Sichere Passwörter Ih100sP,umiIa! ist besser als Melanie1985

Ohne Passwörter geht nichts: Doch obwohl die kurzen Zeichenkombinationen so wichtig für unsere digitale Identität sind, werden sie oft vernachlässigt. Was es bei der Wahl eines sicheren Passworts zu beachten gilt.

Computer-Sicherheitsexperten sind keine Fans von Wörterbüchern. Denn Wörter oder Namen sind beliebte, aber höchst unsichere Passwörter. Mit speziellen Programmen können Angreifer sie binnen kürzester Zeit durch reines Ausprobieren, der so genannten Brute-Force-Methodem ermitteln. Vergleichsweise sicher sind hingegen nur lange Zeichenketten, bestehende aus vermeintlichem Kauderwelsch. Sichere grafische Passwörter, die viel leichter zu merken sind, haben sich noch nicht durchgesetzt.

Für Norbert Pohlmann sind Textpasswörter ein notwendiges Übel. "Das ist der ungeeignetste Mechanismus für die Authentifikation, den man sich vorstellen kann", sagt der Direktor des Instituts für Internet-Sicherheit an der FH Gelsenkirchen. Derzeit habe man aber kaum eine andere Wahl. "Wir müssen als Nutzer lernen, damit umzugehen und das Beste daraus zu machen."

Und das Beste bedeutet: Ein Passwort sollte mindestens zehn Zeichen haben und Sonderzeichen, Groß- und Kleinschreibung sowie Zahlen enthalten. "Damit macht man den Schlüsselraum so groß, dass es bei einem Brute-Force-Angriff länger als 200 Jahre brauchen würde, um das Passwort zu knacken", erklärt Pohlmann. "Doch viele nutzen schlechte Passwörter, weil sie den Namen der Freundin oder der Firma nehmen." Alles, was sich erraten, im Netz finden lässt, im Wörterbuch steht oder wie "12345" oder "qwertz" einem Muster folgt, ist unsicher.

Doch wie merkt man sich ein komplexes Passwort? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät zu einem - unbedingt selbst ausgedachten - Merksatz als Eselsbrücke. Aus "Ich habe 100 sichere Passwörter, um mich im Internet anzumelden!" wird etwa "Ih100sP,umiIa!". Umlaute sind eher ungeeignet, weil es sie nicht auf allen Tastaturen gibt. Bei Passwörtern wie PINs sind Daten wie Geburtstage und Jahreszahlen tabu. Man sollte Passwörter halbjährlich wechseln und immer vor Phishing-Attacken auf der Hut sein. Leichtsinnig ist es, ein Passwort für alle Konten zu nutzen - selbst, wenn es gut ist. Denn wem es in die Hände fällt, der bekommt auch Zugriff auf alle anderen Dienste des Nutzers.