Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Ein Passwort soll den Zugriff Unbefugter auf vertrauliche Inhalte oder Dienste verhindern. Da ein Angreifer unter bestimmten Bedingungen viele Passwort-Varianten durchprobieren kann, sollte das Passwort möglichst lang und komplex sein. Doch was ist in diesem Kontext "komplex"?

Passwort-Komplexität meint zunächst einmal eine Summe aus möglichen Zeichen und deren Anzahl. Idealerweise besteht ein Passwort also aus möglichst vielen Zeichen aus möglichst vielen verschiedenen Zeichensätzen: Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.

Aber ein gutes Passwort muss nicht zwingend aussehen wie uDH9!mpZlqFI6Tq$@uy9.

Die einfachste Lösung stellen einfache Sätze dar, grammatikalisch korrekt mit Interpunktionszeichen:

Die Zeichenfolge "Ich kaufe 3-4 Bananen!" enthält verschiedene Zeichensätze, ist mit 22 Zeichen außerordentlich lang und lässt sich trotzdem leicht merken. Auch tippen kann man solche Passwort-Monster weitaus leichter als kurze, aber kryptische Varianten. Zudem lassen sich solche Sätze inhaltlich an Programm oder Onlinedienst anpassen, so dass das Merken verschiedener Passworte einfach wird:

• Online-Banking: Mindestens 10% Rendite, wenn's geht!
• eBay: Super gelaufen! Gerne wieder :-)
• Festplatten-Verschlüsselung: Das muss ich zum Glück nur 1x eingeben.

Variationen lassen sich beliebig erfinden, zum Beispiel immer nach dem ersten Wort ein Dollarzeichen, Unterstriche anstelle von Leerzeichen oder ähnliches. 

Solche Variationen sind vor allem deshalb sinnvoll, weil es bereits Ansätze gibt, solche Pass-Sätze aufgrund ihrer grammatikalischen Struktur zu knacken. Mit bewussten Schreibfehlern oder Sprachspielen kann man solchen Ansätzen jedoch leicht ein Schnippchen schlagen.

Schreiben Sie Passworte auf!

Ein gutes Passwort ist merkbar. Aber ein gutes Passwort ist auch einzigartig. Und so kommen schnell viele verschiedene Pasworte zusammen, deren schiere Masse das Merken schwierig macht. 

Das Aufschreiben von Passworten bewahrt vor umständlichen Rücksetztprozeduren oder sogar vor Datenverlust. Natürlich sollte die Passwort-Notiz sicher verwahrt sein - der Post-It-Zettel unter der Tastatur oder eine Textdatei auf dem Desktop ist keine gute Idee. Der Ort, an dem sonstige Wertsachen lagern, ist für Passwort-Zettel gerade richtig.

Das Notieren von Passworten bewahrt vor allem vor der fatalen Idee, doch lieber simple oder gar immer dieselben Passworte zu verwenden, damit man sie sich wenigstens merken kann. Auch Passwort-Manager stellen einen guten Weg aus dem Passwort-Dilemma dar: Hierbei werden die Passworte in einer verschlüsselten Datei gespeichert, die sich nach der Eingabe eines (guten!) Passwortes öffnet und Passworte freigibt. Solche Passwortdateien lassen sich auf einem Datenträger (z.B. USB-Stick) auch mit auf Reisen nehmen. Weiterführende Informationen finden Sie im Wikipedia-Artikel "Kennwortverwaltung"_[Extern].

Zwei Faktoren, wenn's geht.

Ein Risiko beim Einsatz von Passworten bleibt - unabhängig von deren Qualität: Wird das Passwort ausgespäht, ist der Schutz dahin. Das kann der neugierige Kollege sein, der einem beim Eintippen des Webmail-Passworts über die Schulter schaut oder die Späh-Software, die auf dem Computer in der Hotel-Lobby lauscht. Deshalb sollte - wann immer ein Dienst dies anbietet - die sog. Zwei-Faktor-Auithentifizierung aktiviert werden.

Bei der Anmeldung durch Nutzername und Passwort spricht man vom Faktor Wissen. Wer dieses Wissen hat, kann sich anmelden oder die damit geschützten Daten entschlüsseln. Die eigene Haustür kann hingegen nur öffnen, wer im Besitz des Hausschlüssels ist, also ein Stück Hardware in der Hand hält. Um dieses Modell des Besitzes auf die Computerwelt zu übertragen, gibt es verschiedene Ansätze. Allen gemein ist, dass sie eine Hardware nutzen, bei der Anmeldung zusätzlich zum Passwort herangezogen wird. Auch beim Online-Banking kommen solche Verfahren zum Einsatz, etwa als TAN-Generatoren.

• SMS-Authentisierung
  Dabei wird während der Anmeldung eine SMS mit einem Code an eine zuvor hinterlegte Nummer gesendet. Nur wer im Besitz der SIM-Karte ist, zu der diese Nummer gehört, kann den Code empfangen und die Anmeldung abschließen. 
• Zeitbasierte Codes
  Hierfür kommt zumeist eine Smartphone-App zum Einsatz. Diese wird mit einem individuellen Code gefüttert, den der zu schützende Online-Dienst oder die zu sichernde Applikation erzeugt haben. Aus diesem Code und der aktuellen Uhrzeit berechnet die Smartphone-App dann einen einmal-Code, der nur für wenige Sekunden gültig ist. Wer also nicht im Besitz des Smartphones ist, kann mit ausgespähten Codes nichts anfangen, weil sie kurz nach der Anmeldung schon wieder ungültig sind.
• Grafische Challenge-Response-Systeme
  Ähnlich wie bei den zeitbasierten Codes kommt hier eine Smartphone-App zum Einsatz, die zuvor mit einem individuellen Code ausgestattet wurde. Mit dieser App lassen sich dann spezielle QR-Codes scannen, die eine Webseite während des Anmelde- oder Bestellprozesses anzeigt. Aus der gescannten Grafik kann die App dann eine Antwort in Form einer Handvoll Ziffern berechnen. Diese Antwort tippt der Nutzer dann auf der Webseite zusätzlich zu seinem Passwort ein.
• USB-Tokens
  Kleine USB-Sticks, die auf verschiedene Weise dem Computer Einmal-Codes übermitteln können. Zum Einsatz an Smartphones gibt es diese Geräte auch mit Bluetooth- oder NFC-Funkschnittstelle.

Anbieter wie Google, Apple und Microsoft bieten die Sicherung der Nutzerkonten mittels eines zweiten Faktors an. Auch Online-Dienste wie Amazon oder PayPal setzen darauf. Wann immer ein Anbieter seinen Nutzern die zwei-Faktor-Authentifizierung anbietet, sollten Sie die Aktivierung dieser Funktion in Betracht ziehen - für eine deutlich erhöhte Sicherheit und die beruhigende Gewissheit, dass ein Verlust des Passwortes künftig nicht mehr zwingend den Verlust des Online-Kontos zur Folge hat.