Kennwortsicherheit: Der richtige Umgang mit Passwörtern

Durch Passwörter können – im beruflichen wie im privaten Bereich – mit geringem Aufwand die Sicherheit sowie die Integrität von IT-Systemen erhöht werden. Worauf Sie achten müssen, erfahren Sie hier.

Person gibt am Computer das Passwort ein
Kennwortsicherheit Foto Adobe Stock

Man muss über kein IT-Expertenwissen verfügen, um zu wissen, dass Kennwörter wie „123456“ oder „password“ eine unsichere Wahl sind, um sich gegen Angriffe auf Smartphone, Laptop und andere Geräte zu schützen. Nichtsdestotrotz sind diese Beispiele gemäß SplashData, Inc. – eine amerikanische Firma, die jährlich eine Auflistung der am häufigsten genutzten Login-Daten veröffentlicht – auf Platz eins beziehungsweise Platz vier der weltweit beliebtesten Passwörter im Jahr 2019.  

Ein schwaches Kennwort ist jedoch nur eine von vielen Gefahrenquellen. Allzu oft werden die Login-Daten an Dritte weitergegeben oder aufgeschrieben, um sie nicht zu vergessen. Hierdurch können Sie in falsche Hände geraten. Dies kann fatale Folgen haben, vor allem wenn dieselben Zugangsdaten für unterschiedliche Dienste verwendet werden. Im schlimmsten Fall wären bei einer Kompromittierung – also dem unberechtigten Eindringen, Manipulieren und Ausspähen eines Computersystems – alle Benutzerkonten betroffen. Um das zu vermeiden, hat das Cyber Security Center des BMI in einer aktuellen Broschüre zum Thema „Kennwortsicherheit“ folgende Empfehlungen gesammelt.  

Wie erstellt man ein sicheres Passwort?

Ein starkes Kennwort zeichnet sich durch seine Länge und Komplexität aus. Damit sind einerseits die Anzahl der Zeichen und andererseits die Anzahl von unterschiedlichen Zeichen-Kategorien wie Ziffern, Kleinbuchstaben, Großbuchstaben und Sonderzeichen gemeint. Dieser Ratschlag sollte jedoch nur so weit umgesetzt werden, sodass es Benutzerinnen und Benutzern noch möglich ist, sich das Passwort zu merken. Aktuelle Ansätze empfehlen zudem das Benutzen von möglichst langen Passphrasen anstelle von Kennwörtern. Eine lange Passphrase kann durch die Eingabe ganzer Sätze erstellt werden, wie zum Beispiel „Als ich sechs Jahre alt war, besuchte ich die erste Klasse der Volksschule.“ So bleibt gewährleistet, dass die Passphrase die maximal erlaubte Zeichenanzahl des Passwortfeldes beansprucht.  

No-Gos bei der Kennworterstellung

Bei sogenannten Brute Force-Angriffen gelingt es Angreiferinnen und Angreifer durch automatisches Durchprobieren aller möglichen Zeichenkombination, Passwörter zu hacken, die eine geringe Kennwortlänge und/ oder -komplexität aufweisen. Jedoch ist dies nur einer von vielen Gründen, wieso sich ein Kennwort als unsicher herausstellt.  

Das sollten Sie bei der Passworterstellung auf jeden Fall vermeiden:

  • Das Verwenden von Wörtern aus Wortlisten und Wörterbüchern. Bei einem sogenannten „Wortlisten Angriff“ (Dictionary Attack) werden Wörter aus Wörterbüchern durchprobiert. Passwörter, die aus einem einzelnen, lexikalisch nachschlagbaren Wort bestehen, können daher leicht gehackt werden.
  • Das Benutzen von Mustern und Phrasen. Typische Tastaturmuster, bekannte Lieder, Sprichwörter und Zitate eignen sich nicht als Kennwörter. Die Tastenkombination „qwertz“, das Zitat „venividivici“ und der Liedertext „borninamerica“ sind beispielsweise keine sichere Passwortwahl.  
  • Passwörter nach einem sprechenden Schema erstellen. Damit sind meist kurze Kennwörter gemeint, die je nach Benutzerkonto unterschiedliche Endungen haben. Ein Beispiel wäre, wenn für ein Amazon-Passwort „maxi-amazon“ und für einen Twitter-Login „maxi-twitter“ verwendet wird.
  • Die Verwendung von persönlichen Daten als Bestandteil des Passworts. Angreiferinnen und Angreifer können durch Recherche schnell den Namen der Partnerin beziehungsweise des Partners, des Kindes oder des Haustieres sowie ein Geburtsdatum herausfinden. Deshalb sollten keine personenbezogenen Informationen – egal ob Namen oder Zahlen – bei der Passworterstellung miteinbezogen werden. 

Hinweis

Da es vielen schwerfällt, sich mehrere Passwörter für unterschiedliche Benutzerkonten zu merken, empfiehlt sich die Verwendung von Programmen zur Kennwortverwaltung (Password Safes). Dabei handelt es sich um eine stark verschlüsselte Datenbank, die es ermöglicht, mithilfe eines Master-Kennworts – dieses muss zwingend ein starkes Kennwort sein – Zugangsdaten für verschiedene Konten sicher zu verwahren. 

Kennwortsicherheit: der richtige Umgang mit Kennwörtern

Aktuelle Ansätze empfehlen längere Passphrasen (zum Beispiel die Eingabe ganzer Sätze) anstelle von komplexen Kennwörtern. Auch sind Kennwortänderungen vor allem bei Verdacht auf eine Kompromittierung erforderlich. Ohne einen bestimmten Verdachtsfall empfiehlt sich eine Änderung des Kennwortes alle sechs bis zwölf Monate. Die Wahl der Login-Daten sollte zudem an das jeweilige Sicherheitsniveau angepasst werden. Denn ein Passwort ist nur dann sicher, wenn die Nutzerinnen und Nutzer sich dieses merken beziehungsweise es sicher verwahren können.  

Doppelt hält besser!

Dieses Sprichwort trifft auch bei der Kennwortsicherheit zu. Denn eine Mehrfaktoren-Authentifizierung erhöht erheblich die Sicherheit eines Anmeldevorgangs. Bei dieser Art von Authentifizierung sind mindestens zwei Faktoren für die Anmeldung erforderlich. Diese Faktoren können beispielsweise „etwas sein, das ich weiß“, also ein Kennwort oder PIN-Code oder „etwas, das ich habe“, also das Vorhandensein eines physischen Gegenstandes wie eine Keycard sowie alternativ etwa eine auf einem bestimmten Smartphone installierte App. Die dritte Möglichkeit eines Faktors ist „etwas, das ich bin“, also körperliche Merkmale des Benutzers wie der Fingerabdruck oder Gesichtszüge.
Sind bei dem Authentifizierungsvorgang mindestens zwei Faktoren erforderlich, handelt es sich um eine Mehrfach-Authentifizierung. Eine derartige Vorgehensweise ist in der Online-Banking-Branche verbreitet. Beim mTAN-Verfahren sind für die Anmeldung nämlich nicht nur die Zugangsdaten erforderlich, sondern auch ein TAN-Code, der individuell an das Mobiltelefon geschickt wird. 

Tipp

Letzte Aktualisierung: 27. August 2021

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria