Während kryptografische Algorithmen heute aufgrund der Vielzahl von möglichen Schlüsseln unknackbar sind, sind die verwendeten Passworte die Schwachstellen aktueller Verschlüsselungssysteme. Zum einen muss sich in der Regel ein Mensch das Passwort merken, zum anderen muss es eingegeben werden und kann in diesem Moment von anderen Menschen oder Programmen belauscht werden.
Es gibt verschiedene Möglichkeiten, ein Passwort in Erfahrung zu bringen:
Belauschen, ausspähen, erpressen und ergaunern sind geeignet, um unmittelbar in den Besitz eines Passworts zu gelangen. Technische Mittel können davor nur im Einzelfall schützen. Hier ist die Sorgfalt des Anwenders gefragt.
Erraten ist möglich, sobald der Angreifer den Anwender gut genug kennt und die Wahl des Passwortes ohne die notwendige Sorgfalt vorgenommen wurde. Typische Fälle sind hier die Namen von Partnern, Kindern und Haustieren oder auch Telefonnummern und Geburtstage als Passwörter.
Ausprobieren. Der deutsche Sprachschatz umfasst ca. 300.000-500.000 Worte. Der Duden kennt 120.000 Stichworte. Goethe hat ca. 80.000 Worte verwendet. Ein "normaler" Mensch verwendet maximal 10.000 Worte. Die Bildzeitung 1.500. Wird nun ein einfaches Wort als Passwort gewählt, kann es mit hoher Wahrscheinlichkeit mit wenigen hunderttausend Versuchen ermittelt werden, indem einfach alle Worte durchprobiert werden – per Computer kein Problem.
Werden vier beliebige Zeichen (Klein- und Großbuchstaben sowie Ziffern) zufällig kombiniert, ergeben sich daraus mehr als 14 Millionen Möglichkeiten. Es würde auf einem Rechner bereits 57 Tage dauern alle auszuprobieren. Allerdings kann dies mit schnelleren und mehr Rechnern beschleunigt werden. Bei 8 zufälligen Zeichen würden auf einem Rechner mehr als 2 Millionen Jahre benötigt. Dazu würde bereits erhebliche Rechnerkapazität benötigt, um dies auf eine überschaubare Zeit zu reduzieren.
Bei der Auswahl eines Passwortes sollten Sie zunächst bedenken, vor wem Sie sich schützen wollen. Wenn im Privaten Geheimnisse zu schützen sind, sind die Anforderungen an die Passwortqualität geringer als in einem Firmenumfeld, wo Daten möglicherweise vor Mitarbeitern mit IT-Kenntnissen oder Wirtschaftsspionen geschützt werden müssen. Noch deutlich höhere Anforderungen ergeben sich natürlich, wenn Behörden oder Geheimdienste am Zugriff auf Daten gehindert werden sollen.
Es gibt verschiedene Strategien; gute Passwörter zu erzeugen. Die Beste ist die Verwendung eines Passwortgenerators für die Erzeugung eines Passworts, das mindestens aus 20 Zeichen besteht, die wiederum aus mindestens 62 verschiedenen Zeichen (die Klein- und Großbuchstaben des deutschen Alphabets sowie die Ziffern von 0 bis 9) ausgewählt werden. Das Problem hierbei ist natürlich, sich dieses Passwort auch zu merken. Speichern oder Aufschreiben hilft nur begrenzt: Auch wenn ein Passwort-Manager verwendet wird, benötigt man ein sicheres Passwort, um ihn zu öffnen – das sicherste Passwort nützt nichts, wenn es auf einem Zettel neben der Tastatur liegt. Ist das aber nicht der Fall, bietet ein Passwort-Manager eine bequeme und sichere Methode, eine unbegrenzte Zahl an hochsicheren Passwörtern zu erstellen, zu verwalten und auf Wunsch sogar automatisch zu verwenden.
Ein guter Kompromiss zwischen Sicherheit und Gedächtnisleistung sind Abkürzungen für Sätze. EgKzSuGsAfS wäre zum Beispiel das Ergebnis des letzten Satzes. Es sollten ebenfalls mindestens 20 Zeichen herauskommen. Werden dazu noch einzelne Zeichen durch Ziffern oder Sonderzeichen ersetzt, z.B. ‚E’ durch "8" (Eight) oder "f" durch ? (Fragezeichen), ergibt sich ein gutes Passwort, das sich leicht herleiten lässt.
Sichere Passwörter
