Von Marvin Strathmann

Jeden ersten Donnerstag im Mai ist Welttag des Passworts. Schon seit fünf Jahren versuchen Unternehmen, mit dem Aktionstag auf Online-Sicherheit aufmerksam zu machen und Nutzer zu sensibilisieren. Trotzdem haben sich bis heute viele Mythen gehalten, was ein Kennwort wirklich schwer zu knacken macht.

Testen Sie hier zuerst, wie sicher Ihr Passwort ist:

Mythos 1: Passwörter brauchen möglichst viele Sonderzeichen

Ein gutes Passwort hat zwei Eigenschaften: Es ist für Angreifer schwer zu erraten und für Nutzer leicht zu merken. Kennwörter aus verschiedenen Buchstaben, Zahlen und Sonderzeichen sind zwar relativ sicher, aber schwer zu merken, etwa "(g93äZ?/". Da dasselbe Passwort nicht auf mehreren Seiten verwendet werden sollte, kann es mit solchen Passwörtern schnell unübersichtlich werden.

Es gibt eine bessere Methode, die ebenfalls sehr sicher und dazu noch gut zu merken ist: lange Passwörter. Sie sind sicher, weil Kriminelle meist versuchen, Kennwörter durch das sogenannte Bruteforce-Verfahren zu knacken. Das bedeutet, sie probieren verschiedene Zeichenkombinationen systematisch durch - und zwar mehrere Millionen in der Sekunde. Dafür nutzen sie spezielle Tools, die zum Teil kostenlos im Internet zu finden sind. Jedes zusätzliche Zeichen im Kennwort erhöht die Sicherheit exponentiell. Es ist also besser, eine leicht zu merkende Passphrase, also einen "Satz", zu kreieren, als ein einzelnes Passwort.

Aber nicht jede Phrase aus mehreren Wörtern ist dafür geeignet. "Sein oder Nichtsein, das ist hier die Frage" ist ein langes Passwort, aber kein gutes. Denn der Spruch aus Shakespeares Hamlet ist sehr bekannt: Viele Hackerprogramme haben Sprüche oder andere prominente Sätze bereits eingespeichert und probieren sie durch. Auch persönliche Daten haben in einem Passwort nichts zu suchen, denn sie könnten erraten werden. "Mein Hund heißt Fifi" oder "Ich wohne in Berlin" sollte man daher nicht verwenden.

Besser: Auf den Zufall vertrauen. Eine sichere Phrase lässt sich beispielsweise mit einer Methode namens Diceware erstellen. Dabei würfelt man fünf Mal mit einem sechsseitigen Würfel - es ergibt sich eine fünfstellige Zahl, die für ein bestimmtes Wort steht. Das macht man mehrmals und verknüpft die Wörter mit Leerzeichen: "pflege themse deckel unruh kattun" wäre so ein Zufallsergebnis. Diese Wortkombination gibt es weder bei Shakespeare noch in einem Spruchkalender. Listen mit einfachen Wörtern zur Diceware-Methode gibt es online.

Mythos 2: Häufige Passwortwechsel erhöhen die Sicherheit

Viele Angestellte kennen das: Die IT-Abteilung hat schon mehrmals den Tausch des Passworts verlangt, weil: " Sicherheitsgründe". Widerwillig haben die Mitarbeiter dann ihrem alten Passwort ein neues Ausrufezeichen hinzugefügt - schon das Sechste! Aber bringt es überhaupt etwas, regelmäßig neue Passwörter zu nutzen?

Im Prinzip ja, wenn man komplett neue Passwörter verwendet. Aber das tun nur die wenigsten, haben Forscher der University of North Carolina bereits 2010 herausgefunden. Denn ein Großteil der untersuchten Nutzer hat eben nur das vorherige Passwort ein wenig verändert. Aus "Password" wird beispielsweise "Passw0rd". Das hilft niemandem, denn Hackerprogramme probieren auch solche einfachen Änderungen durch. Außerdem neigen Menschen eher dazu, ein schwächeres Passwort auszuwählen, wenn sie wissen, dass sie es ohnehin bald ändern müssen.

Der Befehl aus der IT-Abteilung ist also gut gemeint, scheitert aber an den Mitarbeitern, die vor den Firmenrechnern sitzen. Der Mensch ist aus Sicht der IT-Sicherheit eine Schwachstelle. Der Nutzen der regelmäßigen Umstellung sei "relativ gering", urteilen Forscher der Carleton University in Ottawa. Ihr Fazit: Der Mehraufwand durch die ständigen Passwortwechsel lohnt sich nicht. Man sollte Kennwörter lieber dann wechseln, wenn es einen Angriff gab und das Passwort gestohlen worden sein könnte. In so einem Fall sollte man dann schnell handeln.

Mythos 3: Die Zwei-Faktor-Authentifizierung ist kompliziert und unnötig

Ein Bankkonto ist am Geldautomaten recht einfach gesichert: Die PIN besteht nur aus vier Zahlen. Trotzdem werden Konten nicht reihenweise leergeräumt. Das liegt an der Bankkarte. Nur Karte und PIN zusammen lassen einen Kunden Geld abheben. Wer nur eins von beiden hat, kommt nicht an das Geld. Online-Konten lassen sich nach dem selben Prinzip sichern - mit der Zwei-Faktor-Authentifizierung (2FA).

Mit 2FA wird eine zweite Sicherheitsstufe etabliert. Nutzer können sich nicht mehr anmelden, wenn sie nur das Passwort kennen. Sie müssen zusätzlich einen weiteren Code eingeben, der zum Beispiel per App oder SMS auf das Handy geschickt wird. So erfüllt das Smartphone die Funktion der Bankkarte. Kriminelle können mit dem Passwort alleine nichts mehr anfangen, sie müssten zusätzlich an das Handy des Betroffenen kommen, um sich in den Account einzuloggen.

Viele Webseiten bieten diesen zusätzlichen Schutz für Nutzerkonten bereits an, vor allem die Großen: Amazon, Microsoft, Apple, Facebook, Google und andere. Gerade wichtige Konten, die oft genutzt werden, sollten so gesichert werden. Meist lässt sich die 2FA in den Sicherheitseinstellungen mit wenigen Klicks aktivieren. Der zusätzliche Code ist schnell eingegeben. Am heimischen Rechner, wo Nutzer sich besonders oft einloggen, können sie 2FA auch deaktivieren, um sich ständige Abfragen zu ersparen.

Mythos 4: Am besten merkt man sich Passwörter mit Stift und Papier

Jedes Konto sollte mit einem eigenen Passwort geschützt werden. Denn können Kriminelle ein Passwort knacken, haben sie nur Zugriff auf den einen Account und nicht auf andere Konten des Nutzers. Aber Internetnutzer haben oft Dutzende Accounts: Bank, E-Mail, Schnäppchen-Webseite und so weiter.

Wie kann man sich die einzelnen Passwörter merken? Sie auf ein Post-it zu schreiben und an den Monitor zu heften: keine gute Idee. Neugierige Familienmitglieder oder Arbeitskollegen können so ganz einfach auf sensible Daten zugreifen, und es wird schnell unübersichtlich. Besser: Einen Passwort-Manager verwenden. So lassen sich auch Dutzende Konten recht einfach verwalten.

Die Programme heißen Lastpass, Keepass oder 1Password und sind für nahezu alle Computer- und Smartphone-Betriebssysteme zu haben. So lässt sich mit geringem Aufwand eine Passwort-Datenbank aufbauen. Der Nutzer muss sich nicht mehr zig Codes merken, sondern nur noch einen, nämlich das für den Passwort-Manager. Dieses Masterpasswort sollte selbstverständlich klug gewählt werden und möglichst lang und komplex sein.

Die Manager können auch selbst zufällige Passwörter generieren und lassen sich oft durch Erweiterungen mit dem Internet-Browser verbinden: Ein Klick, und man ist eingeloggt. Übrigens können Passwort-Manager auch mit anderen Daten gefüttert werden. Wlan-Schlüssel, Telefonnummern oder andere wichtige Informationen lassen sich so ebenfalls sicher aufbewahren.

Mythos 5: Biometrische Passwörter sind sicherer als Textpasswörter

Warum sollte man sich komplizierte Passwörter merken, wenn man doch einzigartige Merkmale mit sich herumträgt? Schon jetzt lassen sich Smartphones per Fingerabdruck entsperren, mit der Iris, oder gleich dem ganzen Gesicht. Das Kreditkarten-Unternehmen Mastercard möchte, dass sich Kunden mit einem Zwinkern identifizieren und nennt das "Selfie Pay". Andere Ideen zur Identifikation reichen vom Herzschlag über Venenerkennung bis zum Lächeln.

Allerdings ist die Stärke von biometrischen Passwörtern gleichzeitig ihre Schwäche: die Einzigartigkeit. Wenn ein Passwort gestohlen wird, können Nutzer es einfach ändern. Aber wie soll man einen Fingerabdruck oder ein Gesicht ändern, wenn Kriminelle dieses Merkmal erbeutet haben?

Gerade Fingerabdrücke lassen sich einfach kopieren. Wenn auf Fotos die Finger von vorne zu sehen sind, lassen sie sich nachmachen. Das hat der Chaos Computer Club bereits 2014 gezeigt, als die Hacker den Daumen der Verteidigungsministerin Ursula von der Leyen kopierten. Ist die Foto-Auflösung hoch genug, lassen sich Abdrücke mit Photoshop bearbeiten und auf Folie drucken. Fertig ist der falsche Finger. Den Fingerabdruck von Finanzminister Wolfgang Schäuble konnten die Hacker kopieren, weil er ein benutztes Wasserglas im Raum gelassen hatte.

Viele Scanner lassen sich mit Fotos überlisten, nicht nur vom Fingerabdruck. Das geht auch mit Iris oder Gesicht. Im Zweifel also lieber auf das gute alte Passwort setzen - solange es nicht "passwort" lautet.