Süddeutsche Zeitung

Sicherheit im Internet:So sieht ein sicheres Passwort aus

  • Ein Superrechner kann mehr als zwei Milliarden Passwörter pro Sekunde testen.
  • Die Grundregeln für ein sicheres Passwort lauten daher: Mindestens zwölf Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen verwenden.
  • Um den Zeichensalat nicht zu vergessen, helfen Merksätze.

Von Marina Engler

Die meisten Benutzerkonten im Internet werden durch ein Passwort geschützt. Obwohl in sozialen Netzwerken, Onlineshops oder im E-Mailpostfach viele persönliche Daten lagern, machen sich viele offenbar kaum Gedanken über deren Sicherheit. Oder wie sonst lässt sich erklären, dass "123456" und "password" nach wie vor zu den am häufigsten verwendeten Passwörtern gehören? Dabei genügen ein paar Minuten Zeit, um sich ein wirklich sicheres Passwort auszudenken.

Berechenbare Schwäche

Wie unsicher ein schwaches Passwort ist, kann man ausrechnen. Die meisten Hacks werden durch so genannte Brute-Force-Angriffe durchgeführt, zu deutsch "mit roher Gewalt". Dafür rechnen entsprechende Programme sämtliche Kombinationsmöglichkeiten von Buchstaben, Zahlen und Zeichen durch. Je kürzer und simpler das Passwort, desto schneller ist es geknackt. Professorin Claudia Eckert, Leiterin des Fraunhofer Instituts für Angewandte und Integrierte Sicherheit, bestätigt: "Die schnellsten Supercomputer können heutzutage weit mehr als zwei Milliarden Schlüssel pro Sekunde durchprobieren."

In maximal 0,0005 Sekunden geknackt

Um die Sicherheit eines Passworts zu berechnen, braucht es zwei Schritte. Zunächst muss man herausfinden, wie viele Kombinationen für ein Passwort existieren. Dafür gibt es eine Formel: Kombinationen = Zeichenraumgröße hoch Passwortlänge.

Die Zeichenraumgröße ist dabei die maximale Anzahl an möglichen Zeichen, also etwa 26 Großbuchstaben oder zehn Ziffern.

Im zweiten Schritt teilt man die Anzahl der Kombinationen durch zwei Milliarden. So erhält man die Zeit in Sekunden, die ein Superrechner längstens brauchen würde, um es zu knacken.

Das klingt komplizierter als es ist. Zwei Beispiele:

"123456" besteht ausschließlich aus Zahlen. Da es zehn Ziffern gibt und das Passwort sechs Stellen hat, ist die Anzahl der Kombinationsmöglichkeiten zehn hoch sechs = eine Million. Geteilt durch zwei Milliarden ergibt: Dieses Passwort wäre im Bruchteil einer Sekunde geknackt.

Das beliebte "password" besteht aus acht Buchstaben, von denen das deutsche Alphabet 26 besitzt. Da es ausschließlich Kleinbuchstaben sind, ergibt die Formel: 26 hoch 8 = 208.827.064.576, also immerhin gut 208 Milliarden Kombinationsmöglichkeiten. Ein Superrechner bräuchte dennoch maximal 104 Sekunden, also weniger als zwei Minuten, um alle Kombinationen zu testen. Da das "password" aber seit Jahren auf den ersten Plätzen der häufigsten Passwörter rangiert, würde ein kluger Hacker dieses vermutlich als erstes ausprobieren.

Regeln für ein gutes Passwort

Damit ein Passwort das Nutzerkonto wirklich schützt, muss es gewisse Kriterien erfüllen. Claudia Eckert empfiehlt: "Man sollte mindestens zwölf Zeichen verwenden, dabei Groß- und Kleinbuchstaben mischen und auch Sonderzeichen und Zahlen einbauen. Wichtig ist, dass man keine Namen, Worte oder Wortteile verwendet, die in einem Wörterbuch automatisiert nachgeschlagen werden können."

Um sich eine solche Mischung aus Zeichen und Zahlen merken zu können, gibt es einen simplen, aber genialen Trick, den auch die Professorin benutzt: "Meistens liegt meinen Passwörtern ein längerer Satz zugrunde, von dessen Wörtern ich nur die Anfangsbuchstaben verwende", sagt Claudia Eckert.

Sich selbst ein sicheres Passwort ausdenken

Schritt 1: Man überlegt sich eine Frage oder eine Aussage, die man sich gut merken kann. Das können Kinderlieder, Reime, Zitate oder ein selbst ausgedachter Satz sein. Letzteres ist besonders sicher, da es sehr individuell ist.

Beispiel: Ich bin am 15. September in Köln am Rhein geboren.

Schritt 2: Von diesem Satz nimmt man nur die ersten Buchstaben jedes Wortes und lässt Zahlen und Satzzeichen so, wie sie sind.

Beispiel: Iba15.SiKaRg.

Das wäre schon ein ordentliches Passwort. Um es noch sicherer zu machen, folgt

Schritt 3: Dem Passwort werden weitere Sonderzeichen hinzugefügt. Am einfachsten geht das, indem man einzelne Buchstaben durch ähnlich aussehende Zeichen ersetzt.

Beispiel: Iba15.$iK@Rg.

Da dieses Passwort 13 Stellen hat und aus Groß- und Kleinbuchstaben (à 26 Zeichen), Zahlen (à 10 Ziffern) und Sonderzeichen (à 35 Zeichen) besteht, steigt die Anzahl der möglichen Kombinationen auf

(26+26+10+35) hoch 13 = 67.300.000.000.000.000.000.000.000 bzw. 67,3 Quadrillionen.

Teilt man diese unfassbar hohe Zahl durch zwei Milliarden Versuche eines Superrechners pro Sekunde, ergibt das eine Dauer von 1,067 Milliarden Jahren, die man bräuchte, um alle Varianten auszuprobieren. Die Wahrscheinlichkeit, dass ein Hacker das Passwort per Zufall in den ersten Wochen herausfindet, liegt weit unter der eines Lottohauptgewinns. Solche Passwörter gelten deshalb als wirklich sicher.

Zusätzliche Tipps für Sicherheit im Internet

Um die höchste Sicherheitsstufe zu erreichen, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (hier), für jeden Dienst ein anderes Passwort zu verwenden und dieses außerdem etwa alle sechs Monate zu erneuern.

Um sich all das merken zu können, schlägt die Verbraucherschutz-Plattform "Surfer haben Rechte" (hier) vor, einen Passwort-Manager zu nutzen. Darin kann man seine Passwörter für die verschiedenen Nutzerkonten verschlüsselt abspeichern und muss sich nur noch das Masterpasswort merken.

Aus Sicherheitsgründen sollten Sie die hier oder auf den angegebenen Seiten verwendeten Beispielpasswörter natürlich nicht benutzen.

Bestens informiert mit SZ Plus – 4 Wochen kostenlos zur Probe lesen. Jetzt bestellen unter: www.sz.de/szplus-testen

URL:
www.sz.de/1.2389416
Copyright:
Süddeutsche Zeitung Digitale Medien GmbH / Süddeutsche Zeitung GmbH
Quelle:
Süddeutsche.de/dd/mri
Jegliche Veröffentlichung und nicht-private Nutzung exklusiv über Süddeutsche Zeitung Content. Bitte senden Sie Ihre Nutzungsanfrage an syndication@sueddeutsche.de.