Passwörter begleiten uns täglich und trotzdem halten sichhartnäckige Mythen darüber, was sie wirklich sicher macht. In diesem Beitrag zeigen wir, worauf es bei modernen Passwortstrategien wirklich ankommt.
Passwörter wirken vertraut: Nahezu jeder nutzt digitale Dienste und hat sich bei der Anmeldung ein Passwort ausgedacht. Genau dort begann vor Jahren das Problem.
In den späten 90ern war die Rechenleistung deutlich geringer. Vielen Systemen standen für Passwörter nicht mehr als acht Zeichen zur Verfügung. Um die Sicherheit zu erhöhen, führten Entwickler Komplexitätsregeln ein: Passwörter mussten einen Großbuchstaben, einen Kleinbuchstaben, eine Ziffer und ein Sonderzeichen enthalten.
Was damals sinnvoll war, hat sich in der öffentlichen Wahrnehmung verfestigt, obwohl die Rahmenbedingungen heute andere sind. Noch immer zeigen Registrierungsformulare „Sicherheitsbalken“, die oft schon bei acht Zeichen auf „grün“ springen, sobald die Komplexitätsregel erfüllt ist.
Tatsächlich ist die Länge entscheidender als reine Komplexität.
Stellt man sich ein Passwort als Zahlenschloss vor, wird deutlich, warum die Länge ausschlaggebend ist. Jedes zusätzliche Zeichen vervielfacht die Zahl der möglichen Kombinationen. Damit erschwert es die Möglichkeit, durch automatisches Eingeben aller Kombinationen (Brute-Force-Attacke), das Passwort zu erraten. Der Zeichensatz (nur Ziffern; Ziffern + Buchstaben; mit Sonderzeichen) erhöht die Varianten ebenfalls, doch der größte Hebel liegt in der Länge.
Ein Zahlenschloss mit 3 Stellen und 10 Ziffern hat 10³ = 1.000 Kombinationen, mit 4 Stellen 10⁴ = 10.000. Erweitert man den Zeichensatz von 10 auf 12 Zeichen (etwa Ziffern plus A und B), ergeben sich bei 3 Stellen 12³ = 1.728 Kombinationen; ein Zuwachs, aber deutlich geringer als der Sprung von 3 auf 4 Stellen.
Mit heutiger Rechenleistung gilt: Kurze Passwörter werden von Computern innerhalb von Sekunden bis wenigen Minuten geknackt. Lange Passwörter aber treiben die benötigte Suchzeit für eine Brute-Force-Attacke so stark in die Höhe, dass vollständiges Durchprobieren praktisch unrealistisch wird.
Ein sicheres Passwort ist lang, weist eine gewisse Vielfalt an Zeichen auf und besitzt eine zufällige Reihenfolge. Je länger das Passwort, desto weniger wichtig wird die exakte Mischung der Zeichentypen.
Das BSI empfiehlt Passwörter von mindestens 20 Zeichen aus zwei Zeichengruppen; etwa eine Kette mehrerer Wörter mit Groß- und Kleinbuchstaben.
Bei 8-12 Zeichen rät das BSI zu vier Zeichengruppen.
Die Länge erreicht man gut über mehrere Wörter; Komplexität entsteht durch Buchstaben, Zahlen und Satzzeichen. Anspruchsvoll bleibt die Zufälligkeit. Sie schützt vor Wörterbuchangriffen, bei denen häufige Wörter, Muster und bekannte Passwörter automatisiert ausprobiert werden.
Die Zufälligkeit von Zeichen ist von Menschen praktisch nicht leistbar. Menschen merken sich keine reinen Zufallsfolgen, sondern sinnvolle Zusammenhänge.
Ein guter Trick hier ist die Auswahl von mehreren Wörtern durch zufälliges Aufschlagen von Wörterbüchern. Kombiniert man Sprachen, zum Beispiel Deutsch und Englisch, wird das Erraten nochmal schwerer.
Eine gute Hilfe um Zufälligkeit in einer Sprache zu erreichen, bieten viele Online-Tools. Ein Beispiel dafür ist diese Seite:
https://korrektpferdbatteriestapel.de
Doch wie merkt man sich so viele lange, komplexe und zufällige Passwörter? Weil sich niemand viele starke Passwörter merken kann, empfiehlt es sich, einen Passwortmanager zu nutzen. Der erzeugt für jeden Zugang ein eigenes, starkes Kennwort und speichert es sicher ab.
Der Passwortmanager selbst ist geschützt durch ein sehr langes Master-Passwort. Damit muss man sich nur ein starkes Passwort merken.
Mittlerweilegibt es mehrere gute Online Passwortmanager. Sie vereinfachen den Umgang mit starken Passwörtern und sind empfehlenswert.
Für noch mehr Sicherheit, empfehlen sich dennoch lokal gespeicherte Varianten. Als Einzelziele sind sie viel weniger attraktiv für Hacker als große Online-Speicher mit vielen Datensätzen.
Lokale Passwortmanager können eigenständig auf mehreren Geräten synchronisiert werden und erreichen damit ebenfalls den großen Vorteil der Online-Varianten mit wenig Aufwand.
Den letzten Baustein bildet die Zwei-Faktor-Authentifizierung (2FA).
Nach der Passworteingabe wird ein zweiter Faktor abgefragt, etwa ein Code auf dem Smartphone. Dies kann in verschiedenen Formen erreicht werden. Manchmal wird lediglich eine Bestätigung der Anmeldung abgefragt.
Eine solche Zweifachsicherung kann über eine weitere Applikation auf dem gleichen Gerät stattfinden.
Viel sicherer ist es, wenn hier eine Gerätetrennung vorliegt: Anmeldung am PC, 2FA auf dem Telefon (oder umgekehrt). So bleibt der Zugang auch dann geschützt, wenn ein Gerät verloren geht oder kompromittiert wird.
Mit einem lokalen Passwortmanager kann jeder die Anforderungen an starke Passwörter erfüllen. Dabei ist nach einem einmaligen Aufwand für das Installieren die Nutzung selbst häufig sehr einfach. Damit kann jeder sowohl privat als auch beruflich einen großen Schritt in Richtung Datensicherheit unternehmen.
Die Bereiche mit erhöhtem Sicherheitsbedarf können ebenfalls mit einem einmaligen Aufwand über 2FA oder noch weitere Faktoren bedarfsgerecht geschützt werden.
Sollten Sie Unterstützung bei der Umsetzung oder Empfehlungen für die gemeinsame Verwendung von Passwörtern benötigen, wenden Sie sich gerne an uns.