Echte Sicherheit nur mit komplett zufälligen Passwörtern
Hannover (dpa/tmn) - Kryptische Codes aus Anfangsbuchstaben eines Satzes, Songzitate, Zahlen statt Buchstaben: Wer glaubt, auf diese Weise sichere Passwörter zu haben, irrt. Denn Hacker können auch das entschlüsseln.
Also wie werden Passwörter wirklich sicher?
Selbst vermeintlich sichere Passwörter können Profihacker knacken. Das gilt inzwischen unter Umständen auch für scheinbar zufällige Zeichenkombinationen, berichtet die Computerzeitschrift „c't“ (Ausgabe 3/2013). Verbirgt sich hinter dem kryptischen Code „MPisukzk“ zum Beispiel die Eselsbrücke „Mein Passwort ist sicher und kaum zu knacken“, können leistungsstarke Computer das Muster mit einer sogenannten Wörterbuchattacke entschlüsseln. Auch Bibel- oder Songzitate als Passwortbasis sind aus diesem Grund gefährlich, selbst wenn sie extrem lang sind. Buchstaben in einem Satz mit Zahlen zu ersetzen, hält Hacker ebenfalls kaum auf.
Den besten Schutz geben daher komplett zufällige Zeichenketten mit Groß- und Kleinschreibung, Zahlen und Sonderzeichen. Programme wie das kostenlose PWGen können solche Codes automatisch erstellen. Nutzer sollten sich die Zeichenkette einprägen oder auf einem sicher verwahrten Zettel notieren. Allerdings ist ein gutes Passwort trotzdem ein Sicherheitsrisiko, wenn es für mehrere Dienste verwendet wird und bei einem Hackerangriff unverschlüsselt in die Hände von Datendieben gerät.
Unterschiedliche kryptische Passwörter für mehrere Webseiten oder Dienste lassen sich mit Managerprogrammen wie KeePass verwalten. Allerdings stehen die Codes dann auf fremden Rechnern oder Geräten wie Smartphones und Tablets ohne das Programm möglicherweise nicht zur Verfügung. Stattdessen raten die „c't“-Experten daher, einen sehr sicheren Code bei jeder Anmeldung leicht zu variieren: So können zwei Zeichen des Passworts zum Beispiel jeweils durch den ersten und letzten Buchstaben im Namen des jeweiligen Dienstes ersetzt werden - „F“ und „K“ bei Facebook, „G“ und „E“ bei Google und so weiter.
Noch mehr Sicherheit gibt es mit ein paar weiteren Tricks: So sollten Internetnutzer bei Sicherheitsfragen, zum Beispiel nach dem Mädchennamen der eigenen Mutter, nie die Wahrheit sagen. So können Angreifer mit gesammelten Informationen über eine Person ein Konto nicht über die „Passwort vergessen“-Funktion knacken. Für das E-Mail-Konto sollte es außerdem eventuell einen separaten, besonders sicheren Zugangscode geben: Weil die Mailadresse meistens mit allen anderen Accounts im Internet verbunden ist, kann sie für Hacker zum Generalschlüssel werden.