Sichere Kennwörter

Sichere Kennwörter

und Tipps zur Kennwortverwaltung

In der Online-Welt begleiten uns Passwörter täglich. In Kombination mit einem Benutzernamen dienen Sie zur Authentifizierung bei einem Online-Shop, der Bank und dem E-Mail-Provider. Um zu verhindern, dass sich fremde Personen oder gar Cyber-Kriminelle in die eigenen Accounts einloggen können, sollten Kennwörter möglichst sicher sein. Wie erreicht man das?

Lesezeit: 20 Minuten.

Inhaltsverzeichnis

Wieso sind starke Kennwörter nötig?

Der Zweck eines Passworts ist, den Zugang zu einem Online-Account (Shop, Bankkonto, E-Mail, ...) nur dem Besitzer des Accounts zu gestatten. Ein starkes Passwort zeichnet sich dadurch aus, dass es schwer zu erraten oder zu ermitteln ist. Es schützt Sie vor Datenklau, Identitätsdiebstahl und finanziellem Verlust. Wenn jemand fremdes diesen Schutz überwinden kann, hat diese Person uneingeschränkt Zugriff auf alle Daten dieses Accounts.

Besonders wichtig sind sichere Kennwörter bei Accounts, die sensible Daten beinhalten, aber natürlich sollten im besten Fall alle Ihre Kennwörter sicher sein.

  • E-Mail Konten: Wenn ein Angreifer es schafft, in Ihr E-Mail Konto einzudringen, ist das ziemlich fatal. Der Angreifer hat dann viele Informationen über Sie zur Hand. Ihre E-Mail Adresse ist in den meisten Fällen Ihr Benutzername für andere Internet-Accounts. Ein Angreifer kann also bei allen möglichen Online-Diensten über die dortige "Passwort-Vergessen-Funktion" versuchen, Ihr Kennwort zurückzusetzen. So kann er dann nach und nach alle Ihre Online-Accounts übernehmen.
  • Ihr WLAN: Sollte ein Angreifer das Kennwort Ihres WLANs knacken, hat er Zugang zu Ihrem privaten Netzwerk und so potentiell Zugriff auf alle Geräte in Ihrem Heimnetzwerk.
  • Online-Shops: Um zu verhindern, dass ein Angreifer auf Ihre Kosten Bestellungen auslösen kann oder Kontodaten erbeutet, sind bei allen Accounts, in denen Zahlungsinformationen hinterlegt sind, starke Kennwörter nötig.

Was soll schon passieren, wenn ich gehacked werde?

Man sollte so ein Szenario nicht auf die leichte Schulter nehmen. Sollte ein Angreifer ihr E-Mail-Konto übernehmen und das Kennwort ändern, haben Sie ein enormes Problem! Ein Angreifer kann unterschiedliche Ziele verfolgen.

  • Finanzieller Verlust durch stehlen von Kreditkartendaten
  • Verlust des Zugangs zu Online-Diensten (E-Mail, Bank, Shops)
  • Identitätsdiebstahl. Es könnten Ihre persönlichen Daten (Name, Anschrift, Geburtsdatum, Sozialversicherungsnummer, …) für betrügerische Zwecke missbraucht werden
  • Verlust von Dateien. Einige Angreifer zielen darauf ab, Ihre persönlichen Daten zu beschädigen, zu löschen oder zu verschlüsseln und ggf. Lösegeld für die Entschlüsselung fordern

Wie kann ein Angreifer mein Kennwort überhaupt herausfinden?

Es gibt mehr oder weniger ausgefeilte Methoden, ein fremdes Kennwort zu ermitteln.

  • Brute-Force: Bei dieser Methode wird versucht, ein Kennwort mit "roher Gewalt" zu erraten. Dafür werden so lange alle möglichen Kombinationen aus Buchstaben, Ziffern und Sonderzeichen probiert, bis das richtige Kennwort gefunden wurde. Die Dauer bis zum Erfolg steigt mit jedem zusätzlichen Zeichen im Kennwort exponentiell an. Je länger ein Kennwort ist, umso unwahrscheinlicher ist es, dass es mit dieser Methode geknackt wird. Bei einem Offline-Brute-Force-Angriff hat der Angreifer bereits Zugriff auf den verschlüsselten Datensatz, der das Passwort enthält, das er entschlüsseln möchte. Dies kann beispielsweise eine gestohlene Datei mit Passworthashes sein. Bei einer Online-Brute-Force-Attacke muss sich der Angreifer mit dem Dienst verbinden, um seine Anmeldeversuche durchzuführen, was normalerweise bedeutet, dass er sich den Beschränkungen des Dienstes unterwerfen muss, wie z.B. Rate-Limitierungen oder Captchas, um zu verhindern, dass zu viele Anmeldeversuche in kurzer Zeit erfolgen.
  • Kennwörter aus einer Datenbank: Im Internet kursieren Datenbanken mit Kennwörtern, die bei früheren Cyber-Angriffen erbeutet wurden. Nachdem ein Datenleak bei einem Dienst bekannt wird, sollte man umgehend sein Kennwort dort ändern.
  • Wörterbuch-Angriff: Hier werden gängige Wörter, Wort-Kombinationen und leichte Abwandlungen ausprobiert.
  • Phishing: Diese Methoden sind schon ausgefeilter. Meistens werden bei diesem Angriff E-Mails verschickt, die vorgeben, von Ihrer Bank, einem Zahlungsdienstleister oder Online-Shop zu sein. Meistens wird man auf eine gefälschte und täuschend echt aussehende Internetseite weitergeleitet, auf der man sich anmelden soll. Gibt man auf dieser gefälschten Seite dann seinen Benutzernamen und Kennwort ein, hat man die Zugangsdaten den Angreifern preisgegeben. Der beste Schutz vor einem solchen Angriff ist eine gesunde Portion Misstrauen gegenüber E-Mails und Anrufen, in denen Sie um die Eingabe von Zugangsdaten, TANs, etc. gebeten werden. Aber es gibt auch technische Maßnahmen, wie man sich vor solchen Angriffen schützen kann.
  • Social Engineering: Kennwörter, die aus persönlichen Daten wie Namen, Geburtsdatum, Name des Haustieres etc. bestehen, werden immer noch sehr häufig verwendet. Schließlich kann man sich diese Daten am leichtesten merken. Diese Daten kennen aber nicht nur Sie selbst. Spätestens, wenn Sie solche Daten auf einem Social-Media-Kanal preisgeben, haben Angreifer etwas, womit sie arbeiten können.

Viele Menschen glauben, wenn sie ein Kennwort verfremden, indem sie beispielsweise Buchstaben durch ähnlich aussehende Ziffern oder Sonderzeichen (o zu 0, S zu $, E zu 3) austauschen, wären sie auf der sicheren Seite. Leider liegen sie falsch, denn diese Verfremdungen sind natürlich auch Cyber-Kriminellen geläufig und werden bei ihren Angriffen auch angewandt.

Tipps für ein gutes Passwort

Wir haben bisher gelernt, dass ein starkes Kennwort sich dadurch auszeichnet, dass es schwer zu erraten oder zu ermitteln ist. Es muss also komplex sein. Die Komplexität wird erreicht, indem das Kennwort aus möglichst vielen und völlig zufällig aus verschiedenen Zeichenarten besteht. Diese Tipps haben wir für Sie:

  • Die Kennwortlänge sollte mindestens 14 Zeichen betragen
  • Verwenden Sie Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen
  • Umlaute (ä, ö, ü, ß) und manche anderen Sonderzeichen können allerdings zum Problem werden, wenn Sie mal an einer nichtdeutschen Tastatur Ihr Kennwort eingeben müssen
  • Folgende Sonderzeichen sind meistens problemlos verwendbar: +-*\/!$%&()=?#@_,;.:
  • Idealerweise verwenden Sie für jeden Account ein eigenes Kennwort
  • Am wichtigsten ist, dass das Kennwort absolut zufällig gebildet wird. Am besten nutzt man einen Passwortgenerator für diesen Zweck. Ein Passwortgenerator ist beispielsweise in KeePass enthalten, auf das wir gleich noch etwas näher eingehen werden.
  • Nicht geeignet sind Namen von Familienmitgliedern, des Haustiers, des Lieblingsstars, etc.
  • Verwenden Sie keine Tastaturmuster wie "qwertz" oder "abcd1234"
  • Einem simplen Kennwort einfach eine Zahl oder Sonderzeichen am Anfang oder Ende anzuhängen ist ebenfalls nicht ratsam

Ein starkes Kennwort könnte dann z.B. so aussehen:

%7-ZmQsd*\Vcyen

Eine andere Strategie um sichere Kennwörter zu erhalten kann das sogenannte Diceware-Verfahren sein. Hierfür benötigt man einen normalen Würfel mit sechs Seiten.

Nun würfelt man fünf mal, notiert sich die Zahlenkombination und sucht in einer Diceware-Liste (hier ein Beispiel) anhand der fünfstelligen Zahlenkombination nach dem entsprechenden Wort. Dies wiederholt man, bis man ein Kennwort der gewünschten Länge erhält. Zwischen den einzelnen Wörtern kann man noch ein beliebiges Zeichen setzen.

Ein solches Kennwort könnte dann z.B. so aussehen:

ran-motorsport-klausur-siedler-farce-materie

Kleiner Exkurs: Komplexität berechnen (Entropie)

Man kann die Stärke eines Kennwortes auch berechnen. Die Entropie eines Kennworts ist ein Maß für die Stärke und wird meist in Bits angegeben. Die Entropie alleine reicht nicht aus, um die Sicherheit eines Kennworts zu bestimmen. Aber sie gibt einen guten Anhaltspunkt dafür, wie schwer es ist, das Kennwort zu erraten oder per Brute-Force berechnen zu lassen.

Die Entropie kann man mit folgender Formel berechnen:

E = log2(RL)

E steht für Entropie
R ist die Anzahl der möglichen Zeichen (Zeichenvorrat)
L ist die Länge des Kennworts

Sagen wir, unser Zeichenvorrat für unser Kennwort besteht aus 10 Ziffern (0-9), 26 Großbuchstaben, 26 Kleinbuchstaben (jeweils ohne Umlaute) und einer Auswahl von 20 Sonderzeichen. Dann haben wir 10+26+26+20 = 82 Zeichen zur Verfügung.

Um ein Kennwort aus 8 Zeichen zu bilden haben wir also RL = 828 = 82*82*82*82*82*82*82*82 = 2.044.140.858.654.976 Kombinationsmöglichkeiten.

Diese Zahl scheint schon sehr groß und nicht wirklich vorstellbar. Daher wird stattdessen der Logarithmus zur Basis 2 dieser Zahl gebildet, was in unserem Fall dann ca. 51 Bits entspricht. Denn 251 = 2*2*2*2*2.....*2 ergibt ungefähr unsere 2.044.140.858.654.976 von gerade eben. Eine Erhöhung um 1 Bit verdoppelt die Anzahl der Möglichkeiten.

Bei einem Kennwort, das aus 12 Zeichen besteht, haben wir 92.420.056.270.299.898.187.776 Möglichkeiten. Das entspricht einer Entropie von 76 Bits.

Allerdings: Nach unserer Formel hier wären die beiden Kennwörter P@ssw0rt und mP%7XOwk gleich stark. In Wahrheit ist das zweite Kennwort stärker, da es vollkommen zufällig ist. Es gibt ausgefeiltere Berechnungsmethoden für die Entropie, die beispielsweise häufige Änderungen der Zeichenart positiv bewerten.

Im Allgemeinen wird eine Entropie von mindestens 60 Bits als relativ sicher angesehen. Höhere Werte zu erzielen kann aber auch nicht schaden.

Das Dilemma - Wie soll ich mir das alles merken?

Was ein komplexes und starkes Kennwort ausmacht, wissen wir also. Entscheidend für die Sicherheit ist aber auch, dass man für jeden Online-Dienst ein individuelles Kennwort vergibt. Da drängt sich schnell die Frage auf, wie man sich denn all diese komplexen Kennwörter merken soll. Es ist doch schon schwierig genug, sich ein einziges einzuprägen. Was kann man also tun? Immer das selbe Kennwort mit leichten Abwandlungen zu verwenden, ist eine schlechte Idee.

Notieren Sie sich Ihre Kennwörter ganz einfach in einem Notizbuch, welches Sie an einem sicheren Ort zu Hause verwahren, idealerweise in einem Tresor. Ein anderer sicherer Ort ist natürlich auch gut, nur sollten sie das Notizbuch nicht in der Schublade neben dem PC liegen lassen. Sie sollten das Notizbuch besser nicht mit auf Reisen nehmen, wo es Ihnen abhandenkommen könnte. Das bedeutet aber auch, dass Sie keinen Zugriff auf Ihre Kennwörter haben, wenn Sie unterwegs sind. Sie können dann Ihre Online-Dienste unterwegs also unter Umständen nicht nutzen.

Auf alle Fälle besser, als überall das selbe schwache Kennwort zu verwenden. Der Nachteil liegt natürlich auf der Hand: Sollte jemand Unbefugtes das Notizbuch in die Hände bekommen, hat diese Person Zugang zu all Ihren Accounts.

Eine weitere Variante kann die Verwendung eines eigens ausgedachten Kennwort-Schemas sein. Hiermit kann man es schaffen, dass man für jeden Online-Dienst ein individuelles starkes Kennwort hat und sich dennoch alle Kennwörter herleiten kann. Das Geheimnis liegt darin, dass man sich nur das Schema merken muss. Beispielsweise könnte ein Schema so aussehen:

  • Die ersten vier Zeichen des Namens des Online-Dienstes, den zweiten Buchstaben groß: Instagram -> iNst
  • Die ersten vier Zeichen des Benutzernamens, den letzten Buchstaben groß: Stefan -> steF
  • Zwei kurze Zeichenfolgen, die sich nicht ändern, z.B.: -*+ und 753
  • In fester Reihenfolge zusammensetzen: 753iNst-*+steF
  • Das Kennwort für Facebook wäre dann 753fAce-*+steF und für Netflix 753nEtf-*+steF

Der Vorteil ist, dass man sich nur das Schema merken muss und man sich so jedes Kennwort herleiten kann. Es gibt aber auch einige Nachteile.

  • Die Kennwörter sind nun nicht mehr zufällig
  • Man neigt dazu, das Schema zu leicht zu machen. In unserem Beispiel kann man sich das Muster schon sehr leicht herleiten
  • Manche Online-Dienste erlauben z.B. nicht jedes Sonderzeichen oder geben eine bestimmte Passwortlänge vor. Es kann also passieren, dass manche Kennwörter vom Schema abweichen (was man sich dann natürlich auch wieder merken muss)

Kann man also machen, ist allerdings nur bedingt zu empfehlen.

Verwenden Sie eine Passwort-Datenbank wie z.B. KeePass. In dieser Datenbank können Sie alle Ihre Zugangsdaten verschlüsselt abspeichern. Sie müssen sich dann nur noch ein einziges Master-Kennwort merken, um diese Datenbank öffnen zu können. Weitere Vorteile sind:

  • Integrierter Passwortgenerator: Zufälliges Erzeugen von Kennwörtern
  • Auto-Ausfüllen: Bei entsperrter Datenbank reicht das Drücken einer Tastenkombination, um sich automatisch an der gewünschten Webseite anzumelden
  • Es gibt Apps für Windows, Linux, Mac, Android und iOs
  • Man kann auch unterwegs seine Kennwörter im Smartphone abrufen

Genauso wie das oben erwähnte Notizbuch sollte die KeePass-Datenbankdatei nicht verloren gehen (z.B. durch versehentliches Löschen oder Festplattendefekt). Es ist daher wichtig, Sicherungskopien von der Datei anzulegen.

Umgang mit Sicherheitsfragen

Manche Online-Dienste zwingen die Benutzer zur Angabe einer Sicherheitsfrage und der dazu gehörigen Antwort. Beispielsweise wird einem diese Sicherheitsfrage dann gestellt, wenn man seine Zugangsdaten zu dem Online-Dienst vergessen hat und man sein Kennwort zurücksetzen möchte. Was eigentlich einen zusätzlichen Sicherheitsaspekt darstellen soll, stellt häufig allerdings eine Schwachstelle in der Sicherheit dar. In den meisten Fällen muss man sich entscheiden zwischen "Wie war der Mädchenname Ihrer Mutter?", "Wo sind Sie geboren?" oder "In welcher Straße sind Sie aufgewachsen?". Die Antworten auf diese Fragen wissen nicht nur Sie selber und lassen sich leicht von Angreifern herausfinden. In der heutigen Zeit haben Sicherheitsfragen eigentlich ausgedient. Genauso wie Kennwörter können Sie bei einer Datenpanne gestohlen werden und sind zu leicht zu recherchieren.

Wenn Sie um die Angabe einer Sicherheitsfrage nicht herumkommen, überlegen Sie sich am besten eine Antwort, die mit der Sicherheitsfrage gar nichts zu tun hat. Beispielsweise könnten Sie auf die Frage "In welcher Straße sind Sie aufgewachsen?" mit "Gummibärchen" antworten.

Sollte man das Kennwort häufig wechseln?

Am 01. Februar ist jedes Jahr der "Ändere-dein-Passwort-Tag", an dem dazu aufgerufen wird, seine Kennwörter zu ändern. Tatsächlich ist das anlasslose häufige Ändern eines Kennworts eher ein Sicherheitsrisiko, da man dazu neigt, Muster zu verwenden, nur kleine Variationen eines vorherigen Passworts erstellt oder die Kennwörter weniger komplex werden. Wenn man bereits ein starkes Kennwort verwendet, ist eine Änderung des Kennworts nur notwendig, wenn es z.B. einen Hinweis darauf gibt, dass es in die Hände von unbefugten Dritten gelangt ist, oder falls Ihr Gerät mit Schadprogrammen infiziert wurde.

Zwei-Faktor-Authentifizierung (2FA)

Zwei-Faktor-Authentifizierungen stellen eine zusätzliche Absicherung eines Online-Accounts dar. Um sich bei einem Dienst anzumelden benötigt man nicht nur seinen Benutzernamen und Kennwort, sondern zusätzlich noch einen sogenannten zweiten Faktor. Zwei-Faktor-Systeme können auf verschiedene Arten umgesetzt sein, je nach Anbieter gibt es Unterschiede. Beispielsweise kann beim Anmeldeversuch eine SMS mit einem einmaligen Bestätigungscode an ihr Smartphone geschickt werden. Der zweite Faktor kann aber auch eine Chipkarte, TAN-Generator, USB-Token, oder ein One-Time-Password (OTP) Generator sein.

Die meisten Online-Dienste bieten mittlerweile Zwei-Faktor Authentifizierungen an. Es lohnt sich, in den Anmelde- oder Sicherheitseinstellungen des Dienstes nachzusehen.

Der Nachteil ist, dass man den Zugang zu seinem Online-Account verliert, sollte der zweite Faktor verloren oder kaputt gehen. Hier kann man allerdings vorbeugen, wenn man mehrere (verschiedene) zweite Faktoren für einen Dienst hinterlegt.

Online-Accounts, die besonders sensible persönliche Daten beinhalten, sollten Sie sicherheitshalber mit einem zweiten Faktor absichern. In Kombination mit einem starken Kennwort sind Ihre Online-Accounts dann sehr gut gesichert.

Unsere Empfehlungen

  • Verwenden Sie eine Kennwortdatenbank wie z.B. KeePass
  • Lassen Sie komplexe zufällige Kennwörter generieren (alle Zeichenarten, mind. 14 Zeichen)
  • Verwenden Sie für jeden Account ein individuelles Kennwort
  • Sichern Sie Ihre Kennwortdatenbank mehrfach!
  • Kopieren Sie die Kennwortdatenbank auf Ihr Smartphone und nutzen Sie die passende App. So haben Sie Ihre Kennwörter immer griffbereit.
  • Sichern Sie Ihre Kennwortdatenbank mit einem richtig starken Kennwort ab, das Sie sich dennoch gut merken können.
  • Verwenden Sie zum Entsperren der Kennwortdatenbank auf Ihrem Smartphone keine biometrischen Entsperrmuster wie Gesichtserkennung oder Fingerabdrücke.
  • Benutzen Sie 2-Faktor-Authentifizierung

Zufälliges Kennwort erzeugen

Wortliste nach dem Diceware-Verfahren erzeugen:

Ihr erzeugtes Kennwort:

Kennwortsicherheit überprüfen

Hier können Sie ein Kennwort eingeben, um zu Demonstrationszwecken die Entropie und Kennwortstärke ermitteln zu lassen.
Die eingegebenen Daten werden nicht zu uns übertragen. Die Überprüfung wird direkt in Ihrem Browser durchgeführt. Dennoch sollten Sie hier lieber nicht ihr richtiges Kennwort eingeben. Die Berechnung der Kennwortstärke erfolgt mit Hilfe des Algorithmus von zxcvbn.
Den Unterschied zwischen Online- und Offline-Brute-Force-Attacken können Sie hier nochmal nachlesen.

Ihr Kennwort:





Produktempfehlungen

KeePassXC
KeePassXC

KeePassXC ist eine Anwendung für Ihren PC. Es speichert Ihre Passwörter sicher und füllt sie automatisch in Ihre Anwendungen ein, so dass Sie sie ganz vergessen können. Unkompliziert, werbefrei, trackerfrei und cloudfrei. Kostenlos und Open-Source.

https://keepassxc.org/
KeePassXC
KeePassDX

KeePassDX ist ein Passwortmanager für Android, mit dem Sie Ihre Passwörter sicher verwalten können. Kompatibel zu KeePassXC, ebenso werbefrei, trackerfrei, kostenlos und Open-Source.

https://keepassdx.com/
Aegis
Aegis Authenticator

Aegis Authenticator ist eine kostenlose, sichere und quelloffene App für Android zur Verwaltung Ihrer 2-Faktor-Verifizierungs-Tokens für Ihre Online-Dienste.

https://getaegis.app/
Nitrokey
Nitrokey

Open-Source IT-Security Hardware made in Germany.

Für versiertere Anwender.

Login an Webseiten (z. B. Google, Facebook) mittels sicherer Einmalpasswörter (OTP), FIDO U2F oder gewöhnlicher statischer Passwörter, und vieles mehr.

https://www.nitrokey.com/de