Quelle: XKCD Comic "Password Strength"

Der obige Comic von XKCD verdeutlicht das Dilemma von Passwörtern. Ein Passwort sollte

1. für den Menschen einfach zu merken

2. für den Computer schwer zu erraten

sein. Wie ein gutes Passwort auszusehen hat, ist durchaus strittig und nicht eindeutig zu beantworten. So gibt es zwei vorherrschende Meinungen und Empfehlungen zu sicheren Passwörtern. Demnach erfüllt ein sicheres Passwort mindestens eines der beiden folgenden Kriterien:

- möglichst komplex: es sollte aus Zeichen aus einem sehr großem Zeichensatz bestehen (bspw "nmEnL7m-d:[a")
- möglichst lang: der Zeichensatz spielt hier kaum eine Rolle, Hauptsache das Passwort ist sehr lang (bspw "correcthorsebatterystaple")

Wichtiger als die eigentliche Zusammensetzung des Passwortes ist allerdings, dass es wirklich zufällig gewählt ist, und vor allem nur ein einziges mal verwendet wird. Computer sind sehr gut darin, Muster zu erkennen. Ein Passwort, das einfachen Mustern folgt (wie bspw. "Tr0ub4dor&3" im Comic oben) oder das persönliche Eigenschaften oder Vorlieben spiegelt (bspw. "IchfahregerneFahrrad"), kann von einem Computer sehr einfach erraten werden. Wird das Passwort zudem noch bei mehreren Diensten gleichzeitig verwendet, so finden Computer auch das sehr schnell heraus, und der entstandene Schaden ist riesig.

So ist  beim Umgang mit Passwörtern vor allem folgendes zu beachten:

  • Passwörter sollen zufällig gewählt sein.
  • Passwörter sollten bei Verdacht der Kenntnisnahme Dritter geändert werden. 
  • Passwörter dürfen nicht doppelt benutzt werden. Für jeden Dienst muss ein einzigartiges Passwort gewählt werden.
  • Passwörter sind privat und geheim. Sie dürfen niemals mit anderen geteilt werden.


Im folgenden finden Sie weitere Informationen über die Gestaltung und den Umgang mit Passwörtern.


BSI Passwort Empfehlung

NIST password guideline

Sicheres Passwort: Empfehlung des BSI

Tipps des BSI für Bürger zu Passwörtern

  • Eine ausreichende Anzahl an Zeichen. Mindestens 8, empfohlen sind jedoch 12.
  • Der Zeichenvorrat sollte ausreichend benutzt werden. Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. 
  • Auf Zahlen am Ende des Passworts sollte verzichtet werden.
  • Keine Wörter aus Wörterbüchern, Namen von Freunden/Familien oder Stars, deren Geburtsdatum sollten verwendet werden. Simple Zeichenersetzungen (bspw. "1" für "i", "3" für "e" etc.) in Wörtern reichen nicht.
  • Keine Tastaturmuster verwenden ("qwertz", "asdf", "yaqxsw", usw).

Beispiele für gute Passwörter:

  •  <Uxe;1m64{;k
  •  r-i5o?-+>Y~-
  •  0Add*E%>'bcG

Beispiele für schlechte Passwörter:

  •  Pa$$w0rt:01/18 Wort aus dem Wörterbuch mit einfachen Ersetzungen, Nummerierung und Jahreszahl.
  •  Hund3hü77e#1 Wort aus dem Wörterbuch mit einfachen Ersetzungen und Nummerierung.

Sicheres Passwort: Empfehlung des NIST

Das amerikanische National Institute of Science and Technology (NIST) stellt die Nutzbarkeit in den Vordergrund. So setzt das NIST auf lange Passsätze, statt kurze und komplexe Passwörter.

  •  mehrere aneinandergereihte Wörter
  •  keine bekannten oder leicht zu erratenden Sätze

Beispiele für gute Passsätze:

  •  distel ist landen kammer nutzen
  •  intakt harz kleber salbte pferd

Beispiele für schlechte Passsätze:

  •  mein auto ist grau
  •  ich habe einen hund namens bello

Passwörter generieren und prüfen

Ein gutes und vor allem zufälliges Passwort selbst zu erstellen fällt vielen schwer.  Ein Computer erstellt in der Regel bessere Passwörter. Dabei sind Passwort-Generatoren eine nützliche Hilfe.  Sie können auch in großen Mengen pseudo-zufällige Passwörter automatisch in kurzer Zeit generieren.

Verwendet man Generatoren, so ist darauf zu achten, dass der Generator selbst vertrauenswürdig ist. Achten Sie vor allem bei online Generatoren darauf, dass die Seite keine Werbung enthält, keine Inhalte von Dritten (Google API, Google Analytics) nachläd, keine social media buttons enthält (Facebook like etc), und  TSL verschlüsselt ist (achten Sie auf das grüne Schloss neben der Adresse). 

Bei Smartphone Apps achten Sie bitte unbedingt auf die Berechtingungen. Eine Passwort App, die Werbung einblendet und Internetzugang benötigt ist unter keinen Umständen vertrauenswürdig.

Auch viele Passwort-Manager bringen Generatoren mit. So können Passwörter einfach generiert und verwaltet werden (siehe Passwörter merken und verwalten).

BSI konforme Passwörter

Lokaler Anwendungen:

Online Generatoren:

NIST Passsätze

NIST konforme Passsätze können einfach durch Würfeln mit Wortlisten erstellt werden. Dieses Verfahren nennt man Diceware.

Auch dafür gibt es online Generatoren

Passwortqualität prüfen

Wie gut ein Passwort ist lässt sich tatsächlich nur schwer prüfen. Stichwort ist hier die Entropie eines Passworts, in diesem Kontext ein Maß dafür, wie viele Versuche man benötigt, um ein Passwort zu erraten. Dies basiert lediglich auf mathematischen Eigenschaften und ignoriert meist Muster in Passwörtern sowie Wissen über den Anwender. Professionelle Angreifer machen sich aber genau solche Dinge zu Nutzen. Leider können wir keine Online Passwortmeter/-checker empfehlen. Alle von uns geprüften haben Mängel bezüglich Privatsphäre und sollten daher nicht verwendet werden.

Sie sollten ihr Passwort unbedingt gegen eine Liste der häufigsten Passwörter prüfen. Findet sich ihr Passwort auf solch einer Liste, ist es schneller geknackt, als Sie es eingeben können.

Die 10.000 häufigsten Passwörter

Passwörter merken und verwalten

Für den normalen Nutzer ist es schwer sich alle Passwörter zu merken. Ebenso wirken hohe Anforderungen auf die viele Nutzer lästig. Passwörter sollte man daher irgendwo sichern bzw. verwalten.

Das Abspeichern im Klartext auf dem Computer oder das Aufschreiben auf Notizzetteln ist selbstverständlich keine geeignete Lösung. Passwörter müssen stets verschlüsselt und vor Zugriff Fremder sicher gespeichert werden.

Die Verwendung sogenannter Passwortsafes/-manager, in denen die Zugangsdaten verschlüsselt abgelegt werden, kann bei geeigneter Wahl und sachgerechtem Umgang eine wesentliche Erleichterung darstellen. 

Passwortmanager gibt es in vielen verschiedenen Ausführungen und unterscheiden sich oft signifikant im Funktionsumfang. Betriebssysteme bringen oft einen Passwortmanager mit (Mac Schlüsselbund, Ubuntu Seahorse) und auch die gängigen Browser haben einen integrierten Passwortmanager ("Wollen Sie sich dieses Passwort merken?").

Funktional können manche Passwortmanager Passwörter

  • direkt in Formularfeldern des Browsers eintragen zu lassen,
  • zwischen Geräten zu synchronisieren,
  • nach definierbaren Qualitätsmerkmalen generieren
  • ein Ablaufdatum setzen, sodass der Bedarf nach einer Änderung optisch angezeigt wird.

Wenn ein Tool zur Speicherung von Passwörtern genutzt werden soll, sind die im Folgenden beschriebenen Anforderungen zu beachten:

  • Es darf nicht möglich sein, sich ohne Eingabe eines Master-Passwortes anmelden zu können, bspw. sollte das Master-Passwort nicht "gemerkt" werden.
  • Nach einem vorgegebenen Inaktivitäts-Zeitraum sollte der angemeldeten Nutzer automatisch abgemeldet werden.
  • Für die Verschlüsselung muss ein geeignetes Verschlüsselungsverfahren mit ausreichender Schlüssellänge zum Einsatz kommen.
  • Da der Zugriff auf den Passwort-Safe selbst sehr gut abgesichert sein muss, sollte der Zugang mit Zwei-Faktor-Authentifizierung möglich sein.
  • Das Produkt sollte vertrauenswürdig sein. Idealerweise ist der Quellcode frei verfügbar, damit er von unabhängigen Experten untersucht werden kann. Sicherheitsrelevante Zertifizierungen sind empfehlenswert. Insbesondere webbasierte Dienste zur Passwort-Verwaltung sollten nur dann benutzt werden, wenn die Zuverlässigkeit des Dienstleisters in einem angemessenen Verhältnis zum Schutzbedarf der damit verwalteten Passwörter steht. 
  • Passwortmanager dürfen nur auf vertrauenswürdigen IT-Systemen genutzt werden.
  • Die Autofill-Funktion muss deaktiviert sein, da Skripte auf Websites die gespeicherten Zugangsdaten aus den Passwortmanager über versteckte Formularfelder einfach extrahieren und an entfernte Server schicken können, vgl. [1].

[1] heise-Artikel "Tracking-Skripte klauen E-Mail-Adressen aus Web-Browsern" (01/2018), online abrufbar unter: www.heise.de/security/meldung/Tracking-Skripte-klauen-E-Mail-Adressen-aus-Web-Browsern-3931772.html

Richtig Authentifizieren

Wie richtig anmelden

Lassen Sie sich bei der Eingabe von Passwörtern nicht über die Schulter schauen. Achten Sie auf Ihre Umgebung.

Prüfen Sie ihren Rechner regelmäßig auf Schadsoftware. Haben Sie den Verdacht, Ihr Computer könnte manipuliert worden sein, prüfen Sie, ob evtl. sog. Keylogger angebracht wurden. Dies sind kleine Geräte, die meist zwischen Tastatur und Computer oder in einem USB Port angebracht werden, und Tastatureingaben mitschneiden.

Wo richtig anmelden

Sie sollten Ihre Zugangsdaten nur an vertrauenwürdigen Geräten eingeben, niemals an öffentlichen, nicht kontrollierbaren Systemen, wie in Internet-Cafés oder Hotel-Lobbys.

Damit Authentifizierungsinformationen bei der Eingabe oder der Übermittlung an das Zielsystem nicht abgelauscht werden können, muss auf eine sichere Übertragung geachtet werden.

Insbesondere öffentliche WLAN-Netze bergen das Risiko, dass Angreifer den Netzwerkverkehr belauschen. Angreifer könnten auch selbst erstellte WLAN-Netze verwenden, um Benutzer fehlzuleiten und deren Daten mitzuschneiden und zu manipulieren ( Man-in-the-middle-Angriff). Geben Sie Ihre Benutzerdaten daher nur in vertrauenswürdigen Netzwerkumgebungen ein.

Bei Webdiensten muss der Login stehts verschlüsselt sein. Man erkennt dies an einem geschlossenen Schloß sowie dem Präfix "https://" in der Adress-Zeile des Browsers. Achten Sie bei der Eingabe der Adresse auch auf Schreibfehler. Angreifer verwenden oft Adressen mit typischen Schreibfehlern, um Nutzer auszuspionieren (bspw. yuotube.com).

Sitzung beenden

Die besten Passwörter nützen nichts, wenn Computer unachtsam verlassen und laufende Sitzungen ungeschützt offen bleiben.

Beenden Sie nach getaner Arbeit Ihre Sitzung (logout). Wenn Sie ihren Rechner / Arbeitsplatz verlassen, sperren Sie ihn, auch, wenn es sich nur um eine kurze Abwesenheit handelt. Die Sperre sollte so eingestellt sein, dass ein Entsperren die Eingabe des Passwortes erfordert.

Manche Webseiten arbeiten mit Sitzungs-Cookies, die eine bestimmte Laufzeit haben, in der man angemeldet bleibt. Können Sie sich auf einer Webseite nicht ausloggen, so müssen Sie den Browser komplett schließen, um die Sitzung zu beenden und sich effektiv auszuloggen.

Hilfe ich wurde gehackt!

Wenn Sie das Gefühl haben, sie wurden "gehackt", weil beispielsweise von Ihrem Konto unbekannte Mails geschrieben wurden, oder wenn jemand ihr Passwort in Erfahrung bekommen hat, dann sollten Sie in jedem Fall ihr Passwort wechseln.

Online Dienste sind permanenten Angriffen ausgesetzt und immer wieder kommt es vor, dass dort sensible Informationen wie Namen und Passwörter von Nutzerkonten ergaunert werden. Solche Listen werden dann im Darknet zum Kauf angeboten. Sie können prüfen, ob sie auf solch einer Liste stehen.

https://haveibeenpwned.com/

Falls sie wirklich auf einer der Listen stehen, sollten Sie umgehend ihre Passwörter bei den aufgeführten Diensten wechseln. Sie sollten dieses Passwort niemals mehr bei irgendeinem Dienst verwenden.

Bei Fragen oder Problemen, zögern sie nicht und wenden Sie sich an das IT Sicherheitsmanagement-Team (siehe Kontakt).

Weitere Informationen