Wirklich sichere Passwörter haben in der Regel den Nachteil, dass sie schwer zu merken oder schwer zu schreiben sind. Das muss aber nicht sein: mit diesem einfachen Rezept kann man die Sicherheit seiner Passwörter erhöhen, und muss sich nur ein Passwort merken.
Und damit sind nicht Passwort-Manager gemeint. Stattdessen versteht sich dieses einfache Rezept als Anleitung für diejenigen, die auch im Jahr 2020 nur ein Passwort für alle ihre Accounts verwenden. Denkt zum Beispiel an die Passwörter für eure Oma. 😉
Wohlgemerkt: Das folgende Rezept sollte nur verwendet werden, wenn man keine Lust hat, sich ein wirklich sicheres Passwort zuzulegen. Deswegen nenne ich das folgende, mit meiner Frau zusammen entwickelte Rezept…
Omas Passwort-Rezept für sicherere Passwörter
Wir beginnen einfach mal mit der Annahme, dass das Standardpasswort bisher folgendes war:
passwort
Das ist nachgewiesenermaßen ein schlechtes Passwort: Es ist ganze 8 Zeichen lang, steht direkt so in einem Wörterbuch, und ist (laut Kaspersky-Tool zum Testen der Passwortsicherheit) in 20 Sekunden1 geknackt. Aber mit wenigen Tricks und gleichem Merkaufwand kann dieses schlechte Passwort in ein deutlich sichereres Passwort umgewandelt werden.
Die Minimalanforderungen an Passwörter sind in der Regel:
- Eine Mischung aus Groß- und Kleinbuchstaben,
- dazu ein paar Ziffern,
- und ein Sonderzeichen.
Die Groß- und Kleinschreibung erledigen wird über einen großen Anfangsbuchstaben, was die Zeit zum Knacken schon auf 39 Sekunden1 anhebt:
Passwort
Da die deutsche Sprache gerne Komposita verwendet, kann man zusätzlich jedes im Passwort vorkommende Nomen einzeln mit einem Großbuchstaben versehen:
PassWort
Das hebt die Zeit zum Knacken schon auf 12 Minuten1 an – diese Regel ignorieren wir aber der Einfachheit halber, und machen mit anderen Rezeptbestandteilen weiter.
Ein paar Ziffern hat jeder von uns im Kopf. In der Regel Jahreszahlen mit vier Stellen – aber warum nicht eine deutsche Postleitzahl mit fünf Stellen, oder auch die auswendig gelernte Telefonnummer eures ersten Schwarms mit acht Stellen?
Passwort09648
Jetzt benötigen wir zum Knacken bereits 16 Tage1.
Und als Sonderzeichen fügen wir zwischen dem Buchstaben- und Ziffernteil sowie am Ende ein einfaches Sonderzeichen ein.
Passwort-09648!
Damit ist unser neues Standardpasswort zwar nicht kompliziert… aber mit 15 Zeichen ist es nun deutlich länger und widersteht Knackversuchen für circa 4 Jahrhunderte1!
Die Extra-Zutat: Unterschiedliche Passwörter für jeden Dienst
Das eigentlich wichtige an Passwörtern ist aber, dass für jeden Account ein eigenes Passwort verwendet wird. Andernfalls riskieren wir, dass beim Hack einer Passwort-Datenbank der Hacker danach Zugriff auf alle unsere Accounts hat.
Darüber hinaus besteht die Gefahr, dass der Hacker das Passwort einfach mal bei eurem E-Mail-Account ausprobiert – und dann für alle eure Accounts das Passwort über die „Passwort vergessen“-Funktion zurückgesetzt werden kann. Also benötigen wir unterschiedliche Passwörter für alle Accounts.
Auch hier greift Omas Passwort-Rezept – als Extra-Zutat erweitert man das Passwort um den Namen des Dienstes:
Passwort-09648!google
Passwort-09648!facebook
Passwort-09648!web.de
Damit wird aus unserem 15-Zeichen-Passwort ein Passwort mit über 20 Zeichen Länge, dass mehr als 10.000 Jahrhunderte1 standhält, und durch seine Länge verblüffenderweise sicherer ist als z.B. „&uG4ftL!
“ mit 12 Tagen Knackdauer1. Selbst ein so einfacher Vertreter wie „Klaus-123!google
“ hält immerhin 24 Jahrhunderte1.
Um die Tipparbeit zu reduzieren kann die Extra-Zutat auch nur durch drei Buchstaben ersetzt werden (mit Dank an Mathias für die Inspiration). Das können zum Beispiel die ersten drei Buchstaben des Dienstes sein, oder jeder zweite Buchstabe – was verblüffenderweise bei der bereits erreichten Länge die Sicherheit gar nicht so großartig reduziert1:
Passwort-09648!goo
Passwort-09648!fac
Passwort-09648!web
Die Extra-Zutat kann für Schreibfaule noch weiter verkürzt werden, indem man nur den Anfangsbuchstaben des Dienstes verwendet, was zumindest 8 Jahrhunderte hält1:
Passwort-09648!g
Passwort-09648!f
Passwort-09648!w
Ist das nicht gefährlich?
„Moment“, denkt ihr jetzt, „wenn mein Passwort in einem Account geklaut wird, kann man ja einfach erraten, wie es in einem anderen Account aussehen würde.“ Gut mitgedacht, aber gar nicht so wahrscheinlich:
Tatsächlich speichert kein ernsthafter Dienst euer Passwort, sondern eine Art „Quersumme“ eures Passworts, ein sogenanntes Hash. Euer Passwort passt genau zu diesem Hash, aber von dem Hash kann man nicht unbedingt auf das Passwort schließen. Alleine aus diesem Grund kann euch niemand euer Passwort nachträglich zuschicken. Je länger das Passwort, desto zufälliger wird das Hash, und desto schwerer ist es, auf das ursprüngliche Passwort zurückzuschließen2.
Passwort | MD5 Hash ohne Salt |
---|---|
Passwort-09648! |
b443a258958c87a19b7fe521de7a6958 |
Passwort-09648!g |
da01b07dd811a00e6576fa4d83b4eee6 |
Passwort-09648!goo |
fd39389348f433257dbde5361d33d757 |
Passwort-09648!google |
0da72493f73589b4e1c96dbff8f7d2e1 |
Passwort-09648!facebook |
c20ed3dc0acd60e05a6d668ad25758fb |
Passwort-09648!web.de |
7a3d0f5304dd9bdad469c025269ca274 |
Ergo: Falls jemand das Hash eures Passworts klaut, wird er viel Zeit brauchen, dieses Hash in euer Passwort zurückzuverwandeln, um sich danach in eurem Namen in dem Dienst anzumelden. In der Regel macht sich aber niemand die Mühe, dieses Passwort anzuschauen um dann auszuknobeln, wie das Passwort bei anderen Diensten aussehen könnte.
Nochmals im Überblick
Omas Passwort-Rezept besteht also aus den folgenden Schritten:
- Ein Wort wählen.
- Das erste Zeichen groß schreiben.
- Ein Sonderzeichen anhängen, z.B. ein „
-
“. - Eine Zahl anhängen.
- Ein Sonderzeichen anhängen, z.B. ein „
!
“. - Und daran pro Account den Namen des benutzten Dienstes anhängen.
Die ganze schöne Anleitung ändert aber nichts an der Tatsache, dass man die eigenen Passwörter geheim halten muss – und jedes Gerät sicher sein muss, auf dem man ein Passwort eintippt.
- 1) – Alle Zeitschätzungen für das Knacken von Passwörtern stammen aus dem Kaspersky-Tool zum Testen der Passwortsicherheit.
- 2) – Vereinfachte Darstellung. 😉