So gehen sichere Passwörter!

Kanye West besucht Trump und tippt vor laufenden Kameras seinen Entsperrcode ins Handy: 000000. Aber auch wer Passwort-faul ist, kann seine Geräte gut sichern.

Unvorsichtig: Vor laufenden Kameras tippt Rapper Kanye West im Weissen Haus seine sechs Nullen ins iPhone. (Video: AFP)

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Kanye West ist überzeugt, zu vielen grosse Themen unserer Zeit eine Antwort zu haben. Der Musiker ist sich dabei ziemlich einig mit US-Präsident Donald Trump. Nun besuchte er den Präsidenten im Oval Office und tippte vor laufenden Kameras die Ziffernfolge zum Entsperren seines Handy ein – sie lautet 000000. Für eine öffentliche Person wie West ist das ein geradezu fahrlässig einfacher Passcode. Praktisch jede andere Kombination von Ziffern wäre sicherer.

Beim Handy gibt es meist nicht so viele Kombinationen, aber es lohnt sich, sich überhaupt Gedanken über alle eigenen Zugänge zu elektronischen Diensten zu machen. Man will sich gar nicht vorstellen, wie leicht Unbefugte auf Kanye Wests Laptop kommen. Denn ebenso wie Smartphone-Codes laden die Unzahl von PC- oder Webseiten-Kennwörter, die jeder hat, zur Faulheit ein. Jeder Nutzer sollte sich ein paar Gedanken mehr über seine Codes machen.

Ein Grossteil der Internetnutzer verwendet nämlich selbst für wichtige Dienste noch immer viel zu simple Kennwörter. Und wenn man bereits lange und komplexe Passwörter nutzt, ist es keine gute Idee, die Login-Daten allzu oft zu ändern. Natürlich sollten Nutzer ihre Kennwörter wechseln, wenn bekannt geworden ist, dass ein bestimmter Dienst gehackt wurde, bei dem sie angemeldet sind, und Daten in Gefahr sind. Gibt es aber keinen solchen Anlass, spricht nichts für regelmässige Wechsel.

Das gibt sogar Bill Burr zu. Er arbeitete früher beim National Institute of Standards and Technology (NIST), einer US-Behörde, die für Technologiestandards zuständig ist. Dort verfasste er Empfehlungen für sichere Passwörter, viele Menschen und Unternehmen orientierten sich daran. Darin war auch der Rat enthalten, alle 90 Tage ein neues Kennwort zu vergeben. Im Herbst des vergangenen Jahres sagte Burr: «Vieles von dem, was ich getan habe, bereue ich.» Mit seinen Tipps sei er damals «auf dem falschen Dampfer» gewesen.

Nur wenige Menschen kümmern sich um Sicherheit

Nur ein kleiner Teil der Nutzer beherzigt grundlegende Regeln der IT-Sicherheit. Seit Jahren halten sich viele Mythen über vermeintlich sichere Passwörter. Noch immer verwenden viel zu wenige Menschen Passwort-Manager und versuchen stattdessen, sich ihre Login-Daten zu merken.

Wenn Sie auch zu dieser Gruppe gehören, dann sollten Sie sich mit Ihren Kennwörtern zu beschäftigten. Die folgenden Tipps können dabei helfen. Sie beruhen unter anderem auf Empfehlungen des NIST. Die Behörde will die schlechten Ratschläge von Bill Burr vergessen machen und hat im vergangenen Jahr neue Richtlinien für die Sicherheit von Passwörtern herausgegeben. Die Vorgaben gelten für öffentliche Einrichtungen in den USA. Aber auch die Bürger können einiges daraus lernen:

Sonderzeichen bringen vergleichsweise wenig

Für Menschen wirken wahllose Kombinationen aus vielen Sonderzeichen kryptisch und damit sicher. Tatsachlich können Hacker mit sogenannten Brute-Force-Attacken solche Passwörter relativ leicht knacken. Die Software testet meist zuerst eine lange Liste gängiger Phrasen, etwa «Passwort» oder «123456». Dann folgen Begriffe aus Wörterbüchern, anschliessend probieren die Algorithmen auch Sonderzeichen aus.

Das NIST rät Seitenbetreibern, auf komplizierte Vorgaben zu verzichten. So sollen Passwörter nicht mehr einen Grossbuchstaben und zwei verschiedene Sonderzeichen enthalten müssen. Die Nutzer, so argumentiert das NIST, variierten sonst nur ihre Standard-Chiffre: Aus «Passwort» werde «Pa$$w0rt1!!» – eine Variation, die Algorithmen leicht erraten können. Besser sei, weniger Sonderzeichen zu verwenden, dafür aber unterschiedliche Phrasen als Grundlage zu verwenden.

Auf die Länge kommt es an

Entscheidender als die Komplexität ist die Länge. Selbst moderne Computer brauchen teilweise Jahre, um ein Kennwort mit 20 oder mehr Zeichen zu knacken. Zumindest, sofern Nutzer nicht gerade beliebte Phrasen wie «DuKommstNichtVorbei» verwenden. Wenn es nach den Experten des NIST geht, sollten Passwörter daher aus mindestens acht Zeichen bestehen. Diese Zahl ist das absolute Minimum, zwölf Zeichen erhöhen die Sicherheit signifikant, 16 sind noch besser.

Ausserdem sollen Anbieter Leerzeichen erlauben, damit Nutzer sich nicht nur einzelne Wörter, sondern ganze Passsätze ausdenken können. Das NIST rät, die Längenbeschränkung von Passwörtern aufzuheben oder zumindest massiv zu erhöhen. Bis zu 64 Zeichen seien sinnvoll, damit man auch längere Passsätze verwenden kann, um wichtige Accounts zu schützen.

Doppelte Passwörter verhindern

Niemand käme auf die Idee, nur einen Schlüssel für Haustür, Wohnungstür, Tresor und Fahrradschloss zu verwenden. Die analoge Vorsicht scheint im digitalen Leben ausser Kraft gesetzt zu sein: Viele Menschen nutzen dieselben Passwörter für mehrere Konten. Das ist fatal: Wenn Hacker die Zugangsdaten erbeuten, versuchen sie fast immer, sich damit auch bei anderen Seiten einzuloggen.

Die NIST-Experten empfehlen Seitenbetreibern, leichtsinnige Nutzer vor sich selbst zu schützen: Sie sollen Passwörter automatisch mit anderen Daten abgleichen, etwa mit Login-Informationen, die aus früheren Hacks oder Sicherheitslücken bekannt sind. Diese werden in Datenbanken wie Haveibeenpwned.com gesammelt, wo Nutzer übrigens auch selbst prüfen können, ob ihre E-Mail-Adresse bei Diensten registriert ist, die bereits erfolgreich von Kriminellen angegriffen wurden.

Der automatische Abgleich soll noch weitere Datenbanken umfassen, beispielsweise Einträge aus Wörterbüchern oder simple Sequenzen wie «aaaaaa», «1234abcd» oder «qwertz». Falls der Algorithmus Übereinstimmungen entdeckt, müssten Nutzer eine neue Sicherheitsphrase wählen. Das gilt auch, wenn sie Abwandlungen von Nutzernamen oder anderen Daten verwenden, die sie bei der Anmeldung angegeben haben, etwa Geburtsdaten oder Telefonnummern. Ein Beispiel: Will sich jemand mit dem Benutzernamen «Leser» anmelden, sollte das Passwort nicht «Leser1» lauten.

Keine regelmässigen Änderungen

«Ihr Passwort ist abgelaufen, bitte wählen Sie ein neues.» Angestellte kennen solche E-Mails von ihrer IT-Abteilung. Die wenigsten freuen sich über die Aufforderung zum Passwortwechsel – völlig zu Recht. Das NIST hat aus dem Fehler von Bill Burr gelernt und rät davon ab, Login-Daten alle paar Wochen zu ändern. Denn Nutzer neigen dann dazu, unsichere Chiffren zu verwenden, die sie sich leicht merken können. Eine Ausnahme gibt es: Sobald der Betreiber vermutet, dass Hacker Daten erbeutet haben, sollten alle Nutzer unverzüglich alarmiert und zum Wechseln angehalten werden.

Sicherheitsfragen bringen wenig Sicherheit

«Wie hiess Ihr erstes Haustier?», «Wie lautet der Geburtsname Ihrer Mutter?», «Was ist Ihre Lieblingsfarbe?» Einige Webseiten setzen auf solche Sicherheitsfragen. Grundsätzlich ist das keine schlechte Idee, da Kriminelle mehr Informationen über das Opfer benötigen als nur das Passwort. Allerdings lassen sich viele dieser Daten oft leicht im Netz finden.

Deshalb rät das NIST dringend davon ab, diese Methode als einzige Authentifizierung zu verlangen, um das Passwort zurückzusetzen. Angreifer könnten die Antwort der Sicherheitsfrage erraten oder sie aus öffentlichen Informationen zusammensuchen, etwa aus Profilen in sozialen Netzwerken. Gelingt ihnen das, können sie ein neues Passwort vergeben und erhalten Zugriff auf den gesamten Account.

Für Nutzer bedeutet das im Umkehrschluss: Wenn Sie die Wahl zwischen mehreren Sicherheitsfragen haben, dann nehmen Sie nicht gerade die Frage nach Ihrem Lieblingstier oder der Marke Ihres Autos, wenn Sie gleichzeitig Katzenbilder und Fotos von Ihrem Sommerurlaub mit VW-Bus auf Facebook posten. Eine andere Möglichkeit: Niemand zwingt Sie, die Sicherheitsfragen ehrlich zu beantworten. Wenn Sie als Geburtsnamen Ihrer Mutter Ihre Lieblingsfarbe angeben, macht es das Angreifern deutlich schwerer. Passen Sie nur auf, dass Sie sich nicht selbst verwirren.

Nutzen Sie Passwort-Manager

Ihr Gedächtnis ist der schlechteste Platz für Passwörter. Stift und Papier sind nur geringfügig besser – wer den Zettel verliert oder nicht dabei hat, sperrt sich aus. Stattdessen sollten Sie Ihre Login-Daten einem Passwort-Manager anvertrauen. Sie verwalten alle Anmeldeinformationen und synchronisieren diese über mehrere Geräte hinweg. Nutzer müssen dann nur ein zentrales Masterkennwort im Gedächtnis behalten, um Zugriff auf alle Logins zu erhalten. Ausserdem können die meisten Passwort-Manager Zufalls-Kennwörter generieren, die sicherer sind als selbst ausgedachte Phrasen.

Zwar können auch diese Dienste gehackt werden, doch die meisten Anbieter verschlüsseln die Daten der Nutzer mit sicheren kryptografischen Verfahren. Digitale Angreifer erhalten dann nur wirre Zeichenketten, mit denen sie wenig anfangen können. Im vergangenen Jahr hat die Stiftung Warentest neun Passwort-Manager getestet und vier davon als «empfehlenswert» eingestuft.

Zwei Faktor-Authentifizierung für wichtige Konten

Für Konten mit wichtigen und sensiblen Daten, etwa Facebook, Amazon oder Ihren E-Mail-Account, sind einzigartige und wirklich sichere Passwörter Pflicht. Sie können den Schutz aber noch deutlich verbessern, wenn Sie auf die sogenannte Zwei Faktor-Authentifizierung (2FA) setzen.

Dann ist für die Anmeldung zusätzlich zum Kennwort eine weitere Eingabe nötig. Meist ist das ein Code, den Sie auf Ihrem Smartphone empfangen. Das bedeutet: Hacker benötigen nicht nur Ihr Passwort, sondern physischen Zugriff auf Ihr Handy, wenn Sie Ihr Konto übernehmen wollen.

Hier erfahren Sie, welche Dienste 2FA anbieten, wie Sie die Option aktivieren und was es dabei sonst noch zu beachten gibt.

Ein öffentliches Liebesgeständnis und ein Monolog über Schusswaffengewalt und das Universum: Rapper Kanye West überraschte selbst Donald Trump. Video: AFP (Tages-Anzeiger)

Erstellt: 12.10.2018, 13:37 Uhr

Artikel zum Thema

Wie schütze ich mein Online-Bankkonto?

Video Mit Phishing Mails und Viren machen Täter Jagd auf Passwörter. Wie verhindere ich, dass ich in eine Internetfalle tappe? Mehr...

Artikel zum Thema

Kanye West heisst jetzt Ye und wird ausgebuht

Sein offizieller Auftritt war bereits skurril, doch die Pro-Trump-Rede des Rappers empörte das «Saturday Night Live»-Publikum erst richtig. Mehr...

Kanye West erklärt Donald Trump seine Liebe

Porträt Die Wut auf den US-Präsidenten eint die Hip-Hop-Szene. Nur einer stört die Harmonie. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Newsletter

Der ideale Start in den Tag

Sonntags bis freitags ab 7 Uhr die besten Beiträge aus der Redaktion.
Newsletter «Der Morgen» jetzt abonnieren.

Kommentare

Service

Ihre Kulturkarte

Abonnieren Sie den Carte Blanche-Newsletter und verpassen Sie kein Angebot.

Die Welt in Bildern

Vatikan: Bischöfe während der Heiligsprechung des Papstes Paul VI und des 1980 ermordeten Erzbischofs Oscar Romero aus San Salvador.(14. Oktober 2018)
(Bild: Alessandro Bianch) Mehr...