Trotz einigen wenigen neuen Konzepten ist die Passwortnutzung die gebräuchlichste Authentifizierungsmethode. Bei nahezu allen Onlinediensten erfolgt der Login durch Angabe von Benutzername/E-Mail-Adresse und Passwort.

Viele mir bekannte Personen, auch im Freundes- und Familienkreis, verwenden Passwörter auf unsichere Weise. Um dem entgegenzuwirken, soll dieser Artikel einige grundlegende Aspekte der Passwortsicherheit darlegen.

  1. Komplexes Passwort

Eine der wichtigsten Eigenschaften eines sicheren Passworts ist die Passwortkomplexität. Das Passwort sollte nicht zu leicht aufgebaut sein. Insbesondere sollten nicht direkt Eigennamen oder Wörter, die in einem Wörterbuch/Duden zu finden sind, verwendet werden. Namen von Personen, oder Bestandteile des Login-Namens sollten ebenfalls tabu sein.

Weitergefasst ist es ebenfalls nicht empfehlenswert, Muster wie Zahlen- oder Buchstabenfolgen (abc, qwert, 1234) zu verwenden. Auch ein Geburtsdatum ließe sich sehr einfach erraten.

Vielmehr sollte sich ein Passwort zusammensetzen aus:

a) Einer Kombination von Groß- und Kleinbuchstaben [a-zA-Z]
b) Ziffern [0-9]
c) Sonderzeichen und Umlaute [!§$%&/()=?{}[]@+#*-_.,äöüÄÖÜ]

Das muss nicht heißen, dass sich ein Kennwort schlecht merken lässt. Mithilfe von sog. Passwortsätzen lassen sich auf einfache Art, auch komplexe und trotzdem einprägbare Passwörter erzeugen. Dabei wird ein geeigneter Satz persönlich (!) ausgedacht und auf einfache Weise zum Beispiel wie folgt in ein Passwort umgeformt:

„Im Mai war ich im Zoo und habe die 23 Äffchen beobachtet/besucht“

→ IMwiiZ&hd23Äb/b

  1. Passwortlänge

Neben der Passwortkomplexität spielt die Länge eines Passworts eine entscheidende Rolle. Insbesondere um sich gegen sogenannte Brute-Force-Angriffe zu schützen, bei denen alle möglichen Zeichenkombinationen durchprobiert werden, sollte das Passwort ausreichend lang sein.

Empfohlen wird derzeit eine Länge von mindestens 12 Zeichen.

Es kann vorteilhaft sein, die Länge von unterschiedlichen Passwörtern zu variieren und diese auch nicht öffentlich preis zu geben, um einem Angreifer keine für ihn hilfreichen Parameter zu offenbaren.

  1. Dienst- /anwendungsbezogene Passwörter

Wichtig ist auch, dass ein Passwort nicht für unterschiedliche Dienste / Zwecke verwendet wird. Für jede Anwendung sollte ein eigenes Passwort vergeben werden, sodass im Falle eines möglichen Passwortdiebstahls nur die jeweilige Anwendung betroffen ist.

  1. Passwort-Safes

Komplexe, ausreichend lange Passwörter für jeden Dienst unterschiedlich? Wer soll sich das merken können?

Eine Lösung können digitale Passwort-Safes darstellen, welche jedoch mit absoluter Vorsicht zu verwenden sind. In ihnen lassen sich Passwörter (sicher) speichern und verwalten.

Die einfachste Art sind die in Browser integrierten Passwortmanager. Diese erlauben es, eingegebene Passwörter und Loginnamen für Websites einzuspeichern. Hierbei ist in jedem Fall zu beachten, dass zum Schutz der gespeicherten Daten ein Masterpasswort festgelegt wird. Andernfalls kann jeder mit Zugriff zum Rechner, aber auch Schadprogramme und Angreifer, unproblematisch auf die Passwörter zugreifen.

Sicherer als Browser-Passwortmanager sind Anwendungen, die speziell nur zu diesem Zweck entwickelt wurden. Hierzu zählen unter anderem die kostenfreie OpenSource-Lösung KeePass, sowie eine Vielzahl kommerzieller Lösungen wie z. B. der Steganos Passwortmanager. Diese Anwendungen legen die Passwörter verschlüsselt, ebenfalls mit einem Masterpasswort geschützt, auf der Festplatte ab.

Die Sicherheit der gespeicherten Passwörter steht und fällt einerseits mit der Sicherheit des Masterpasswortes, andererseits mit der zugrunde liegenden Verschlüsselung. Aus diesem Grund sollte beim Einsatz von Passwort-Safes stets ein sehr starkes Masterpasswort verwendet werden und sofern in der Anwendung konfigurierbar, das stärkste Verschlüsselungsverfahren (z. B.: AES-256) ausgewählt werden. Ferner gilt es die Anwendung fortwährend aktuell zu halten und verfügbare Updates einzuspielen.

Dem Passwort-Safe an sich, also der Datei, indem die Daten verschlüsselt abgelegt werden, gilt es besonderer Zuwendung zu schenken. Trotz Verschlüsselung sollte sie aufgrund ihrer Brisanz nicht Fremden in die Hände fallen. Zudem darf sie nicht (beispielsweise durch einen Systemausfall) zerstört werden oder verloren gehen. Somit sind angemessene, sicher verschlüsselte und zugriffsgeschützte, Backups ratsam.

Onlinedienste, welche eine zentrale Passwortspeicherung im Internet anbieten, sind nicht empfehlenswert. Wenngleich diese womöglich komfortable Funktionen bieten, ist häufig unzureichende Transparenz geboten, ob und wie die Passwörter sicher gespeichert werden. Zudem impliziert die Nutzung solcher Dienste, dass das Masterpasswort sowie alle gespeicherten Daten, wenn auch verschlüsselt, über das Internet übertragen werden. Auch zeigen aktuelle News (16.06.15 Heise: Hackerangriff auf Passwort-Manager LastPass), dass Onlinedienste keineswegs sicher sind.

  1. Passwortgenerierung

Ein mögliches Verfahren zur Generierung von Passwörtern wurde mit den Passwortsätzen bereits vorgestellt. Eine weitere Möglichkeit sind Passwortgeneratoren, welche oft auf einfache Art und Weise, auch unter Berücksichtigung der oben vorgestellten Empfehlungen, Passwörter generieren können.

Beispielsweise hat der vorgestellte Passwort-Safe KeePass einen komfortablen Passwortgenerator integriert. Für Linux-User gibt es zudem das Kommandozeilen-Tool „pwgen“ welches demselben Zweck dient.

Von Online-Diensten, die eine Generierung auf einer Webseite anbieten, sollte dringend Abstand gehalten werden. Auch Seiten, die anbieten, ein eingegebenes Passwort auf das Sicherheitsniveau hin zu überprüfen sollten in keinem Fall mit echten/gültigen Passwörtern verwendet werden. Selbst wenn möglicherweise versichert wird, dass die Eingaben nicht gespeichert werden, lässt sich dies nicht ohne weiteres verifizieren. Auch die Datenübertragung zu solchen Webseiten ist nicht zwangsläufig verschlüsselt, sodass das eingegebene Passwort möglichweise im Klartext übertragen wird.

  1. Passworteingabe

Passwörter sollten nur im Geheimen eingegeben werden. Anderen Personen, ganz gleich ob Fremde oder Bekannte, sollte es nicht möglich sein die eingegebenen Zeichen bzw. gedrückten Tasten zu sehen (Sichtschutz gewährleisten!).

In der Praxis sind Passworteingabefelder als solche maskiert und eingegebene Zeichen werden als Punkte oder Sterne dargestellt. Sollte dies im sehr seltenen Fall bei einem verwendeten Dienst nicht der Fall sein, liegt entweder ein Betrugsversuch vor, oder der Dienst ist in der Tat sehr unsicher gestaltet. In beiden Fällen sollte von einer Verwendung abgesehen werden.

Vorsicht ist bei fremden / öffentlichen Geräten geboten. Es kann nicht ausgeschlossen werden, dass diese Software- oder Hardware-technisch manipuliert werden. Jedenfalls sollten nach einer Nutzung alle Dienste per Logout sauber beendet und soweit möglich alle Datenspuren (z. B. Logindaten, Browsercache, -verlauf) gelöscht werden.

Um sich auf einfache Art bei der Passworteingabe vor sog. Keyloggern zu schützen, welche jeden Tastaturanschlag unbemerkt aufzeichnen können, kann die Eingabereihenfolge leicht variiert und zwischen Loginname- und Passworteingabefeld mit der Maus gewechselt werden. Anstatt das Passwort in einem Stück einzugeben, könnte beispielsweise erst der letzte Teil, dann durch Mausklick an den Anfang des Passwortfelds der erste Teil des Passworts eingeben werden. Das Verfahren kann beliebig abgewandelt werden. Auch das abwechselnde Vervollständigen der Eingabefelder kann einen weiteren Schutz bieten.

Immer häufiger werden beim „Phishing“ authentisch wirkende Kopien von originalen Webseiten erstellt, um den Benutzern die Zugangsdaten zu entlocken. Diese Seiten können selbstverständlich nicht zwischen korrekten und inkorrekten Logindaten unterscheiden. Versucht man also, sich einmalig absichtlich mit falschen Zugangsdaten einzuloggen und es wird nicht die bekannte, erwartete Fehlermeldung angezeigt, so ist äußerste Vorsicht geboten. Sicherlich werden Kriminelle auch immer geschickter, sodass auch Rechtschreibfehler, welche ebenfalls auf gefälschte Phishing-Webseiten hinweisen können, immer seltener vorkommen. Im Zweifel sollte noch einmal genau validiert werden, ob die angezeigte Webseite wirklich die ist, die erwartet wird.

  1. Passwortübertragung

Ein sicheres Passwort bringt nicht viel, wenn es im Klartext über eine unverschlüsselte Verbindung übertragen wird. Somit ist darauf zu achten, dass der Login-Vorgang über eine sichere Verbindung durchgeführt wird. Im Web bedeutet dass, dass eine Webseite per „https://“ aufgerufen wird und Browser sowie Webserver dann über TLS (Transport Layer Security) kommunizieren. Das veraltete Verschlüsselungsverfahren SSL (Secure Sockets Layer) sollte nicht mehr verwendet werden, die Konfiguration obliegt jedoch serverseitig dem Webseitenbetreiber.

Verschlüsselte Verbindungen werden in Browsern in der Regel durch ein Schlosssymbol gekennzeichnet. Durch Klick darauf lassen sich Details zu der bereits bestehenden Verbindung anzeigen.

Um sicher zu gehen, sollte diese vor Eingabe der Logindaten überprüfen werden:

– Wird dem Zertifikat der Webseite, welches zur Verschlüsselung benötigt wird vertraut?
– Auf wen wurde es ausgestellt?
– Wird TLS 1.2 und nicht die Vorgänger TLS 1.1, TLS1.0 oder gar SSL benutzt?

  1. Regelmäßige Änderung aller Passwörter

Passwörter sind nicht für die Ewigkeit. Passwörter sollten regelmäßig geändert werden. Wie oft dies notwendig und sinnvoll ist, kann abhängig von der Relevanz der damit verschlüsselten oder zugriffsgeschützten Daten gemacht werden. Ein und dasselbe Passwort sollte möglichst nicht länger als 30-90 Tage verwendet werden. Auch Passwörter von Diensten, die eher unregelmäßig und selten verwendet werden, sollten regelmäßig geändert werden.

Bei der Passwortänderung ist zu beachten, dass stets komplett neue Passwörter generiert werden sollten. Also Passwörter vollständig ausgetauscht werden, anstatt, bestehende nur geringfügig abzuändern.

  1. Umgang mit Passwörtern

Es sollte klar sein, dass Passwörter nie weitergegeben werden sollten. Hinzu kommt, dass strengstens davon abgeraten wird, sie in irgendeiner Form aufzuschreiben oder digital unverschlüsselt abzuspeichern.

Sicherlich gilt es dem Masterpasswort von Passwort-Safes noch einmal eine besondere Bedeutung zuzusprechen. Wird dieses vergessen, so sind die im digitalen Safe gespeicherten Passworte in der Regel unwiderruflich verloren. Um dies zu umgehen, könnte je nach Wichtigkeit bzw. Relevanz der gespeicherten Passwörter, in Erwägung gezogen werden, das Masterpasswort oder ggf. nur einen größeren Teil davon, in einem sicheren Bankschließfach oder bei einem Notar zu hinterlegen.

  1. Disclaimer

Alle hier behandelten Vorschläge sollen dazu dienen, die Passwortsicherheit generell zu erhöhen. Insbesondere sollte sich jeder persönlich Gedanken machen und wegkommen von dem einen simplen Passwort, welches jahrelang dienstübergreifend verwendet wird.

Dennoch kann ich keine Garantie aussprechen, dass die nach den Vorgaben erstellen Passwörter bei empfohlener Verhaltensweise stets sicher sind.

Ferner möchte ich darauf hinweisen, dass alle genannten Hinweise nicht direkt rückblickend darüber Aufschluss geben, wie ich persönlich meine Passwörter handhabe. Denn allein die Information darüber würde meine Passwortsicherheit schmälern. Die hier vorgestellten Aspekte sollte jeder für sich an seine eigenen Anforderungen anpassen und diese nicht offen kundtun.