Hinweis zu einem guten Paßwort

Wer in Eile ist, kann einfach zum Ende des Artikels zum Fazit springen ;)

Immer wieder werden Paßwörter benötigt um an verschiedenen Stellen (Arbeitsplatzcomputer, E-Mailprogramm, Bankportal, etc.) Zugang zu erhalten. Und diese Paßwörter müssen natürlich möglichst immer so gewählt werden, damit niemand anderes diesen Zugang erhält. Bei einem Bankportal ist das leicht nachzuvollziehen, aber auch schon das Paßwort für den Arbeitsplatzcomputer kann von Unbefugten benutzt werden, um Daten auszuspähen, zu manipulieren oder gar zu löschen.

Was sollte man immer bei einem Paßwort vermeiden?

Aus der Sicht eines Angreifers, wird er verschiedene Möglichkeiten in der Regel automatisiert auszuprobieren:

• Einsatz von Wortlisten, in der beliebte Paßwörter (wie "Passwort" oder "geheim") und Begriffe ("Blume", "Haus") stehen - und das durchaus auch in Kombinationen wie "geheimHaus".
• Sofern er mehr über die Person des Paßwortes weiß, dann Varianten aus Vor-, Nachname, Geburtsdatum der Person oder derer Angehöriger.
• Wenn alles vorige scheitert, dann eine BruteForce-Methode, bei der alle Varianten der Zeichenfolgen ausprobiert werden, angefangen bei "nur Zahlen" wie "12345" usw.

Diese Varianten des Paßwortes sollten daher unbedingt vermieden werden!

Doch wie sieht ein gutes, kaum zu erratendes Paßwort aus?

Bei Firmen wird oft für ein Paßwort eine Mindestlänge und eine Mischung aus verschiedenen Zeichen (Zahlen und Buchstaben und Sonderzeichen) erzwungen. Wenn man sich ein zufälliges Paßwort erzeugen läßt, so ist dies oft so schwer zu merken, dass dann Personen (zu Recht oft) das Paßwort auf einen Zettel schreiben und beispielsweise unter die Tastatur legen.

Doch warum werden solche Regeln aufgestellt?

• Paßwortlänge: Jedes weitere Zeichen, dass in einem Paßwort verwendet wird, erhöht um eine Potenz die Anzahl der Möglichkeiten die ein Angreifer durchprobieren muss. D.h. bei nur Kleinbuchstaben erhöht die Anzahl der Möglichkeiten um den Faktor 26!
  Eine derzeit empfohlene Mindestlänge von Paßwörtern liegt bei 8-9 Zeichen.
• Verschiedene Zeichengruppen: Werden nur Kleinbuchstaben verwendet, so erhöht sich die Anzahl der Möglichkeiten nur um 26 je Paßwortzeichen. Bei einer empfohlen Mischung aus Kleinbuchstaben (26), Großbuchstaben (26), Zahlen (10) und bestimmten Sonderzeichen (wie !-+=%$ - etwa 10) sind dies bereits je Zeichen 72 Varianten, d.h. um diesen Faktor erhöht sich die Anzahl der Möglichkeiten die ein Angreifer ausprobieren muss!
  Daher wird immer empfohlen ein Paßwort mit jeweils mindestens einem Zeichen aus Klein-, Großbuchstaben, Zahlen und Sonderzeichen zu wählen.

Noch ein wichtiger Hinweis bei der Auswahl der Sonderzeichen:
Da nicht alle Computersysteme einen universellen Zeichensatz unterstützen (wie beispielsweise UTF8), sollte man möglichst keine länderspezifische Sonderzeichen (wie beispielsweise das Paragraphenzeichen §) verwenden. Technisch gesehen sind alle Zeichen des US-ASCII-Zeichensatzes ziwschen #32 und #127 unproblematisch. Folgende Liste zeigt ein paar der Sonderzeichen daraus:
!"$%&/()=?*+'#_-:.;,<>

Wie entsteht nun ein leicht zumerkendes, aber dennoch komplexes Paßwort?

Wenn man gezwungen ist, Sonderzeichen und Zahlen hinzuzunehmen ist das folgende ein guter Ansatz:

Relativ einfach: Es wird einfach ein sich leicht zu merkender Satz genommen, aus einem Gedicht oder ähnlichem, sie beispielsweise:
Heute ist ein schöner Tag!
Wichtig ist hierbei auch mindestens ein Satzzeichen - es kann auch ein Komma sein.

Dann nimmt man einfach den jeweils ersten Buchstaben jedes Wortes und alle Satzzeichen und bekommt: HiesT!

Da hier noch keine Zahlen enthalten sind, kann man bestimmte Buchstaben einfach durch Zahlen ersetzen, oder eine Zahl an bestimmter Stelle einfügen.

Somit ist nun ein Paßwort entstanden, welche niemals in einer Wortliste auftaucht, bei der niemand weiß, wie der Satz als Vorlage hieß:
Hies2T!

Wichtiger Hinweis: Da dieses Verfahren recht bekannt ist, sollte man niemals die erste Zeile eines Gedichtes nehmen, da es auch für solcherlei Wortlisten gibt. Also immer einen eigenen Satz bilden oder zweite/dritte Zeile des Gedichtes.

Wenn keine zwingende Festlegung von Sonderzeichen und Zahlen vorliegt - oder man auf kryptisches lieber verzichtet:

Hierbei sollte man vier oder mehr Worte wählen - unzusammenhängend - aber mit einer Eselbrücke wie: Affen Tisch Kaese leer
Wenn unbedingt eine Zahl und Sonderzeichen erforderlich ist, dann kann man diese leicht einstreuen: Affen1Tisch2Kaese3leer!

Und angesichts der Wortmenge von ca. 145.000 deutschen Worten im Duden und geschätzten 23 Millionen tatsächlichen Grundformen von Worten im Deutsch (also nur Affe nicht Affen!), sind es alleine bei vier Worten aus dem Duden ca. 4,4 Trillionen Möglichkeiten.

Zu dem Dillema von schwer zu merkenden Paßwörtern eine humorvolle Zeichnung: https://xkcd.com/936/.

Warum sollte ich möglichst niemals das selbe Paßwort für verschiedene Zugänge verwenden?

Auch wenn das Paßwort komplex ist, kann es dennoch u.U. im Klartext abgefangen werden (öffentliche PCs, Viren, gehackte Webportale etc.). Damit hätte ein möglicher Angreifer über das Paßwort Zugang zu allem.

Aber anstatt für jeden Zugang ein neues Paßwort zu erdenken, kann man auch ein sogenanntes Paßwortschema sich auszudenken. Ein solches Schema besteht z.B. aus einem Kern - zum Beispiel das obige Paßwort - und einem Zusatz, der abhängig ist von dem Zugang. Und in dem folgenden Fall wird das geheime Kürzel an jeweils 1., 3., 5. etc. Stelle eingefügt.

Das kann dann wie folgt aussehen, wenn der Kern die folgende Zeichenkette ist Hies2T!:

Somit kann jemand, der nur ein Passwort gekapert hat wie "PHoisets2T!", kaum oder keinen Rückschluß bekommen, wie das Verfahren des Schema ist und somit wie die anderen Paßwörter aussehen.

Muss ich für jeden Zugang immer ein Paßwort/-schema mir ausdenken?

Oft ist es wenig sinnvoll, dass man sich immer wieder neue Paßwörter ausdenkt, weil man beispielsweise den zugang selten nur verwendet. Oder es ist der Fall, dass man das Paßwort mit anderen teilen will oder muss, weil es beispielweise ein Zugang für eine ganze Gruppe ist. In diesen Falle sollte man nicht sein eigenes Paßwort/-schema benutzen, sondern spezielle eigene Paßwörter erzeugen und verwalten. Mehr dazu unter Erzeugen von Paßwörtern mit PWgen und das Verwalten von Paßwörtern mit KeePass in einem Paßwort-Safe.