Wie finde ich sichere Passwörter?

Als das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor Kurzem von 16 Millionen Passwörtern und E-Mail-Konten gesprochen hat, die geknackt wurden, dachte ich erst mal: Na, mal schauen, ob auch mein E-Mail-Account am Arsch ist. Also ab auf die Seite, E-Mail eingegeben und - nichts bekommen. Wie sich sehr schnell rausgestellt hat, ging es bei der BSI-Warnung nicht zwangsläufig um tatsächliche E-Mail-Konten, aber trotzdem: Das Problem ist ja trotzdem da. Wie macht man das am besten so, dass es sicher ist - zumindest so sicher, wie es geht?

Fangen wir mit dem Offensichtlichen an: Es gibt einfache Passwörter und es gibt clevere Passwörter. Einfach, das wäre alles, was man [link=https://xato.net/wp-content/xup/passwordscloud.png" target="_blank">auf diesem Bild hier sehen kann.

und „password“ belegen Platz 1 und Platz 2 der meistgenutzten Passwörter. Sie sind einfach – und deshalb natürlich vor allem einfach zu knacken.

Die untere Reihe, die mit dem “correcthorsebatterystaple”-Satz, das ist ein sicheres Passwort. Es besteht aus mehreren Worten, also vielen Zeichen. Der Satz hat 36 Stellen vor dem Komma. Es dauert eine Ewigkeit, bis das geknackt ist. Und gleichzeitig ist so ein Satz leichter zu merken als zum Beispiel ein kryptisches Gebilde, das man mit Sonderzeichen aus einem Wort bastelt. Im Beispiel auf dem Bild wurde aus dem Wort „Troubador“ „Tr0ub4dor“ gemacht. Es ist schwer, sich zu erinnern, wo man jetzt einen Großbuchstaben eingebaut hat und wo man einen Buchstaben durch eine Zahl ersetzt hat. Gleichzeitig hat es aber viel weniger als der Satz. Der ist leicht zu merken und schwer zu knacken - er ist ein cleveres Passwort.

Ein sicheres Passwort ist also genau genommen eine Passphrase. Wer auf Nummer noch sicherer gehen will, baut in seine Phrase ein Sonderzeichen und einen Großbuchstaben ein. Damit erhöhen sich die Möglichkeiten bis in die Absurdität. Wenn man also schon dabei ist, bietet sich das durchaus an.

Eine Einschränkung für die "correcthorsebatterystaple"-Lösung gibt es allerdings: Manche Dienste begrenzen unglücklicherweise die Länge der möglichen Passwörter. Die Lösung: Wenn wir zum Beispiel nur 16 Stellen zur Verfügung haben, können wir von jedem Wort des Satzes nur einen Teil oder eine Silbe verwenden. "CorrHorsBattStap" hat 16 Buchstaben und auch Großbuchstaben am Anfang jeder Silbe - das heißt: nun sind es 16 hoch 52 Möglichkeiten, die ein Angreifer durchprobieren müsste - was immer noch eine ganze Menge ist. 

Es gibt aber Dinge, die kann man nicht so leicht beeinflussen kann wie das eigene Passwort. Zum Beispiel, ob die Seite, deren Dienst man nutzt, gehackt wird und wer die Passwörter dann bekommt. Gehackt zu werden passiert in aller Regelmäßigkeit und auch bei großen Seiten [link=http://arstechnica.com/security/2012/06/8-million-leaked-passwords-connected-to-linkedin/" target="_blank">wie zum Beispiel LinkedIn.

Um sich möglichst gut abzusichern, kann man vor allem zwei Dinge tun:

Erstens: Jeder Dienst kriegt ein eigenes Passwort. Das mag übertrieben klingen, ist es aber gar nicht. Wir laufen ja auch nicht mit einem Schlüssel durch die Stadt, der gleichzeitig unser Auto aufschließt, den Safe öffnet, die Tür zur Wohnung und dann noch das Fahrradschloss. Wird ein Schlüssel geknackt, ist “nur” ein Dienst betroffen, für den man ein neues Passwort wählen muss.

Zweitens: Viele Seiten haben mittlerweile einen Zusatzschutz (Facebook [link=https://www.facebook.com/settings?tab=security&view" target="_blank">hier, Paypal [link=https://www.paypal.com/de/webapps/mpp/safety-tips-buyers" target="_blank">hier[link=https://www.paypal.com/de/webapps/mpp/safety-tips-buyers">, Ebay hier, Twitter