Das sicherste Passwort kennt man nicht mal selbst. Das zumindest ist der Kniff von Hristo Bonjinov. Er hat ein Computerspiel entwickelt, bei dem es ähnlich wie bei dem Videospiel Guitar Hero gilt, auf dem Bildschirm herabfallende schwarze Punkte per Tastendruck zu erwischen. In einem Experiment an der Universität Stanford brachte er Menschen in mehreren Trainingseinheiten von jeweils 30 Minuten damit eine gewisse Tonfolge bei. Wer das Spiel Wochen später wiederholt, der trifft die Töne deutlich besser als jemand, der sich zum ersten Mal dransetzt. Und genau an diesem Erfolg identifiziert ihn dann der Computer.
Selbst vor Erpressern wäre solch ein im Unterbewusstsein abgespeichertes Passwort geschützt. Ein grundsätzliches Dilemma aber löst auch Bonjinov nicht: Je besser ein Passwort seinen Zweck erfüllt, weil es so kompliziert ist, dass keiner es knacken kann, desto unpraktischer ist es eben auch. Wer will schon lange trainieren, nur um seine E-Mails lesen zu können?
Das meist verwendete Passwort: 123456
Von all den sozialen Netzwerken bis zu nicht minder wenigen Shopping-Seiten, vom Zugang zum Dienstrechner bis zum digitalen Schalter für Fahrkarten: Jeder zweite Deutsche hat Umfragen zufolge bis zu neun Passwörter, jeder dritte sogar noch mal fünf mehr.
Die Regeln dazu sind bekannt: Nur kein Begriff aus dem Wörterbuch! Stattdessen auf mindestens acht Stellen Groß- und Kleinbuchstaben mit Ziffern und Sonderzeichen kombinieren. Aber eine Regel zu kennen, heißt noch lange nicht, sie im Alltag auch anzuwenden. Der Mensch ist nun mal nicht vernünftig, sondern bequem.
Und so behalten mehr als 40 Prozent der Deutschen ihr einmal vergebenes Passwort ein Leben lang, obwohl Sicherheitsexperten raten, es so regelmäßig auszutauschen wie die Zahnbürste. Deshalb verwenden viele dasselbe Passwort für alle Dienste, obwohl sie Hackern, die eigentlich nur den Zugang zum Dating-Portal erbeutet haben, so auch den Zutritt zum Postfach erleichtern. Und deshalb ist das Passwort "123456" noch immer das am meisten verwendete im Netz. Gefolgt übrigens von: "Password" sowie "12345" und "12345678".
Kurze Passwörter können sicherer sein als lange
Für Computer ist es ein Klacks, diese zu knacken. Sie probieren einfach alle Kombinationen aus. Und je besser die Prozessoren werden, desto schneller gelangen sie ans Ziel: Ein Passwort, das sieben Zeichen aus Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen - vor fünf bis zehn Jahren hätte ein durchschnittlicher Computer, wie er in jedem Haushalt steht, etwa 1000 Jahre gebraucht, um es zu bestimmen. Heute knackt er es in einem Monat.
Deshalb haben Sicherheitsexperten, um es den aufgerüsteten Hackern schwerer zu machen, die Zahl der Möglichkeiten erhöht - und verlangen nun, dass man sich auch mal Passwörter mit 30 Zeichen merken soll. Dabei ging es auch andersrum: Die vierstelligen Pins für den Bankautomaten zeigen, dass ein Passwort auch dann sicher sein kann, wenn es kurz ist. Dort nämlich hat man nur drei Versuche. Liegt man daneben, wird die Karte eingezogen. Beim Einloggen ins E-Mail-Fach sind viel mehr Vertipper erlaubt.
Eigene Verschleierungsmethoden helfen gegen Hacker
Es gibt einen Kniff, mit dem sich das, was schwer zu merken ist, doch merken lässt: Als Grundstock dient dabei ein Sprichwort, der Refrain eines Ohrwurms oder irgendein persönliches Geheimnis, das man allerdings auch Facebook nicht anvertraut haben sollte. Bei diesem tauscht man dann einzelne Buchstaben durch Ziffern und Sonderzeichen.
Aus "In der Nacht sind alle Katzen grau" wird dann, wenn man das N durch eine 6 und das E durch die Kombi #& ergänzt, beispielsweise I6d#&r6achtsi6dall#&Katz#&6grau. Man kann dieses Sprichwort auch wiederverwenden - und nur die Ersatzbausteine im Passwort für jeden weiteren Dienst ändern. Beim E-Mail-Dienst wird das N durch die 7, bei Amazon dann durchs Ausrufezeichen ersetzt.
Wer sich seine eigene Verschleierungsmethode überlegt, macht es nicht nur Hackern schwer - sondern kann sich im besten Falle die nächste Partie Sudoku sparen, weil das Gehirn schon ordentlich im Training ist. Aber natürlich kann man auch diese Mühen einfach an einen Dienstleister auslagern.
Passwörter würfeln, virtuellen Safe benutzen
Etwa an die elfjährige Mira Modi aus New York. Sie würfelt einem Passwörter, schreibt sie dann auf einen Zettel und schickt sie einem per Post. Kostet pro Passwort zwei Dollar. Dafür existiert es nur einmal - und nur auf Papier. Das Mädchen nutzt dabei Diceware. Das sind Listen, die in diversen Sprachen, einer fünfstelligen erwürfelten Ziffernfolge ein Wort zuweisen. In der deutschen Liste steht 43142 etwa für das Wort "merken". Und wer mehrmals würfelt, kann auch ganze Sätze aus der Liste basteln.
Mitunter bietet einem auch der Browser an, die lästige Erinnerungsarbeit abzunehmen. Wer aber dem Vorschlag, das Passwort für bestimmte Webseiten zu speichern, zustimmt, muss wissen: Das Passwort ist dabei immer nur so sicher, wie die Verschlüsselung der abgelegten Daten.
Das gilt auch für sogenannte Passwortmanager. Die bieten eine Art virtuellen Safe, in dem man alle Passwörter ablegen kann. Man braucht dann nur noch einen Generalschlüssel. Ganz und gar sicher kann man sich aber auch dort nicht sein. Hacker können sich zum Beispiel Zugriff auf den eigenen Rechner verschaffen und beobachten, was man in die Tastatur tippt, wenn man den Safe öffnet. In diesem Sommer haben sie sich auch auf die Server von Lastpass, einem der beiden großen Anbieter solcher virtuellen Safes, geschlichen - und Kundendaten geklaut.
Manche meinen, dass Passwörter ohnehin bald überholt sind. Weil sich die Menschen in Zukunft mit einem Scan der Iris ausweisen oder das Smartphone mit Bewegungssensoren erkennt, ob es wirklich der Besitzer in den Händen hält. Und vielleicht setzt sich doch noch die vor drei Jahren vorgestellte Idee mit den Tasten und der Tonfolge durch.
