Ob Heartbleed oder die jüngste Lücke bei Ebay. All diese Ereignisse zeigen, wie wichtig es ist, sich mit seinen Passwörter richtig viel Mühe zu geben. Inspiriert von einem Artikel in der t3n will ich hier erläutern, was eigentlich ein sicheres Passwort ausmacht und welche Eselsbrücken es gibt, sich sichere Passwörter zu merken.

Wie gehen Hacker eigentlich vor?

Wenn man weiß, wie Hacker üblicherweise vorgehen, fällt es leichter zu verstehen, wie ein sicheres Passwort aufgebaut sein sollte. Im Grunde gibt es zwei Methoden: die Brute-Force- und die Wörterbuch-Attacke.

Wörterbuchattacken

Die Wörterbuchattacke hilft dem Passwortcracker immer dann, wenn der Nutzer ein echtes Wort als Passwort gewählt hat. Dabei wird eine lange Liste real existierender Wörter abgeglichen: „Passwort“ wäre zum Beispiel ein solch reales Wort. Eine interessante Liste der schlechtesten Passwörter wurde in diesem Blogbeitrag von Anfang des Jahres veröffentlicht (darunter z. B. auch „12345“ – ist das wirklich wahr?).

Brute-Force-Attacke

Die Rohe-Gewalt-Attacke geht brachialer, aber auch komplizierter und aufwändiger vor. Denn es werden alle möglichen Kombinationen von Buchstaben, Ziffern und Sonderzeichen ausprobiert. Hier wird schon deutlich: Je länger ein Passwort ist und je mehr verschiedene Zeichen es enthält, desto zeitaufwändiger ist es, den Code zu knacken.

Pfiffig ist nicht gleich pfiffig

Da liegt es ja nahe zu sagen: Ich nehme einfach ein 16-stelliges (also sehr langes) Passwort und setze hier einige Wörter zusammen. Das ist für Brute-Force-Attacken schwer zu knacken – leider aber nicht, wenn Wörterbücher zum Einsatz kommen. Denn die können auch Kombinationen leicht filtern. Was also tun, wenn das Passwort lang sein und aus verschiedenen Zeichen bestehen soll? Da gibt es ein paar Tricks, die das Leben erleichtern: Meine persönlichen Favoriten sind das Schneier-Schema kombiniert mit dienstespezifischen Passwörtern. Und so gehts:

Schneier-Schema

Nach dem Schneider Schema denkt man sich erst einmal einen möglichst langen Satz aus. Die Anfangsbuchstaben des Satzes ergeben dann den ersten Teil des Passworts. Also zum Beispiel: Heute scheint die Sonne und wir gehen abends ein Eis essen! Würde ergeben: HsdSuwgaeE! Nun werden noch Wörter wie „und“ durch ein „&“ oder „+“ ersetzt und Wörter wie „ein“ durch eine Ziffer „1“. Damit ergibt sich: HsdS+wga1Ee! Damit hätten wir schon ein Passwort, das Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen enthält.

Dienstespezifisches Passwort

Da es absolut empfehlenswert und wichtig ist, für jeden Onlinedienst ein anderes Passwort zu haben, hängt man nun an das generierte Passwort noch eine dienstespezifische Endung. Für Amazon z. B. HsdS+wga1Ee!amazon, für Twitter HsdS+wga1Ee!twitter. Damit hätten wir ein 18-stelliges dienstespezifisches Passwort generiert, das man sich einigermaßen leicht merken kann.

Viel Spaß beim Ausprobieren.

Quelle: Sebastian Düvel: Tipps für mehr Sicherheit bei Passwörtern – Keine Chance für Cracker. t3n; 36: 68-71

© Brian Jackson – Fotolia.com