Es gibt 3 gute Methoden um starke Passwörter zu erstellen. Viel wichtiger als ein starkes Passwort sind aber die in meinem anderen Artikel beschriebenen Maßnahmen um Ihr Konto abzusichern. Stellen Sie sicher diese eingerichtet zu haben, bevor Sie weiterlesen.
(Für wen dieser Artikel gedacht ist: Sie wollen Ihre Online-Konten absichern und benötigen ein sicheres Passwort)
Sie brauchen sich also keine Gedanken um sichere Passwörter zu machen, solange Sie die anderen, wichtigeren Maßnahmen nicht eingerichtet haben.
Wie Sie sich leicht alle Passwörter merken können, die Sie je brauchen werden
Sie haben festgestellt, dass die Kriminellen für die meisten Angriffsmethoden irgendwie die Eingabe Ihres Passwortes beobachten müssen. Diese Angriffsmethoden scheitern automatisch, wenn Sie nie ein Passwort eingeben.
Sie benutzen mittlerweile einen Passwort-Manager, der alle Anmeldungen für Sie übernimmt oder Sie lassen Ihre Identität von Microsoft, Google oder Apple verwalten, welche dann Ihre Identität gegenüber dem Dienstbetreiber bestätigen (oder Ihre Passwörter speichern). Sie können nun Ihr Gerät so einstellen, dass es mit einem kurzen Geräte-Passwort funktioniert (welches nur auf diesem einen Gerät funktioniert) oder Sie benutzen biometrische Authentifizierung (bspw. Fingerabdruck oder Gesichtserkennung).
Warum kann das Geräte-Passwort kurz und einfach sein? Schauen wir es uns anders herum an: Das Passwort für Online-Dienste muss gegen Brute-Force-Angriffe schützen, bei denen der Angreifer alle bekannte und häufig verwendeten Passwörter ausprobiert, alle Wörter aus dem Wörterbuch (inkl. der Tricks bei denen 1! ans Ende gehängt wird oder a durch @ ersetzt wird) und anschließend alle möglichen Kombinationen von Buchstaben, Zahlen und Sonderzeichen. Dies ist kein Angriff gegen den man sich schützen muss, wenn das Gerät sich nach 10 fehlgeschlagenen Anmeldeversuchen selbst löscht oder einen Neustart nach 3 Fehlversuchen verlangt und immer längere Wartezeiten zwischen den Anmeldeversuchen erzwingt, so wie Windows Hello. Deswegen kann Ihr Geräte-Passwort so kurz sein. Die Kriminellen können noch nicht mal alle offensichtlichen Kombinationen probieren wie Ihren Geburtstag, den Geburtstag Ihres Hundes, 0000,...,9999, 1212, 1234, wenn die Krimnellen nur 10 Versuche haben bevor sich das Telefon selbst löscht.
Sie können auch das Anmelden mit Fingerabdruck oder Gesichtserkennung aktivieren. Diese biometrischen Systeme können zwar auch überlistet werden, allerdings ist es für die meisten Kriminellen einfacher die Eingabe Ihres Passwortes zu beobachten. Zusätzlich müssten sie auch Ihr Gerät in die Hände bekommen bevor sie Schwachstellen ausnutzen könnten.
Nun da wir eine einfache und sichere Möglichkeit haben um unser Gerät und all die gespeicherten Passwörter zu nutzen, brauchen wir noch ein sicheres Passwort für genau ein Online Konto.
Wie man gute Passwörter erstellt
Es wird noch ein oder zwei Passwörter geben, die Sie sich trotzdem merken müssen (das Passwort für Ihren Passwortmanager oder für Ihre Online Identität von Microsoft/Google/Apple). Die folgenden Methoden erzeugen ein sicheres Passwort nur dann wenn Sie auch alle anderen Maßnahmen implementiert haben.
Wir erinnern uns, dass die Komplexität (das heißt, enthält Ihr Passwort Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen) und Länge Ihres Passwortes unwichtig sind wenn es darum geht die Stärke Ihres Passwortes zu bestimmen (das heißt, wie schwierig ist es für kriminelle Ihr Passwort zu erraten). Ich habe in einem anderen Artikel diskutiert, warum ein Fokus auf Passwort-Komplexität nur den Kriminellen hilft Ihr Passwort zu erraten .
Welche Optionen haben wir ein sicheres Passwort zu erstellen?
Auf ein Blatt Papier schreiben und es nicht nutzen
Da wir die oben genannten Maßnahmen implementiert haben benötigen wir unser Passwort nur noch als Backup oder um ein neues Gerät einzurichten. Wir können also einfach etwas sehr langes und zufälliges auf ein Blatt Papier schreiben und es sicher verstauen. Vielleicht in einem Banksafe oder in einem sicheren Platz in Ihrem Haus. Aber bitte nicht auf einem Post-It neben Ihrem Gerät oder unter Ihrer Tastatur. Auch wenn Kriminelle das Blatt Papier unter Ihrer Tastatur nur ausnutzen können wenn sie physischen Zugriff darauf haben: warum sollten wir dieses Risiko eingehen wenn wir das Blatt Papier selten bis nie benötigen?
xkcd-Option:
Es gibt ein berühmtes xkcd-Comic welches sehr anschaulich erklärt wie man ein gutes und sicheres Passwort erstellt welches aber schwierig zu erwarten ist. Nehmen wir einfach vier zufällige Wörter und kombinieren diese zu einem Passwort dann wird dieses Passwort für Kriminelle viel schwieriger zu erraten sein als ein normales Passwort aus 8-10 Zeichen. Dies stimmt nur, wenn die vier Worte wirklich zufällig gewählt sind. Das xkcd Beispiel ist:
KorrektesPferdBatterieHeftklammer
Dies ist sicher genug für die meisten Anwendungen, wenn Sie eine eigene Kombination erstellen (und die anderen Maßnahmen implementiert haben).
Das Passwort wird etwas schwächer wenn Sie die Worte auswählen (Menschen sind oft vorhersehbar), besonders wenn Sie persönliche Informationen nutzen. Es wird etwas stärker wenn wir eine zweite Sprache benutzen oder ungewöhnliche Rechtschreibfehler machen. Z.b. können wir das deutsche Wort Pferd durch das englische Wort horse ersetzen und ein Wort falsch schreiben.
KorrektesHorseBattärieHeftklammer
Es wird wirklich stark, wenn wir die Worte nicht wie gewöhnlich schreiben: den Wortanfang groß und den Rest klein. stattdessen könnten wir irgendwelche Buchstaben innerhalb des Wortes großschreiben (es gibt 9 Milliarden (2 hoch 33) Möglichkeiten die Groß und Kleinbuchstaben in diesem Beispiel zu verteilen):
korrEkteshoRSEBattärieHeftklammer
Wir können zusätzlich noch weitere Buchstaben, Zahlen oder Sonderzeichen irgendwo zufällig einfügen (ja, zufällig ist wichtig). Zusätzliche Zahlen und Sonderzeichen werden als etwas sicherer als zusätzliche Buchstaben angesehen, auch wenn es mehr Buchstaben als regelmäßig verwendete Sonderzeichen gibt.
korrEkteshxoRSEBagttärieHeftklammer
korrEktesh$oRSEBa5ttärieHeftklammer
Passwortsatz Option:
Die Passwortsatz Option ist ähnlich zu der xkcd Option, mit dem Unterschied. dass wir uns einen ganzen Satz merken, den wir dann als Passwort benutzen. Dies macht das Passwort länger (was gut ist), allerdings sind die Worte nun nicht zufällig (was nicht so gut ist). Überlegen Sie sich einen eigenen Satz, beispielsweise einen unsinnigen wie:
"Peter aus Stuttgart singt wenn Oma Rum trinkt"
"Pizza als Süßigkeit schmeckt Weißweintrinkern ohne Reis trocken"
Wir können den Passwortsatz noch sicherer machen, indem wir die Tipps von oben benutzten: zufällig Zahlen, Sonderzeichen und Großbuchstaben einfügen.
Warum ist der Anfangsbuchstaben-Trick schlecht?
Manche empfehlen sich einen Passwortsatz zu merken aber nur die ersten Buchstaben eines jeden Wortes als Passwort zu verwenden (<- dieser Satz wird dann zu: "Mesepzmandebejwapzv"). Warum ist dies eine sehr schlechte Idee? Wir starten mit einem recht langen (und wahrscheinlich guten) Passwortsatz und reduzieren diesen zu einem kurzen Passwort, welches vielleicht zufällig aussieht. Aber wir könnten Pech haben und als Passwort ein Wort aus einer anderen Sprache erhalten. Oder nehmen wir noch einmal unseren Satz von oben: "Peter aus Stuttgart singt wenn Oma Rum trinkt". Es ist sehr unwahrscheinlich, dass irgendjemand diesen Passwortsatz errät, aber wenn wir nur die ersten Buchstaben wählen erhalten wir:
Passwort
Wir haben also einen sehr gutens Passwortsatz zu einem der schlechtesten Passwörter geändert. Schauen wir uns den anderen Passwort Satz an: "Pizza als Süßigkeit schmeckt Weißweintrinkern ohne Reis trocken". Wir hätten wieder dasselbe Passwort aus den ersten Buchstaben des Passwortsatzes erhalten. Dies ist ein anderer großer Nachteil von diesem Trick: zwei völlig unterschiedliche Passwort Sätze ergeben dasselbe Passwort. Dies ist offensichtlich schlecht.
Zugegen ist es sehr unwahrscheinlich, dass Ihr Passwort so schlecht ist, aber hätten Sie das folgende Passwort als bekannte Stadt erkannt
den berühmten Gletscher
oder die polnische bzw. finnische Übersetzung des populären (und damit schlechten) Passwort "ichliebedich":
kochamcie,
minärakastansinua?
Schlussgedanken
Es ist viel wichtiger für Sie, einen Passwortmanager zu benutzen, 2FA zu aktivieren, auf Phishing aufzupassen, Ihr System sicher zu halten und einen sicheren Dienstleister zu wählen bevor Sie zu viel Energie investieren um sich Passwörter zu merken und zu erstellen.
Machen Sie sich das Leben mit einem Passwortmanager einfacher und sicherer.
Diese Tipps hier gelten für die Mehrheit der Benutzer. Eventuell möchten Sie stärkere Maßnahmen implementieren, wenn Sie sich in einem Hochrisiko-Szenario befinden.
Kommentare