Passwort-Auswahl

Passwörter haben grundlegende Bedeutung beim Schutz der IT-Systeme und Daten. Die richtige Auswahl und der richtige Umgang mit Passwörtern können maßgeblich zur Sicherheit vor unbefugten Zugriffen und Manipulationen beitragen.

Passwörter müssen ausreichend komplex sein, um nicht erraten werden zu können. Andererseits dürfen sie aber nicht so kompliziert sein, dass sie vergessen werden oder schriftlich notiert werden müssen.

Einige Grundregeln sollten dabei unbedingt beachtet werden:

• Öffentlich abrufbare Informationen wie Namen, Vornamen, Geburtsdaten, Telefondurchwahlen, KFZ-Kennzeichen etc. sollten nicht verwendet werden. Sie sind leicht ausfindig zu machen und werden bei Versuchen, ein Passwort zu erraten, mit Sicherheit getestet.
• Trivialpasswörter (aaaaaa, qwertz, asdf, 123456, 08/15, 4711 etc.) sollten ebenfalls nicht verwendet werden. Abgesehen davon, dass auch solche Passwörter in Wortlisten vorkommen können, sind sie meistens schon beim Beobachten der Passworteingabe zu erkennen.
• Passwörter sollten nicht aus einzelnen oder weniger Begriffen bestehen, die in einem Wörterbuch (auch einer anderen Sprache) vorkommen, auch wenn sie mit Zahlen oder Sonderzeichen ergänzt werden. Programme, die zum Ausfindig machen von Passwörtern verwendet werden, nützen Wortlisten mit tausenden Begriffen, um Passwörter dieser Art innerhalb kürzester Zeit zu entschlüsseln. Auch Eigennamen und geografische Begriffe sollten möglichst vermieden werden. Für komplexe Zusammensetzungen vieler Begriffe, auch in Kombination mit Zahlen, Sonderzeichen oder zusätzlichen Buchstaben, können Wörterbucheinträge jedoch sehr wohl verwendet werden um sich die resultierenden Passwörter bzw. Passphrasen leichter zu merken.
• Das Passwort muss ausreichend lang für den jeweiligen Einsatzbereich sein. Für normale Anwendungsbereiche sollte es idealerweise mindestens zwölf Zeichen lang sein, für Benutzerkonten mit besonderen Rechten (Administrator, Root, Dienstkonten etc.) sollte ein längeres Passwort gewählt werden bzw. überhaupt andere oder mehrere Authentifizierungsmöglichkeiten. Bei WLAN-Passwörtern und verschlüsselten Dateien sollte das gewählte Passwort mindestens 20 Zeichen beinhalten, da diese auch offline und ohne zeitliche Einschränkungen geknackt werden können.
• Ein Passwort sollte aus verschiedenen Arten von Zeichen zusammengesetzt sein. Im Idealfall besteht es aus Großbuchstaben, Kleinbuchstaben, Ziffern und/oder Sonderzeichen (Satzzeichen, Währungssymbole etc.). Um sich ein Passwort leichter zu merken, können auch Wörter integriert werden. Diese sollten dann jedoch jeweils nur als ein Zeichen gewertet werden, damit die Gesamtlänge entsprechend länger ist.
• Passwörter sollten sich von anderen schon verwendeten Passwörtern unterscheiden und auch keine leicht zu erahnenden Elemente beinhalten (z.B. Laufnummer am Ende der Passwörter oder Name des zugehörigen Dienstes an gleichbleibendes Passwort angehängt).

Um eventuell vorhersagbare Muster oder generell eine Beeinflussung bei der Passwort-Wahl auszuschließen, eignen sich sogenannte Passwort-Manager. Das sind Programme, die Passwörter generieren und verwalten können. Durch die Generierung der einzelnen Passwörter werden sehr starke und somit schwer zu brechende Passwörter erstellt. Die verwalteten Passwörter werden wiederum verschlüsselt abgelegt und lassen sich nur durch Eingabe eines Master-Passworts oder Zwei-Faktor-Authentifizierung anzeigen. Dadurch muss man sich nicht alle einzelnen Passwörter merken. Dieses Master-Passwort sollte selbstverständlich besonders sorgsam ausgesucht werden und den oben angeführten Kriterien entsprechen, da es den Zugang zu allen anderen Passwörtern bzw. Kontodaten ermöglicht.

Auch ein noch so sicheres Passwort wird wertlos, sobald es in falsche Hände gerät. Zusätzlich zur Erstellung sicherer Passwörter ist daher auch immer auf den richtigen Umgang mit dem Passwort zu achten.