Eselsbrücken Merksätze für sichere Passwörter
Um es Hackern schwer zu machen, sollte man für seine Nutzerkonten im Internet starke Passwörter wählen. Damit man nicht selber darunter leidet, sollte ein gutes Passwort leicht zu merken sein. Der Weg dazu führt über eine Eselsbrücke oder Passwortmanager.
Berlin (dpa) l Absolute Sicherheit gibt es im Internet genau so wenig wie im richtigen Leben. Im Gegenteil: Hacker werden immer raffinierter und stehlen millionenfach Datensätze. Dagegen sollte man sich mit starkem Passwort schützen. Dabei gilt: Namen und Begriffe aus dem echten Leben sind tabu. Denn "Hacker haben Werkzeuge, die vollautomatisch alle möglichen Zeichenkombinationen ausprobieren oder ganze Wörterbücher testen", warnt das Bundesamt für Sicherheit in der Informationstechnologie (BSI).
Allerdings haben viele Menschen bei der Wahl der richtigen Passwörter Schwierigkeiten. Nicht selten wird ein einziges Passwort für zehn Konten genutzt. Wie soll man sich auch mehrere Passwörter merken, die wie empfohlen mindestens acht, besser zwölf Zeichen lang sind und dazu Groß- und Kleinbuchstaben sowie Sonderzeichen enthalten?
Des Rätsels Lösung sind Merksätze, mit denen man sich eine Eselsbrücke baut, so das BSI. "Mein Passwort hat zwölf Zeichen und ist 99-prozentig sicher", wird dann zu "MPh12Z i99%s". Mit dieser Systematik lässt sich solch ein Passwort für jeden Dienst erweitern. Aus "Mein Ebay Passwort hat..." wird "MEPh...", aus "Mein Facebook Passwort hat..." wird "MFPh..." und so weiter. Ändert man Satz und Passwort jetzt noch alle drei Monate, fährt man relativ sicher.
Eine Alternative dazu sind Passwortmanager. "Sie speichern eine Vielzahl von Zugangsinformationen wie Benutzername plus Passwort verschlüsselt ab", sagt Marc Fliehe vom IT-Verband Bitkom. Der Benutzer muss sich dann nur noch ein starkes Masterpasswort merken. Die verschlüsselten Passwörter liegen entweder auf dem eigenen PC, einem USB-Stick oder im Netz bei einem Cloud-Anbieter. Dann kann man von zu Hause und bei der Arbeit darauf zugreifen.
Liegt die verschlüsselte Datei mit den Passwörtern auf einem USB-Stick, kann man den Manager nur nutzen, wenn der Stick im Computer steckt. Bei der Nutzung mehrerer Rechner muss das Programm auch auf jedem Gerät installiert sein. Um das zu umgehen, gibt es portable Passwortmanager. Hier liegt nicht nur die Passwortliste, sondern auch das Programm selbst auf dem USB-Stick. Damit sind die Passwörter theoretisch auf jedem Rechner verfügbar.
"Wenn man ganz sicher gehen will, sollte man seinen Passwortmanager nur auf Computern nutzen, denen man vertraut und die vor Schadsoftware wie Viren, Trojanern oder Keyloggern geschützt sind", schränkt Marc Fliehe ein. Keylogger sind Programme, die Tastatureingaben auslesen und weitermelden können. "Damit sind die eigenen Passwörter gefährdet, sobald man den Passwortmanager nutzt und sein Masterpasswort eingegeben hat", sagt Fliehe.
Wie überall gilt: Zusätzlicher Komfort - etwa das Speichern der Passwörter im Netz - bedeutet geringere Sicherheit. Auf den Server haben potenzielle Hacker leichteren Zugriff als auf den USB-Stick in der Hosentasche. Andererseits kann man in der Cloud abgelegte Daten auch nicht so leicht verlieren wie einen kleinen Datenstick. "Wer ganz sicher gehen will, kann sich für zentrale Dienste wie E-Mail und Online-Banking auch die Passwörter merken und nur für weitere Dienste den Passwortmanager nutzen", beschreibt Fliehe einen Kompromiss.
Passwortmanagern nicht voll vertrauen
Auch der ehemalige Datenschutzbeauftrage des Bundes, Peter Schaar, rät davon ab, Passwortmanagern voll und ganz zu vertrauen. "Er ist nur so sicher wie das Masterpasswort selbst. Wenn es gelingt, diesen Sicherheitsmechanismus zu überwinden, stehen sämtliche Passwörter offen und die Gefahr multipliziert sich", gibt er zu bedenken.
Stand der Technik wäre für solch einen sensiblen Zugang eine doppelte Authentifizierung. "Daran führt auf Dauer kein Weg vorbei. Ein Passwort beruht schließlich allein auf Wissen und kann ausspioniert werden", sagt Schaar. Zusätzlich sollte es eine Hardwarekomponente - etwa eine Chipkarte - geben, ohne die sich der Computer nicht bedienen lasse. In Netzwerken von Firmen und Behörden mit Sicherheitsrisiko sei das bereits üblich. Auch beim Onlinebanking lässt sich per Tan-Genator oder per SMS auf das Mobiltelefon mehr Sicherheit herstellen.
Auch der elektronische Personalausweis ist prinzipiell zur doppelten Authentifizierung geeignet. "Ihm gegenüber besteht allerdings ein großes Misstrauen", sagt Schaar. Die Kritik lautet, dass dann der Staat an alle Daten der Bürger herankommen könne. "Die Bedenken ließen sich ausräumen, wenn man die Verwaltung der Zugriffsmechanismen und Schlüssel einer vertrauenswürdigen Stelle überlässt."
