Wie geht man sinnvoll mit Passwörtern um?

Artikel von Dr. Datenschutz·26. April 2024

Ein neuer Account und schon muss wieder ein Passwort her. Dieses soll man dann gegebenenfalls alle 90 Tage ändern und sich erneuert merken. Dabei merkt man sich doch schon so viele. Und dann auch noch die ganzen Anforderungen: Klein- und Großbuchstaben, Zahlen, Sonderzeichen und eine Mindestanzahl an Zeichen, da das Passwort sonst nicht akzeptiert wird. Wie kann man damit eigentlich sinnvoll umgehen?

Der Inhalt im Überblick

Rückblick wie Passwörter auf technischer Ebene funktionieren
Passwörter: Balance zwischen Sicherheit und Anwendbarkeit
Was ist ein sicheres Passwort
- Komplexität von Passwörtern
- Merkregeln zum Erstellen von Passwörtern
Verwendung von Passwortmanagern
Umgang mit Passwörtern

Rückblick wie Passwörter auf technischer Ebene funktionieren

Wie Passwörter auf technischer Ebene funktionieren, wurde bereits in diesem Artikel beschrieben, aber ein paar Eckpunkte als Grundlagen zusammengefasst:

Passwörter sind das am verbreitete Mittel zur Authentifizierung und werden das wahrscheinlich noch länger bleiben.
Angreifende haben mehrere Möglichkeiten Passwörter zu knacken:
- Brute-Force-Angriffe: Systematisches Ausprobieren verschiedener Möglichkeiten
  - Klassisch: Alle möglichen Passwörter
  - Passwortlisten: Häufig verwendeter Passwörter
- Verwendung bekannter Passwörter
- Social Engineering: Nutzer, die ihre Passwörter weitergeben, oder Geburtsdaten von Personen oder Haustieren etc. verwenden

Passwörter: Balance zwischen Sicherheit und Anwendbarkeit

Was macht eigentlich ein gutes Passwort aus? Einige würden sagen ein sehr langes Passwort mit vielen Sonderzeichen, das sich kein Mensch mehr merken kann. Andererseits sorgt das dann schnell wieder dafür, dass Nutzer nicht sicher mit so einem Passwort umgehen und es sich beispielsweise aufschreiben, was unter anderem ein sehr viel höheres Risiko mit sich bringen kann. Also muss ein Passwort auch praktisch anwendbar sein. Denn auch das beste Passwort bringt nichts, wenn damit nicht sorgfältig umgegangen wird.

Was ist ein sicheres Passwort

Oft sieht man beim Anlegen von Passwörtern Anforderungen wie die folgenden:

Mindestens 8 Zeichen
Groß- und Kleinbuchstaben
Mindestens ein Sonderzeichen
Muss jedes Jahr geändert werden
Darf keinem vorherigen entsprechen

Einige davon sind sinnvoller als andere, allen vorangestellt der Punkt, dass Passwörter nie wiederverwendet werden sollten. Auch sollten Passwörter nie aus anderen Passwörtern ableitbar sein. Bezüglich eines festgelegten Zeitrahmens, indem Passwörter geändert werden scheiden sich die Geister, wie auch in diesem Artikel beschrieben wurde. Die ersten drei Punkte werden wir jetzt etwas näher betrachten.

Komplexität von Passwörtern

Oft wird bei der Wahl von Passwörtern eine hohe Komplexität gefordert. Dies bedeutet, dass ein möglichst großer Raum an möglichen Zeichen verwendet wird. Dies führt schnell dazu, dass Passwörter schlecht zu merken sind, insbesondere wenn viele Sonderzeichen verwendet werden. Und auch für die Sicherheit des Passwortes ist es nicht ausschlaggebend im Vergleich zu der Länge.

Insgesamt gibt es 94 verschiedene Zeichen, die mit der klassischen deutschen Tastatur eingeben werden können. Bei einer Länge von 8 Zeichen ergeben sich dabei 6 095 689 385 410 816 verschiedene Möglichkeiten, wobei durchschnittlich die Hälfte berechnet werden müssen, um ein Passwort mit einem klassischen Brute-Force-Angriff zu knacken. Wenn man jedoch nur Kleinbuchstaben verwendet, dafür aber eine Länge von 12 Zeichen, so gibt es 15-mal mehr verschiedene mögliche Passwörter, im Vergleich zu den 8 Zeichen mit 94 Möglichkeiten. Am besten ist es jedoch einen möglichst großen Komplexitätsraum zu verwenden, da so höchstmögliche Sicherheit geboten werden kann.

Jedoch sollten in jedem Fall mindestens 8 Zeichen verwendet werden, jedoch sind 16 ein besserer Richtwert für eine untere Grenze. Manchmal kann es auch der Fall sein, dass eine Maximallänge vorgegeben wird, auch wenn dies nicht zu empfehlen ist.

Merkregeln zum Erstellen von Passwörtern

Eine gute Möglichkeit Passwörter zu generieren besteht in der Zusammensetzung von verschiedenen Wörtern oder Satzteilen. Diese erzeugen schnell lange, relativ sichere Passwörter. Zu beachten ist jedoch hierbei, dass diese Passwörter nicht so sicher sind, wie Zufällige mit derselben Länge, da hier die verschiedenen Zeichen voneinander abhängen. Dieses XKCD fasst das schön zusammen.

Werden dann noch Wörter aus weniger verbreiteten Sprachen genutzt, so kann dies den Sicherheitsgrad ebenfalls noch erhöhen. Insbesondere bei Satzteilen sollten diese nicht aus Büchern genommen werden, da diese anfälliger für Wörterbuchangriffe sind.

Eine weitere Möglichkeit zur Erstellung eines sicheren Passworts ist die Verwendung eines Merksatzes, von dem bestimmte Charakteristiken übernommen werden, wie wir in diesem Blogartikel beschrieben haben. Dabei sollte für jedes Passwort dringend unterschiedliche Merksätze verwendet werden.

Verwendung von Passwortmanagern

Eine der einfachsten und sichersten Arten mit Passwörtern umzugehen, ist die Verwendung von Passwortmanagern.

Diese haben den Vorteil, dass sie nicht nur in der Lage sind, die Passwörter sicher zu speichern und an einem Gerät einfach verwendet werden zu können. Sondern auch, dass sie neue Passwörter generieren können, wobei für die Generierung meistens bestimmte Regeln festgelegt werden können. Einige Passwortmanager sind sogar in der Lage Zugangsdaten bei Bedarf automatisch auszufüllen, was ein weiterer Pluspunkt im Zuge der guten Anwendbarkeit ist. Ebenfalls ein Bonus in der Anwendbarkeit ist das Merken von Passwörtern, da ein Nutzer sich in der Regel nur ein Passwort merken muss, um auf alle seine weiteren Passwörter zugreifen zu können. Dieses Passwort sollte dafür natürlich umso sicherer gewählt sein.

Jedoch sind Passwortmanager nicht ganz ohne Makel, besonders im Rahmen der Anwendbarkeit. Wenn man viele Passwörter hat, die man an vielen verschiedenen Geräten verwenden muss und sich von dem Passwortmanager komplexe Passwörter geben lassen hat, dann ist es ein immenser Aufwand sich diese zu merken, oder auch nur zu übertragen.

Für solche Fälle eignen sich eher Passwörter, die mittels Merksätzen erstellt werden, wie in „Merkregeln“ beschreiben. Ebenso sollte ein Backup der Passwortdatenbank erstellt und regelmäßig aktualisiert werden, um einer möglichen Kompromittierung der Datei vorzubeugen

Umgang mit Passwörtern

Passwörter sollten unbedingt geheim gehalten werden. Hierbei gibt es nur sehr wenige Ausnahmen, wie temporäre Passwörter, die zum Einrichten eines Arbeitsgerätes benötigt werden, jedoch bei der ersten Verwendung von den Nutzern geändert werden oder ein gemeinsamen PIN für eine Alarmanlage, wobei auch hier im besten Fall jeder einen eigene PIN hat.

Im Regelfall müssen Passwörter nicht regelmäßig geändert werden, sondern nur bei Verdacht, dass diese kompromittiert sein könnten. Mehr Informationen dazu finden Sie in diesem Artikel. Jedoch kann es Richtlinien geben, die das regelmäßige Ändern von Passwörtern fordern, die dann auch eingehalten werden sollten.

Eine weitere Möglichkeit, die immer verwendet werden sollte, ist die Verwendung von Mehrfaktor Authentifizierung (MFA), da diese das Sicherheitsniveau erheblich erhöhen, viel stärker als Passwörter es allein können.

Ebenso sollten Passwortmanager verwendet werden, wo es möglich ist. Um möglichst sichere Passwörter zu erstellen und diese potenziell im Anschluss noch einfacherer verwenden zu können, da man sich diese nicht mehr merken braucht.

- IT-Sicherheit
  MITRE ATT&CK – Mit TTPs zu mehr SicherheitFachbeitrag·19. Juli 2024
- NIS-2 betrifft (nicht) nur Betreiber kritischer InfrastrukturenFachbeitrag·12. Juli 2024
- regreSSHion: OpenSSH doch nicht so sicher wie angenommen?Fachbeitrag·5. Juli 2024
Mehr zum Thema
- KeePass
  LastPass gehacktNews·16. Juni 2015
- Äpfel in Geiselhaft - Sabu aus Gefängnis entlassenNews·30. Mai 2014
Mehr zum Thema
- Passwort
  Und täglich grüßt das Datenleck – Heute: Cannabis ClubsNews·10. April 2024
- Wie funktionieren eigentlich Passwörter?Fachbeitrag·8. März 2024
- Single Sign-On und Multi-Faktor-AuthentifizierungFachbeitrag·15. Dezember 2023
Mehr zum Thema
- Passwort-Sicherheit
  Top 5 DSGVO-Bußgelder im September 2022News·6. Oktober 2022
- Authentifizierung: Verfahren um Zugriffe auf Daten abzusichernFachbeitrag·28. Januar 2022
- Cybercrime: § 202a Ausspähen von DatenFachbeitrag·20. Juli 2021
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.

Danke für den Artikel. Ihr macht eine tolle Arbeit und ich lese Euch immer gerne. Mir ist dennoch ein kleiner Fehler aufgefallen: Die Anzahl möglicher Passworte errechnet sich aus P=n^l (P gleich n hoch l) wobei „P“ die Anzahl der möglichen Passwörter, „n“ die Anzahl der verschiedenen Zeichen, die verwendet werden und „l“ die Länge des Passworts ist. Daraus ergibt sich für das Beispiel: bis zu 94 verschiedenen Zeichen, 8 Zeichen langes Passwort: P= 94^8 = rund 6*10^15 Kombinationen (6 mit 15 Nullen). Die Aussage, dass ein 12-stelliges Passwort nur aus Kleinbuchstaben 15x mehr Kombinationen bietet als ein 8-stelliges aus ALLEN Tastatur-Zeichen (94) stimmt wieder und überrascht mich immer wieder (26^12 / 94^8 = 15,6).

MadFish am 29. April 2024, 11:15 Uhr

Antworten
- Vielen Dank für den Hinweis, wir haben die entsprechende Stelle korrigiert.
  
  Dr. Datenschutz am 27. Juni 2024, 15:52 Uhr
  
  Antworten
Die Empfehlungen sind teilweise nicht auf dem aktuellen Stand. NIST und auch BSI haben schon vor Jahren ihre Empfehlungen aktualisiert. Ganz kurz gesagt: weniger komplex, dafür viel länger.
Die eigentliche Empfehlung ist aber FIDO2 (auch Passkey genannt).

Meister Eder am 30. April 2024, 13:46 Uhr

Antworten