Computer-Sicherheitsexperten sind keine Fans von Wörterbüchern. Denn Wörter oder Namen sind beliebte, aber höchst unsichere Passwörter. Mit speziellen Programmen können Angreifer sie binnen kürzester Zeit durch reines Ausprobieren, der so genannten Brute-Force-Methodem ermitteln. Vergleichsweise sicher sind hingegen nur lange Zeichenketten, bestehende aus vermeintlichem Kauderwelsch. Sichere grafische Passwörter, die viel leichter zu merken sind, haben sich noch nicht durchgesetzt.
Für Norbert Pohlmann sind Textpasswörter ein notwendiges Übel. "Das ist der ungeeignetste Mechanismus für die Authentifikation, den man sich vorstellen kann", sagt der Direktor des Instituts für Internet-Sicherheit an der FH Gelsenkirchen. Derzeit habe man aber kaum eine andere Wahl. "Wir müssen als Nutzer lernen, damit umzugehen und das Beste daraus zu machen."
Und das Beste bedeutet: Ein Passwort sollte mindestens zehn Zeichen haben und Sonderzeichen, Groß- und Kleinschreibung sowie Zahlen enthalten. "Damit macht man den Schlüsselraum so groß, dass es bei einem Brute-Force-Angriff länger als 200 Jahre brauchen würde, um das Passwort zu knacken", erklärt Pohlmann. "Doch viele nutzen schlechte Passwörter, weil sie den Namen der Freundin oder der Firma nehmen." Alles, was sich erraten, im Netz finden lässt, im Wörterbuch steht oder wie "12345" oder "qwertz" einem Muster folgt, ist unsicher.
Doch wie merkt man sich ein komplexes Passwort? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät zu einem - unbedingt selbst ausgedachten - Merksatz als Eselsbrücke. Aus "Ich habe 100 sichere Passwörter, um mich im Internet anzumelden!" wird etwa "Ih100sP,umiIa!". Umlaute sind eher ungeeignet, weil es sie nicht auf allen Tastaturen gibt. Bei Passwörtern wie PINs sind Daten wie Geburtstage und Jahreszahlen tabu. Man sollte Passwörter halbjährlich wechseln und immer vor Phishing-Attacken auf der Hut sein. Leichtsinnig ist es, ein Passwort für alle Konten zu nutzen - selbst, wenn es gut ist. Denn wem es in die Hände fällt, der bekommt auch Zugriff auf alle anderen Dienste des Nutzers.
Ein Passwort für jeden Account
"Idealerweise muss man ein eigenes Passwort für jeden Account haben", sagt Melanie Volkamer vom Center for Advanced Security Research an der TU Darmstadt. "Doch keiner kann sich 30 Zufallsfolgen merken." Ein sicheres Passwort lässt sich aber variieren - etwa indem nach einer bestimmten Regel Buchstaben angehängt oder vorangestellt werden, die beispielsweise mit dem Anbieternamen zu tun haben. Da nicht alle Dienste gleich wichtig sind, kann auch das Bilden von Passwortgruppen ein guter Kompromiss zwischen Sicherheit und Nutzbarkeit sein. Man verwendet beispielsweise ein Passwort für soziale Netzwerke, eines für Online-Shops, eines fürs Bank- und eines fürs E-Mail-Konto.
Letzteres ist besonders wichtig, meint Pohlmann. "Viele Dienste haben den Reset-Mechanismus für das Passwort an die E-Mail-Adresse geknüpft." "Besonders sicherheitskritische Dienste nutzen noch ein zusätzliches Prüfmerkmal", erklärt Volkamer. Dazu gehören zum Beispiel SMS-TANs beim Online-Banking. Erst wenige andere Anbieter wie Paypal, Google oder Dropbox bieten optional zusätzliche Prüfcodes an, die per SMS verschickt oder per Smartphone-App erzeugt werden. Herkömmliche Passwortmanager zum Speichern unbegrenzt vieler Codes taugen nur bedingt. Sie stoßen spätestens dann an ihre Grenzen, wenn man sie an Rechnern nutzt, deren Sicherheit man nicht einschätzen kann, sagt Pohlmann.
Greift ein Trojaner das Masterpasswort ab, sind auch alle anderen Passwörter in seiner Hand. "Da muss noch eine Menge passieren", sagt Prof. Pohlmann. Der neue E-Personalausweis etwa eigne sich via Kartenlesegerät und PIN als sicherer Identitätsnachweis. Diese Authentifikationsfunktion hätten aber erst drei von zehn Millionen Ausweisbesitzern aktivieren lassen - und nur wenige Dienste unterstützen den Identitätsnachweis. "Man kann auch grafische Passwörter benutzen, weil unser Gedächtnis besser mit Bildern funktioniert", sagt Prof. Volkamer. Es gebe Systeme, bei denen man in einer wechselnden Auswahl von Fotos bekannte Gesichter mehrere Male nacheinander identifizieren muss. "Ich muss es nicht wiedergeben, sondern nur wiedererkennen", erklärt die Expertin. Idealerweise sollten Anwender die Art des Passworts bei jedem Dienst frei wählen können.
Das Fraunhofer-Institut für Sichere Informationstechnologie hat eine Smartphone-App als Codespeicher entwickelt, die ein Masterpasswort mit einem grafischen Prüfelement kombiniert. Egal, welches Masterpasswort eingegeben wird: Die App gewährt auch Hackern, Dieben, Neugierigen oder Findern des Handys stets Zugang und zeigt Passwörter an - allerdings falsche oder richtige. Ob es die richtigen sind, erkennt nur der Besitzer anhand einer Symbolfolge, die er beim Setzen des Masterpassworts gelernt hat, erklärt Prof. Volkamer. Andere probieren falsche Passwörter, bis der jeweilige Dienst den Account sperrt.
