Sichere Passwörter generieren: Regeln und Tools

    PasswortDie Berichte über fahrlässige Benutzer, die ihren Vornamen oder den ihrer Kinder als Kennwort verwenden, oder die ihr Geheimwort auf eine Haftnotiz schreiben und an den Monitor kleben, sind Legion. Meistens sind das Versuche, die widersprüchlichen Anforderungen an Passwörter zu erfüllen: Es soll zwar stark, aber trotzdem gut zu merken sein, und für jedes System soll ein eigenes Kennwort verwendet werden.

    Die Auflösung dieses Konflikts geht meistens zugunsten der Merkbarkeit aus. Das Ergebnis sind nicht nur unsicherere Passwörter, sondern auch solche, die Benutzer für ihre meisten Konten wiederverwenden. Wer viele verschiedene und aufwändigere Passwörter nutzt, neigt dazu, sie irgendwo niederzuschreiben, um sich nicht von den Systemen auszusperren.

    Viele Benutzer immer noch nachlässig

    Die Ergebnisse einer jüngst von Symantec durchgeführten Umfrage bestätigen diese weit verbreiteten Gewohnheiten. Die Mehrheit der Befragten hat mehr als 20 Benutzerkonten oder Websites, an denen sie sich anmelden müssen. Zwar hat sich bei den meisten herumgesprochen, dass allzu große Nachlässigkeit bei diesem Thema nicht angebracht ist, aber immer noch geben 46 % an, dass gute Memorierbarkeit für sie das wichtigste Kriterium bei der Wahl eines Passworts ist.

    Entsprechend verwenden 10% den Namen ihres Haustiers, 9% ihr Geburtsdatum und 5% "12345" oder eine Variation davon. Letzteres erwies sich als das populärste Passwort in der Datenbank der Website RockYou, die Ende letzten Jahres gehackt und teilweise veröffentlicht wurde.

    Wie sieht ein sicheres Passwort aus?

    Die Empfehlung für Regeln, nach denen ein Kennwort aufgebaut werden sollte, gleichen sich weitgehend, Abweichungen gibt es höchstens bei der empfohlenen Länge. Beispielhaft hier die Anleitung des Bloor-Analysten Nigel Stanley:

    • Kennwörter sollten länger als 6 Zeichen sein und idealerweise zwischen 12 und 14 haben
    • Es sollte eine Kombination aus Ziffern, Sonderzeichen sowie klein und groß geschriebenen Buchstaben enthalten
    • Es sollte in keinem Wörterbuch enthalten sein oder leicht zu erraten sein (etwa Name des Partners, Kindes, Haustiers)

    Wenn man nicht sicher ist, ob das gewählte Kennwort diese Kriterien erfüllt, dann gibt es eine Reihe von Programmen oder Online-Diensten, die seine Stärke prüfen. Microsoft bietet einen solchen Passwort-Checker im Web, ein anderer stammt von Password Meter.

    Und wie kann man es sich merken?

    Einige Programme wie Lotus Notes oder eine Vielzahl von Online-Diensten erzeugen automatisch solche starken Kennwörter. Das Problem ist nur, dass man sich die beliebigen Zeichenketten nicht merken kann. Beherzigt man dann noch den Ratschlag, für jedes Konto ein eigenes Geheimwort zu verwenden, dann hilft nicht einmal ein Elefantengedächtnis.

    Laut Symantec-Umfrage verlassen sich 33% der Teilnehmer zu diesem Zweck auf eine Software für das Passwort-Management, 23% auf das Gedächtnis des Browsers. Aber 45% lösen das Problem, indem sie einige wenige Kennwörter abwechselnd verwenden, 8% nehmen immer das gleiche Passwort.

    Eselsbrücke für sichere Passwörter

    Um den Gegensatz zwischen "schwer zu knacken" und "leicht zu merken" zu überbrücken, hat sich das Verfahren eingebürgert, einen längeren Satz oder ein Sprichwort als Ausgangspunkt zu wählen und die Anfangsbuchstaben eines jeden Wortes aneinanderzureihen. Zusätzlich sollen sie mit Ziffern und Sonderzeichen garniert werden.

    Auch dafür gibt es elektronische Helfer, die zusätzlich etwa einzelne Buchstaben nach den Regeln des Leet-Alphabets ersetzen. Ein Beispiel dafür ist goodpassword.com. Solange man sich an seinen Satz erinnert, lässt sich mit diesen Tools das Kennwort reproduzieren. Schwierig wird es jedoch, wenn man den Ratschlag befolgt, für jedes Konto ein separates Passwort zu verwenden. Dann wird man es ohne Software-Unterstützung oder Haftnotizen kaum schaffen, sich die Ausgangssätze zu merken.

    Keine Kommentare