Vor bestimmten Angriffen auf eigene Benutzer-Accounts kann man sich dadurch schützen, dass man ein sicheres Passwort wählt, auf das ein Angreifer auch mit technisch hochentwickelten Methoden nicht kommt. Das aber ist oft leichter gesagt als getan. Je nach Angriffs-Szenario sehen auch die Anforderungen an Passwörter, die diesen Angriffen standhalten, unterschiedlich aus, und da man nie genau weiß, mit welchen Methoden einem Passwort zu Leibe gerückt wird, sollte das eigene Passwort allen verbreiteten Angriffen etwas entgegenzusetzen haben. Trotzdem muss es noch benutzbar sein. Wie genau erreicht man das?

Vorab sei gesagt, dass es keine allgemeingültige Weisheit gibt, wie genau das ideale Passwort auszusehen hat. Es gibt lediglich generelle Empfehlungen und Tipps, die dabei helfen, verbreitete Fehler zu vermeiden und ein möglichst sicheres Passwort zu bilden. Genau diese Empfehlungen und Tipps sollen Gegenstand dieses Textes sein. 

Ein wichtiger Grundsatz ist, dass ein Passwort auf gar keinen Fall zu kurz sein darf. Anderenfalls kann es leicht durch Durchprobieren aller möglichen Kombinationen erraten werden. Da die Rechenleistung selbst privater PCs mittlerweile sehr groß ist und noch weiter anwachsen wird, sollte ein sicheres Passwort in jedem Fall mindestens acht Zeichen umfassen. Einen Sonderfall stellen die Passwörter für bestimmte kryptographische Anwendungen dar. Hier kann es durchaus sinnvoll sein, auf 20 oder 30 Zeichen Länge zu kommen, was Sätze oder Aneinanderreihungen von Begriffen nahelegt.

Ebenfalls nicht schaden kann es, neben Buchstaben auch Zahlen und Sonderzeichen (sofern die technischen Möglichkeiten es erlauben) zu verwenden. Dadurch wird die Anzahl möglicher Kombinationen extrem erhöht. Ein vierstelliges Passwort bestehend nur aus den Ziffern von 0-9 lässt beispielsweise 10^4, also 10.000, mögliche Kombinationen zu. Nähme man zusätzlich noch Groß- und Kleinbuchstaben hinzu, käme man schon auf 62^4, also in etwa 14 Millionen, Möglichkeiten. Dieser Effekt wirkt sich logischerweise bei längeren Passwörtern noch weit stärker aus.

Eine weitere wichtige Eigenschaft sicherer Passwörter leitet sich aus der Möglichkeit sogenannter Wörterbuch-Attacken (wem dieser Begriff nichts sagt, der kann hier nachlesen) ab: Ein sicheres Passwort sollte kein verbreiteter Begriff oder Name sein, der in gängigen Wortlisten zu finden ist. Anderenfalls bietet auch die Länge des Passworts keinen Schutz.

Bei all diesen Anforderungen darf man aber einen anderen Aspekt nicht vergessen: Ein Passwort, dass man häufig, womöglich täglich benutzt, muss auch einigermaßen leicht zu merken (idealerweise sogar leicht einzutippen) sein. Ein Passwort-Manager würde hier zwar Abhilfe schaffen, gerät aber schnell an seine Grenzen, wenn man mehrere Computer benutzt. Außerdem gab es bereits Fälle, wo Passwort-Manager ihrerseits Sicherheitslücken aufwiesen, über die die darin abgelegten Passwörter gestohlen werden konnten. Es ist also sinnvoll, ein Passwort zu wählen, dass man sich selbst merken kann. Das beste Passwort ist vollkommen sinnlos, wenn man es vergisst und sich selbst aussperrt oder man es auf ein Post-It schreibt und auf den Monitor klebt, wo es dann dem erstbesten Kollegen in die Hände fällt.

Wie aber kommt man zu einem solchen Passwort? Hier kommen wir in den Bereich, in dem es mehrere verschiedene Möglichkeiten gibt, deren Anwendung auch dem persönlichen Stil obliegt. Im Nachfolgenden möchte ich einige Möglichkeiten vorstellen, wie man Passwörter erstellen kann, die als sicher einzustufen, dabei aber gleichzeitig noch merkbar sind.r sind.

Mehrsilbiges unterteiltes Wort:

Bei dieser Methode wählt man irgendein Wort aus, das aus mehreren Silben besteht. Das Wort darf ruhig in einem Wörterbuch stehen. Dieses Wort teilt man nun an seinen Silben und fügt in diese Zahlen oder Sonderzeichen ein. Diese Zahlen oder Sonderzeichen sollten nach einem leicht einprägbarem Muster auf der Tastatur liegen. Zusätzlich kann man auch noch vor und hinter das Wort Zahlen oder Sonderzeichen hängen. 

Beispiel:

Als Wort wählen wir das Wort “Telefon”. Dieses besteht aus den Silben “Te”, “le” und “fon”. Zwischen die einzelnen Silben fügen wir nun Zahlen oder Sonderzeichen ein. Ich wähle hier “2” und “3”. So wird aus “Telefon” nun “Te2le3fon”. Desweiteren können wir nun noch Zeichen davor und dahinter setzen. Ich entscheide mich hier für “!” und “$”. So wird aus “Te1le2fon” nun “!Te2le3fon$”.

Was auf den ersten Blick ziemlich kompliziert aus sieht ist eigentlich relativ einfach. Unser Ausgangswort ist “Telefon”. Die Zeichen die wir hinzufügen liegen auf der deutschen Tastatur alle nebeneinander, nämlich auf den Tasten “1”, “2”, “3” und “4”. Zusätzlich muss ich mir nur noch merken, dass ich für das erste und das letzte Zeichen die Großschreiben-Taste betätigen muss. Das Schema hier ist selbstverständlich nur exemplarisch, man kann natürlich auch andere Zahlen und Zeichen nehmen.

Anfangsbuchstaben eines Satzes:

Bei dieser Methode denkt man sich einen Satz aus, der aus mindestens acht Wörtern besteht und den man sich gut merken kann. Aus den Anfangsbuchstaben (alternativ auch immer dem zweiten, dritten, ..., letzten Buchstaben) bildet man dann das Passwort. Wenn in dem Satz Zahlwörter vorkommen, kann man diese im Passwort auch als Zahl darstellen.

Beispiel:

Ich wähle als Satz: “Ich habe ein Haus, zwei Kinder und drei Hunde.” Daraus wird dann das Passwort “Ih1H2Ku3H”, oder alternativ “IheHzKudH”. Sieht sehr kompliziert aus, kommt bestimmt keiner drauf, aber wer den Satz kennt, kann es sich trotzdem gut merken.

Gleicher Kern/wechselnder Mantel

Diese Methode bietet sich besonders für Webseiten an. Man wählt für das Passwort einen immer identischen, leicht zu merkenden Kern und schließt diesen mit der Adresse der Webseite ein. Der Kern kann beispielsweise das eigene Geburtsdatum, eine Telefonnummer oder etwas ähnliches sein. Anschließend wählt man beispielsweise die ersten drei oder vier Buchstaben der Adresse der Webseite und setzt diese vor den Kern des Passwortes. Genau so verfährt man mit den letzten drei oder vier Buchstaben der Adresse, diese setzt man hinter den Kern.

Beispiel:

Als Kern wähle ich hier ein Datum, hier im Beispiel soll dies der 9. November 1989 sein, also "09111989". Wer das Passwort noch ein bisschen sicherer machen möchte, kann noch Punkte oder Bindestriche einfügen. Der Kern würde dann beispielsweise so aussiehen: "09.11.1989".

Brauche ich jetzt ein Passwort für meinen Account bei amazon.de, dann setze ich mir bei Passwort so zusammen: Ersten drei Buchstaben der Adresse + Kern + letzen drei Buchstaben der Adresse. Das Passwort würde dann so aussehen: "ama09.11.1989zon" oder alternativ "ama09.11.1989nde".

Für ebay würde das das Passwort dann "eba09.11.1989bay" oder  "eba09.11.1989yde" lauten.

Leet-Speak (1337)

Wer viel im Internet unterwegs ist, der ist vielleicht schon mal über die sogenannte Leet-Speak gestolpert. Bei dieser "Sprache" werden Buchstaben durch Zahlen oder Sonderzeichen ersetzt. Das "e" beispielsweise durch eine "3" oder das "a" durch eine "4". Wer diese "Sprache" beherscht oder sie lernen möchte kann diese natürlich auch für Passwörter verwenden. Wenn man sich bei Leet-Speak an die Groß-Klein-Schreibung hält und das Ausgangswort nicht zu kurz ist kann man so Passwörter erzeugen, die durchaus als sicher zu betrachten sind. Zumindest so lange bis jemand auf die Idee kommt ein Wörterbuch für genau die Art der Leet-Speak (es gibt verschiedene) zu erstellen. Deshalb bietet es sich an nicht unbedingt jeden Buchstaben der codiert werden kann auch zu codieren, sondern nur ein paar.