E-Mail-Konto, Shopping-Portale, Reisebuchungen, soziale Netzwerke ... für die meisten Aktivitäten im Internet muss man sich mit einem Benutzernamen beziehungsweise der E-Mail-Adresse und einem Passwort anmelden. Solche Zugangsdaten interessieren auch kriminelle Hacker brennend. Immer wieder berichten die Medien von groß angelegten Hackerangriffen, die nur ein Ziel haben: die digitalen Identitäten der Nutzer.
„Mit solchen Daten können die Hacker frei über das jeweilige Konto verfügen“, erklärt IT-Sicherheitsexperte Marc Fliehe vom Branchenverband Bitkom. Je nachdem, um welchen Account es sich handelt, können Kriminelle beispielsweise die Lieferadresse ändern und Waren bestellen, das Profil ändern, falsche Nachrichten posten, Privates einsehen oder Mails mitlesen. Natürlich können sie auch die Zugangsdaten ändern, sodass der rechtmäßige Besitzer nicht mehr auf sein Konto zugreifen kann. Im schlimmsten Fall kapern sie sogar den Rechner und greifen vertrauliche Informationen ab, spielen Computerviren auf oder verschicken massenhaft Spam.
Wer es mit den Zugangsdaten nicht so genau nimmt, erleichtert den Kriminellen die Arbeit. „Grundsätzlich sollte man für jeden Dienst ein eigenes Passwort vergeben“, empfiehlt IT-Experte Fliehe. „Das begrenzt den Schaden, falls doch einmal ein Account gehackt werden sollte.“
Mindestanforderungen an ein gutes Passwort
Natürlich sollte auch das Passwort selbst so sicher wie möglich sein. Dabei gilt: je länger, desto besser. Bitkom-Experte Marc Fliehe hält eine Länge von acht Zeichen für ausreichend, bei besonders sicherheitsbedürftigen Aktivitäten wie dem Online-Banking dürfen es auch mehr sein.
„Wichtig ist außerdem die Komplexität, also der Mix aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen“, erklärt Fliehe. Oft wird ein gewisses Mindestmaß an Sicherheit auch schon durch die Technik erzwungen: Bei vielen Anwendungen kann man inzwischen sowieso nur noch Passwörter eingeben, die eine gewisse Länge haben und Zahlen beziehungsweise Sonderzeichen enthalten.
Trotzdem reicht das nicht aus. Moderne Computer knacken nämlich in kürzester Zeit nicht nur ganze Wörterbücher, sondern auch sämtliche gängigen Kombinationen. Tabu sind deshalb alle Wörter, die einen Sinn ergeben. Unsicher ist auch alles, was leicht zu erraten oder anderweitig herauszufinden ist, beispielsweise Kosenamen, der Name des Haustiers oder Geburtsdaten. Ebenfalls schlecht sind leicht zu merkende Kombinationen wie „1234567890“ oder typische Muster auf der Tastatur wie „qwert“.
Eselsbrücken bauen
Optimal sind dagegen vollkommen sinnfreie Kombinationen wie beispielsweise „h3o/vT6#g-Sdl“. Blöd nur, dass sich kaum jemand so etwas merken kann. Als Eselsbrücke wird deshalb oft empfohlen, Passwörter aus den Anfangsbuchstaben der Wörter eines Satzes zu bilden. Aus „Sie hat sieben Brüder,die acht Fragen stellen.“ würde dann beispielsweise das Passwort „Sh7B,d8Fs.“ Der Haken daran: Man muss sich für jeden Account einen eigenen Satz merken, was in der Praxis ebenfalls leicht zum Chaos führt.
Auch die Methode, sich vor jeder Anmeldung über den „Passwort vergessen“-Link neue Zugangsdaten per Mail zusenden zu lassen, hat ihre Grenzen. Sie ist nämlich schlicht zu aufwendig, wenn man sich mehrmals täglich bei einem Dienst eingeloggt oder wenn man bei verschiedenen Anbietern unterschiedliche Mail-Adressen für den Versand des neuen Passworts hinterlegt hat. „Außerdem hätte ich persönlich Bauchschmerzen, wenn Zugangsdaten per E-Mail versandt werden, weil unverschlüsselte Mails ungefähr so sicher sind wie eine Postkarte“, sagt Fliehe. Wer diese Methode trotzdem nutzt, sollte sich deshalb unbedingt sofort nach dem Eingang der Mail einloggen und ein neues Passwort vergeben.
Persönliche Passwörter mit System
Als Lösung empfiehlt der Experte, Passwörter mit einem individuellen System zu erzeugen. Und das geht so: Man bestimmt zunächst ein sicheres Kernpasswort, das man sich gut merken kann. Wer beispielsweise seine Hochzeitsreise 2006 in Las Vegas verbracht hat, und sich dabei über den schlechten Dollarkurs geärgert hat wählt beispielsweise den Kern „Lv06$“.
Diesen Kern erweitert man für jeden Account mit einem individuellen Zusatzcode, den man schematisch erzeugt, beispielsweise aus den ersten drei Buchstaben des Accounts. Für Facebook lautet das Passwort dann also „Lv06$fAC“, für eBay „Lv06$eBA“. Man kann dieses Schema natürlich beliebig variieren, und alternativ beispielsweise die letzten vier Buchstaben oder den zweiten und vierten nehmen. Sicherer wird das Ganze, wenn außerdem Zahlen und Sonderzeichen enthalten sind.
Alternative: Passwortmanager
Wem das alles viel zu kompliziert ist, der besorgt sich einen sogenannten Passwort-Manager. Das ist ein kleines Computerprogramm, das Passwörter generiert und verschlüsselt speichert. „Der Vorteil ist, dass man sich nur noch ein einziges sogenanntes Master Passwort merken muss“, erläutert Fliehe. Moderne Passwortmanager sind so gebaut, dass sie auf sämtlichen Endgeräten, also PC, Tablet, Laptop und Smartphone funktionieren.
Wie bei Software allgemein üblich, sollte man auch Passwortmanager nicht von dubiosen Webseiten herunterladen. „Passwortmanager seriöser Anbieter aus zuverlässigen Quellen gelten unter Experten als sicher“, sagt Marc Fliehe.
Keine Zettelwirtschaft
Weniger empfehlenswert ist es dagegen, seine Passwörter auf Zetteln zu notieren. „Spätestens, wenn man mobile Endgeräte benutzt und deshalb die Zettel mit den Zugangsdaten in der Geldbörse spazieren führt, treten Sicherheitsrisiken auf“, so der Experte.
Wer allerdings ausschließlich am heimischen PC ins Internet geht, kann seine Passwörter durchaus auf Papier notieren. Auf keinen Fall sollten sie aber leicht einsehbar an der Pinnwand oder dem Monitor kleben. Damit riskiert man, dass Fremde, beispielsweise Handwerker, die Zugangsdaten sozusagen „im vorbeigehen“ erfahren. Trotzdem bleibt das Risiko, dass bei einem Einbruch nicht nur Wertgegenstände, sondern auch sämtliche Zugangsdaten geklaut werden – schließlich wissen auch Diebe, wie wertvoll solche Informationen sind.