datacube

Eins vorweg: Wenn Sie momentan keinen Passwortmanager benutzen—und zwar im weitesten Sinn; "ich schreibe meine Passwörter in einen Notizblock" zähle ich dazu, wenn auch nicht ideal—machen Sie etwas falsch.

Welche Bedingungen muss ein gutes Passwort erfüllen?

• Es darf nicht zu erraten sein. Das bedeutet, dass Sie nicht den Namen Ihres Haustieres, Ihres Lieblingsvereins etc. verwenden dürfen.


• Es muss einzigartig sein. Gehen Sie davon aus, dass der Anbieter, dem Sie Ihr Passwort anvertrauen, dieses nicht geheim halten kann. Wenn es in fremde Hände gerät—und gehen Sie davon aus, dass das irgendwann passieren wird—sorgen Sie dafür, dass ein Angreifer damit nichts anfangen kann. Verwenden Sie für jeden Dienst ein unterschiedliches Passwort.

Häufig wird Folgendes ebenfalls gefordert; dies wäre wünschenswert, aber nicht unbedingt notwendig:

• "Wechseln Sie Ihr Passwort regelmäßig" - dies wurde vor allem in der Vergangenheit oft vorgeschlagen, wird inzwischen aber nicht mehr empfohlen. Werden Benutzer zum regelmäßigen Passwortwechsel gezwungen, so führt dies dazu, dass sie schwächere Passwörter verwenden oder Passwörter wiederverwenden. Sie müssen Ihr Passwort nur dann ändern, wenn Sie Grund zu der Vermutung haben, dass es in falsche Hände geraten ist.


• "Ihr Passwort muss mindestens 64 Zeichen lang sein, Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen, chinesische Schriftzeichen und Emojis enthalten" - dies soll sogenannten Brute-Force-Angriffen vorbeugen und ist notwendig, wenn das Passwort im Rahmen von Verschlüsselung verwendet wird; geht es aber um Authentifizierung, z.B. beim Login auf einer Website, ist dies nicht notwendig. Es liegt in der Verantwortung des Anbieters sicherzustellen, dass Brute-Force-Angriffe nicht möglich sind (z.B. indem nur eine begrenzte Anzahl von Loginversuchen innerhalb einer bestimmten Zeitspanne erlaubt wird). Ein langes und komplexes Passwort wird dabei zwar nicht schaden, aber auch nicht helfen, wenn der Anbieter seine Sache anständig macht.
  

Überlegen Sie, auf wie vielen Websites, bei wie vielen Diensten Sie ein Konto besitzen, für das Sie sich anmelden müssen (E-Mail, Netflix, Facebook, Kommentarspalte Ihrer Lieblingszeitung...). Kommen Sie auf mehr als 20? Überlegen Sie sich, ob Sie sich 20 verschiedene gute Passwörter merken können. Dann überlegen Sie sich, ob Sie das möchten. Wenn Sie beide Fragen mit "ja" beantworten, beglückwünsche ich Sie und wünsche Ihnen, und das ist ernst gemeint, viel Erfolg. Das ist möglich, so wie es möglich ist, sich die ersten 1.000 Stellen der Zahl Pi zu merken. Die meisten Menschen werden das aber anders sehen.

Was ist ein Passwort-Manager?

Im einfachsten Fall ist ein Passwort-Manager eine Datenbank: Sie können Einträge speichern und sie später wiederfinden. "Analog" dazu kann man auch einen Notizblock verwenden: Links steht der Name des Dienstes, rechts das Passwort. Im etwas besseren Fall legt der Passwort-Manager die Passwörter verschlüsselt ab; Sie werden dann beim ersten Benutzen (z.B. nach dem Hochfahren, beim Öffnen der Datenbank...) nach einem Master-Passwort gefragt.


Im besten Fall unterstüzt Sie Ihr Passwort-Manager nicht nur beim Speichern und Verwalten, sondern auch beim Anwenden und Eingeben von Passwörtern und sogar bei deren Erstellung. Der Passwort-Manager kann z.B. dafür sorgen, dass beim Besuch von Websites das gespeicherte Passwort automatisch eingegeben wird und überwachen, wenn Sie auf einer Website das Passwort ändern—und es dann auch im Passwort-Manager aktualisieren.

Was ist ein starkes Passwort?

Starke Passwörter sind wichtig, sobald Verschlüsselung ins Spiel kommt. Ohne Verschlüsselung sind Passwörter nur so lange wirksam, wie das System läuft, das sie abfragt. Es ist egal, wie lange Ihr Passwort für Ihren Computer ist; wenn ein Angreifer Ihre Festplatte ausbaut und an seinen Computer anschließt, kann er alle Ihre Daten auslesen. Er kann auch die darauf gespeicherten Daten verändern, was Ihr Passwort einschließt, und er kann sich ein eigenes Benutzerkonto anlegen. Erst wenn Sie Ihre Festplatte verschlüsseln, sind die Daten für ihn unerreichbar, solange er das Passwort nicht kennt. Gehen Sie aber davon aus, dass er ein Passwort nach dem anderen ausprobieren und ihn niemand daran hindern kann. Ist Ihr Passwort aber stark genug, wird dieses Ausprobieren so lange dauern, dass er den Erfolgsfall nicht mehr erleben wird.

Aber was ist denn nun ein starkes Passwort? Um diese Frage zu beantworten, muss man wissen, wie Angreifer vorgehen, wenn Sie ein völlig unbekanntes Passwort herausfinden wollen. Dabei sind zwei Szenarien hervorzuheben:

• Brute-Force-Angriffe: Der Angreifer weist seinen Computer an, alle möglichen Passwörter durchzuprobieren ("A", "B", "C", ... "AA", "AB", ... "ZZZZZZZZY", "ZZZZZZZZZ"). Das sind sehr viele Passwörter, aber Computer werden auch immer schneller. Wenn man weiß, wie lange das Ausprobieren eines Passworts dauert, kann man abschätzen, wie lange das Ausprobieren eines zufällig gewählten Passworts einer bestimmten Länge dauern würde. Ein Passwort ist stark gegen Brute-Force-Angriffe, wenn es lang und komplex ist und viel "Entropie" besitzt.


• Wörterbuch-Angriffe (dictionary attacks): Der Angreifer hat ein vorbereitetes "Wörterbuch", also eine Textdatei, die eine gigantische Zahl möglicher Passwörter enthält. Der Angreifer probiert alle Passwörter durch, die sich in seinem Wörterbuch befinden—ein Erfolg ist damit nicht garantiert, es geht aber gegenüber dem Brute-Force-Angriff sehr viel schneller. Natürlich lassen sich Brute-Force- und Wörterbuch-Angriff auch kombinieren, z.B. indem systematisch Wörterbucheinträge kombiniert oder angepasst werden (z.B. enthält das Wörterbuch 007bond, also werden 007bond1, 007bond2, 007bonda, 007bondb etc. ausprobiert). Ein Passwort ist stark gegen Wörterbuch-Angriffe, wenn es nicht im Wörterbuch steht und auch nicht trivial aus einem Wörterbucheintrag herzuleiten ist. Aus diesem Grund sind alle Beispielpasswörter, die Sie auf Websites, in Büchern etc. finden, verbrannt: Es besteht die Gefahr, dass sie in einem Wörterbuch stehen.


... wird fortgesetzt