Gewusst wie: Sechs Tipps für bessere Passwörter

Gewusst wie: Starke Passwörter: Nutzt die Anfangsbuchstaben eines Satzes: Aus „Gewusst wie – euer Guide für mehr IT-Sicherheit im Alltag“ wird GweGfmITSiA.

„Passwörter? Es gibt intelligentere Lösungen für mehr Sicherheit!“ habe ich noch im Mai dieses Jahres geschrieben. Und das stimmt: Wir arbeiten intensiv daran, Passwörter zum Beispiel bei Windows 10 komplett überflüssig zu machen, mit Windows Hello und Multifaktor-Authentifizierung (MFA) mit dem Microsoft Authenticator. Noch sind wir allerdings nicht so weit, dass Passwörter ganz der Vergangenheit angehören. Deswegen zeigen wir euch im ersten Teil unserer Serie „Gewusst wie – euer Guide für mehr IT-Sicherheit im Alltag“, wie ihr eure Geräte und Accounts mit starken Passwörtern, Biometrie und MFA besser schützen könnt.

In Puncto Sicherheit läge dieses Passwort weit vorne: „V~wbG§<><4R++§,Xxkt#-{N!Zz9<(yeCmrb5X§c“. Aber weil sich niemand diese willkürliche Zeichenfolge merken kann, dominieren in Wirklichkeit laut t3n noch immer die unfassbar leicht zu erratenden Zeichenfolgen 123456, 123456789, password oder abc123. Wir wägen im Alltag stets ab zwischen Sicherheit und Bequemlichkeit. Und so wie es aussieht, gewinnt meistens die Bequemlichkeit – wider besseres Wissen. Hinzu kommt, dass viele Menschen ihre Passwörter mehrfach verwenden, weil sie dann leichter zu merken sind. Dass das keine gute Idee ist, wissen die meisten. Um euch zu zeigen, wie einfach der sichere Umgang mit Passwörtern sein kann, habe ich euch sechs Tipps zusammengestellt:

1. Ein gutes Kennwort ist mindestens acht Zeichen lang

Viele Hacker arbeiten mit so genannten Brute-Force-Methoden, um das Passwort eines Geräts oder eines Kontos zu knacken. „Rohe Gewalt“ heißt im Grunde nichts anderes als: Jede mögliche Kombination wird ausprobiert. Da moderne Rechner das in atemberaubender Geschwindigkeit können, führt die Methode sehr oft zum Erfolg, zumal viele Menschen eher kurze und einfache Passwörter verwenden.

Schon 2013 konnten Computer in Sekundenbruchteilen (!) neunstellige Passwörter erraten, wenn sie nur aus Ziffern bestanden. Nutzt jemand alle 26 Kleinbuchstaben des Alphabets, dauert die Entschlüsselung eines achtstelligen Passworts rund vier Minuten. Stehen Groß- und Kleinbuchstaben sowie Ziffern dafür zur Verfügung (insgesamt 62 verschiedene Zeichen), dann dauert es über einen Tag lang, um alle 218.340.105.584.896 möglichen Kombinationen durchzuprobieren. Also: Eine optimale Passwortlänge gibt es nicht, aber die Mindestlänge von acht Zeichen, so eine gängige Empfehlung, sollte nicht unterschritten werden.

2. Welche Zeichen gehören in ein gutes Passwort?

Viele Webseiten und Domänenverwaltungen verlangen bei der Vergabe von Passwörtern nicht nur eine bestimmte Mindestlänge, sondern auch die Verwendung von Sonderzeichen. Logisch, denn das verhindert, dass jemand zum Beispiel relativ leicht zu erratende lexikalische Begriffe verwendet. Andererseits hilft das beste Passwort nicht, wenn man es sich nicht merken kann. Genau dafür gibt es ein paar hilfreiche Tricks:

  • Statt einer beliebigen Zeichenfolge einfach die Anfangsbuchstaben eines einfach zu merkenden Satzes verwenden. So wird aus „Lieber den Spatz in der Hand als die Taube auf dem Dach“ LdSidHadTadD.
  • Um hier nun auch die oft geforderten Sonderzeichen unterzubringen, bietet es sich an, aus dem „S“ zum Beispiel ein Dollarzeichen „$“ zu machen, aus dem „a“ ein „@“ und aus dem „T“ ein „†“ – damit erhöht sich die Sicherheit des Passworts enorm.

3. Ein Konto, ein Passwort!

Ein Passwort einfach für mehrere Konten zu nutzen, ist weit verbreitet, jedoch keine gute Idee. Denn für den Fall, dass tatsächlich jemand eines dieser Passwörter habhaft wird, ist damit nicht nur ein Konto bedroht, sondern im schlimmsten Fall gleich mehrere. Daher ist es sinnvoll, für ein Konto auch nur ein Passwort zu verwenden. Um die Gedächtnisleistung unseres Gehirns nicht zu überfordern, könnt ihr das gemerkte Passwort leicht modifizieren, indem ihr Ziffern oder Buchstaben dranhängt oder das Passwort mit Komma oder Punkt trennt. Aus „LdSidHadTadD“ wird dann zum Beispiel „LdSidHad_?TadD“ oder „LdSidH,adTadD.“

4. Passwörter regelmäßig ändern?

Gerade bei euren Firmenrechnern und -Accounts werdet ihr von der IT-Abteilung regelmäßig aufgefordert, eure Passwörter zu ändern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Anfang 2020 diese Empfehlung allerdings aus dem IT-Grundschutz-Kompendium gestrichen. Stattdessen empfiehlt das BSI, Passwörter nur noch dann, aber dann auf jeden Fall, zu ändern, „wenn es einen Hinweis gibt, dass es tatsächlich in die Hände von unbefugten Dritten gelangt ist“. Das kann zum Beispiel die direkte Aufforderung eines Diensteanbieters sein, das Passwort zu ändern, oder die Nachricht, dass Passwörter eines bestimmten Dienstleisters gestohlen worden und nun im Internet aufgetaucht sind. Über solche Leaks und andere Schwachstellen informiert das BSI regelmäßig in seinem Newsletter „Sicher informiert“.

5. Euer neuer Freund – der Passwort-Manager

Moderne Internet-Browser wie der auf Chrome basierende Microsoft Edge bieten von Haus aus ein Passwort-Management an, das den Umgang mit Passwörtern deutlich vereinfacht. Bei jedem Online-Account schlägt der Browser zunächst ein Passwort vor und speichert dieses anschließend verschlüsselt im Programm selbst. Diese Möglichkeiten bieten auch moderne Smartphones, bei denen der Zugriff auf die Passwörter überdies mit einer Zwei-Faktor-Authentifizierung gesichert ist, zum Beispiel über einen Fingerabdruck. Die vorgeschlagenen Passwörter sind in der Regel auch äußerst sicher, jedoch vermutlich schwer zu merken. Von daher empfiehlt sich hier der Blick auf die eben genannten Tipps. Alternativ könnt ihr dafür auch ein spezielles Programm nutzen, einen so genannten Passwort-Manager. Sie verwahren auch die komplexesten Passwörter verschlüsselt und damit sicher und lassen sich über unterschiedliche Geräte hinweg synchronisieren. Auf diese Weise müsst ihr euch nur noch ein Passwort merken – das für den Passwort-Manager.

6. Am besten alle Passwörter vergessen

Noch müssen wir also über Passwörter reden, denn wir können noch nicht ganz auf sie verzichten. Aber wir sind auf dem besten Wege dazu: Als weltweit erstes Unternehmen unterstützt Microsoft schon seit 2019 den Authentifizierungsstandard FIDO2, der das passwortlose Login bei Windows 10 und Azure Active Directory über Sicherheitsschlüssel bietet. Die neuen Verfahren arbeiten beispielsweise mit biometrischer Authentifizierung, also etwa mit Fingerabdrücken oder Iris-Scans. Zudem setzen sie auf eine Mehrfach-Authentifizierung: Beim Login erhalten die Anwender*innen eine Push-Benachrichtigung auf einem mobilen Gerät, um ihre Identität durch ein biometrisches Merkmal oder die Eingabe einer PIN zu bestätigen. Diese sicheren und einfachen Logins können zum Beispiel bereits bei web-basierten Anwendungen und in Webbrowsern eingesetzt werden.

Das ist unser Verständnis von Sicherheit, und wir alle werden schon bald erleben, wie das uns und unsere Geräte überall gleichermaßen wirksam schützt. Bis dahin aber werden wir noch gute Passwörter benutzen müssen.


Ein Beitrag von Stratos Komotoglou
Senior Subsidiary Product Marketing Manager Microsoft 365 Security bei Microsoft Deutschland
@HerrStratos
Profilbild Stratos Komotoglou

 

Tags:

Weitere Infos zu diesem Thema

15. September 2020
Gewusst wie – euer Guide für mehr IT-Sicherheit im Alltag

Im diesjährigen European Cyber Security Month (ECSM) möchten euch zeigen, wie einfach ihr eure Geräte, Anwendungen und Daten schützen könnt. Dazu geben wir euch in unserer Reihe „Gewusst wie – euer Guide für mehr IT-Sicherheit im Alltag“ in den kommenden Wochen praktische Tipps an die Hand.

7. August 2020
Unsere Leitlinien für den Identitätsschutz

Das Cloud-Zeitalter hat die Art und Weise, wie Unternehmen über Sicherheit nachdenken müssen, grundlegend verändert. Nicht zuletzt die COVID-19-Pandemie hat das noch einmal verschärft. Wie man ein größtmögliches Maß an Sicherheit und ein reibungsloses Nutzererlebnis gewährleisten kann, zeigen wir in unseren Leitlinien und Lösungen.

11. September 2020
Auf der Spur der Scam-Anrufe: Betrug mit System

Jährlich erreichen Hundertausende Scam-Anrufe Menschen auf der ganzen Welt. Betrüger*innen geben sich als Supportmitarbeiter*innen aus, um Geld zu ergaunern. Wie die Digital Crimes Unit von Microsoft die Polizei bei ihren Ermittlungen gegen die Kriminellen unterstützt, erfahrt ihr im Beitrag.