Zum Inhalt springen Zur Navigation springen
Wie geht man sinnvoll mit Passwörtern um?

Wie geht man sinnvoll mit Passwörtern um?

Ein neuer Account und schon muss wieder ein Passwort her. Dieses soll man dann gegebenenfalls alle 90 Tage ändern und sich erneuert merken. Dabei merkt man sich doch schon so viele. Und dann auch noch die ganzen Anforderungen: Klein- und Großbuchstaben, Zahlen, Sonderzeichen und eine Mindestanzahl an Zeichen, da das Passwort sonst nicht akzeptiert wird. Wie kann man damit eigentlich sinnvoll umgehen?

Rückblick wie Passwörter auf technischer Ebene funktionieren

Wie Passwörter auf technischer Ebene funktionieren, wurde bereits in diesem Artikel beschrieben, aber ein paar Eckpunkte als Grundlagen zusammengefasst:

  • Passwörter sind das am verbreitete Mittel zur Authentifizierung und werden das wahrscheinlich noch länger bleiben.
  • Angreifende haben mehrere Möglichkeiten Passwörter zu knacken:
    • Brute-Force-Angriffe: Systematisches Ausprobieren verschiedener Möglichkeiten
      • Klassisch: Alle möglichen Passwörter
      • Passwortlisten: Häufig verwendeter Passwörter
    • Verwendung bekannter Passwörter
    • Social Engineering: Nutzer, die ihre Passwörter weitergeben, oder Geburtsdaten von Personen oder Haustieren etc. verwenden

Passwörter: Balance zwischen Sicherheit und Anwendbarkeit

Was macht eigentlich ein gutes Passwort aus? Einige würden sagen ein sehr langes Passwort mit vielen Sonderzeichen, das sich kein Mensch mehr merken kann. Andererseits sorgt das dann schnell wieder dafür, dass Nutzer nicht sicher mit so einem Passwort umgehen und es sich beispielsweise aufschreiben, was unter anderem ein sehr viel höheres Risiko mit sich bringen kann. Also muss ein Passwort auch praktisch anwendbar sein. Denn auch das beste Passwort bringt nichts, wenn damit nicht sorgfältig umgegangen wird.

Was ist ein sicheres Passwort

Oft sieht man beim Anlegen von Passwörtern Anforderungen wie die folgenden:

  • Mindestens 8 Zeichen
  • Groß- und Kleinbuchstaben
  • Mindestens ein Sonderzeichen
  • Muss jedes Jahr geändert werden
  • Darf keinem vorherigen entsprechen

Einige davon sind sinnvoller als andere, allen vorangestellt der Punkt, dass Passwörter nie wiederverwendet werden sollten. Auch sollten Passwörter nie aus anderen Passwörtern ableitbar sein. Bezüglich eines festgelegten Zeitrahmens, indem Passwörter geändert werden scheiden sich die Geister, wie auch in diesem Artikel beschrieben wurde. Die ersten drei Punkte werden wir jetzt etwas näher betrachten.

Komplexität von Passwörtern

Oft wird bei der Wahl von Passwörtern eine hohe Komplexität gefordert. Dies bedeutet, dass ein möglichst großer Raum an möglichen Zeichen verwendet wird. Dies führt schnell dazu, dass Passwörter schlecht zu merken sind, insbesondere wenn viele Sonderzeichen verwendet werden. Und auch für die Sicherheit des Passwortes ist es nicht ausschlaggebend im Vergleich zu der Länge.

Insgesamt gibt es 94 verschiedene Zeichen, die mit der klassischen deutschen Tastatur eingeben werden können. Bei einer Länge von 8 Zeichen ergeben sich dabei 23 811 286 661 761 verschiedene Möglichkeiten, wobei durchschnittlich die Hälfte berechnet werden müssen, um ein Passwort mit einem klassischen Brute-Force-Angriff zu knacken. Wenn man jedoch nur Kleinbuchstaben verwendet, dafür aber eine Länge von 12 Zeichen, so gibt es 15-mal mehr verschiedene mögliche Passwörter, im Vergleich zu den 8 Zeichen mit 94 Möglichkeiten. Am besten ist es jedoch einen möglichst großen Komplexitätsraum zu verwenden, da so höchstmögliche Sicherheit geboten werden kann.

Jedoch sollten in jedem Fall mindestens 8 Zeichen verwendet werden, jedoch sind 16 ein besserer Richtwert für eine untere Grenze. Manchmal kann es auch der Fall sein, dass eine Maximallänge vorgegeben wird, auch wenn dies nicht zu empfehlen ist.

Merkregeln zum Erstellen von Passwörtern

Eine gute Möglichkeit Passwörter zu generieren besteht in der Zusammensetzung von verschiedenen Wörtern oder Satzteilen. Diese erzeugen schnell lange, relativ sichere Passwörter. Zu beachten ist jedoch hierbei, dass diese Passwörter nicht so sicher sind, wie Zufällige mit derselben Länge, da hier die verschiedenen Zeichen voneinander abhängen. Dieses XKCD fasst das schön zusammen.

Werden dann noch Wörter aus weniger verbreiteten Sprachen genutzt, so kann dies den Sicherheitsgrad ebenfalls noch erhöhen. Insbesondere bei Satzteilen sollten diese nicht aus Büchern genommen werden, da diese anfälliger für Wörterbuchangriffe sind.

Eine weitere Möglichkeit zur Erstellung eines sicheren Passworts ist die Verwendung eines Merksatzes, von dem bestimmte Charakteristiken übernommen werden, wie wir in diesem Blogartikel beschrieben haben. Dabei sollte für jedes Passwort dringend unterschiedliche Merksätze verwendet werden.

Verwendung von Passwortmanagern

Eine der einfachsten und sichersten Arten mit Passwörtern umzugehen, ist die Verwendung von Passwortmanagern.

Diese haben den Vorteil, dass sie nicht nur in der Lage sind, die Passwörter sicher zu speichern und an einem Gerät einfach verwendet werden zu können. Sondern auch, dass sie neue Passwörter generieren können, wobei für die Generierung meistens bestimmte Regeln festgelegt werden können. Einige Passwortmanager sind sogar in der Lage Zugangsdaten bei Bedarf automatisch auszufüllen, was ein weiterer Pluspunkt im Zuge der guten Anwendbarkeit ist. Ebenfalls ein Bonus in der Anwendbarkeit ist das Merken von Passwörtern, da ein Nutzer sich in der Regel nur ein Passwort merken muss, um auf alle seine weiteren Passwörter zugreifen zu können. Dieses Passwort sollte dafür natürlich umso sicherer gewählt sein.

Jedoch sind Passwortmanager nicht ganz ohne Makel, besonders im Rahmen der Anwendbarkeit. Wenn man viele Passwörter hat, die man an vielen verschiedenen Geräten verwenden muss und sich von dem Passwortmanager komplexe Passwörter geben lassen hat, dann ist es ein immenser Aufwand sich diese zu merken, oder auch nur zu übertragen.

Für solche Fälle eignen sich eher Passwörter, die mittels Merksätzen erstellt werden, wie in „Merkregeln“ beschreiben. Ebenso sollte ein Backup der Passwortdatenbank erstellt und regelmäßig aktualisiert werden, um einer möglichen Kompromittierung der Datei vorzubeugen

Umgang mit Passwörtern

Passwörter sollten unbedingt geheim gehalten werden. Hierbei gibt es nur sehr wenige Ausnahmen, wie temporäre Passwörter, die zum Einrichten eines Arbeitsgerätes benötigt werden, jedoch bei der ersten Verwendung von den Nutzern geändert werden oder ein gemeinsamen PIN für eine Alarmanlage, wobei auch hier im besten Fall jeder einen eigene PIN hat.

Im Regelfall müssen Passwörter nicht regelmäßig geändert werden, sondern nur bei Verdacht, dass diese kompromittiert sein könnten. Mehr Informationen dazu finden Sie in diesem Artikel. Jedoch kann es Richtlinien geben, die das regelmäßige Ändern von Passwörtern fordern, die dann auch eingehalten werden sollten.

Eine weitere Möglichkeit, die immer verwendet werden sollte, ist die Verwendung von Mehrfaktor Authentifizierung (MFA), da diese das Sicherheitsniveau erheblich erhöhen, viel stärker als Passwörter es allein können.

Ebenso sollten Passwortmanager verwendet werden, wo es möglich ist. Um möglichst sichere Passwörter zu erstellen und diese potenziell im Anschluss noch einfacherer verwenden zu können, da man sich diese nicht mehr merken braucht.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Danke für den Artikel. Ihr macht eine tolle Arbeit und ich lese Euch immer gerne. Mir ist dennoch ein kleiner Fehler aufgefallen: Die Anzahl möglicher Passworte errechnet sich aus P=n^l (P gleich n hoch l) wobei „P“ die Anzahl der möglichen Passwörter, „n“ die Anzahl der verschiedenen Zeichen, die verwendet werden und „l“ die Länge des Passworts ist. Daraus ergibt sich für das Beispiel: bis zu 94 verschiedenen Zeichen, 8 Zeichen langes Passwort: P= 94^8 = rund 6*10^15 Kombinationen (6 mit 15 Nullen). Die Aussage, dass ein 12-stelliges Passwort nur aus Kleinbuchstaben 15x mehr Kombinationen bietet als ein 8-stelliges aus ALLEN Tastatur-Zeichen (94) stimmt wieder und überrascht mich immer wieder (26^12 / 94^8 = 15,6).

  • Die Empfehlungen sind teilweise nicht auf dem aktuellen Stand. NIST und auch BSI haben schon vor Jahren ihre Empfehlungen aktualisiert. Ganz kurz gesagt: weniger komplex, dafür viel länger.
    Die eigentliche Empfehlung ist aber FIDO2 (auch Passkey genannt).

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.