst Mühe haben, uns daran zu erinnern, welchen der Buchstaben wir nun groß geschrieben und wo wir das @ eingefügt haben.

Im Folgenden finden Sie eine unterhaltsame, visuelle Zusammenfassung darüber, wie viele Benutzer beim Erstellen eines sicheren Passworts darauf zugreifen:Diese Karikatur zeigt, wie wir es beim Versuch, ein sicheres Passwort zu erstellen, rückgängig gemacht haben.

Schnappen Sie sich also ein Paar Würfel und erstellen Sie ein wirklich sicheres Passwort, um Ihre Konten sicher zu halten.

So steigern Ihre Sicherheit zusätzlich

Nachdem Sie Ihre brandneue Passphrase erstellt haben, fragen Sie sich vielleicht, ob Sie noch etwas tun könnten, um Ihre Konten zu schützen. Und ja, in der Tat, das könnten Sie!

Selbst wenn Sie das beste Passwort der Welt besitzen, können Sie Ihre Sicherheit zusätzlich verbessern, indem Sie die so genannte Zwei-Faktor-Identifikation verwenden, für die zusätzlich zum Passwort ein zweiter Faktor nötig ist, der dann überpüft, wer Sie sind.

Die Zwei-Faktor-Identifikation verwendet in der Regel einen von drei Faktoren:

  1. Etwas, das Ihnen bekannt ist: Dies kann ein PIN-Code oder etwas anderes sein, wie die Antworten auf Ihre Sicherheitsfragen.
  2. Etwas, das Sie besitzen: z.B. Ihr Smartphone (das einen Authentifizierungscode per SMS empfangen kann) oder Ihre physische Kreditkarte (die Sie mit dem CVV-Code auf der Rückseite überprüfen können).
  3. Etwas, das Sie sind: biometrische Daten, wie z.B. Ihr Fingerabdruck.

Auf den ersten Blick mag es aufwendig wirken, aber wenn Sie nicht anders als die meisten Menschen sind, dann verwenden Sie die Zwei-Faktor-Identifikation bereits seit einiger Zeit. Wenn Sie zum Beispiel an einem Geldautomaten Geld abheben, dann kombinieren Sie etwas, das Sie besitzen (Ihre Bankkarte), mit etwas, das Sie kennen (Ihre PIN).

Ebenso können Sie für die meisten Ihrer Online-Konten eine Zwei-Faktor-Authentifizierung aktivieren: Ihr E-Mail-Anbieter, Social Media-Konten und (vor allem!) Ihr Online-Banking sollten alle eine Zwei-Faktor-Identifizierung bieten. Oftmals wird Ihnen der Dienst eine einmalige PIN schicken, wenn Sie versuchen, sich anzumelden oder eine Banktransaktion durchzuführen.

Möchten Sie sehen, welches Ihrer Konten die Möglichkeit der Zwei-Faktor-Authentifizierung bietet? Sie können sich diese Masterliste ansehen und sogar verlangen, dass eine bestimmte Website eine Zwei-Faktor-Authentifizierung einführt, falls sie diese Option noch nicht anbietet.

Die Zwei-Faktor-Authentifizierung kann einige zusätzliche Sekunden bei der Anmeldung erfordern, aber vertrauen Sie uns, es lohnt sich.

Ausgestattet mit Ihrer leicht zu merkenden Passphrase, einem Passwort-Manager und einer Zwei-Faktor-Authentifizierung sind Sie besser geschützt als jeder Safe. Voilà!

AVG AntiVirus FREE KOSTENLOSER Download