Sicheres Passwort ist kein echtes Wort

Passwort sicher wählenDie Sicherheit eines Passworts bemisst sich danach, wie schwer es für einen Angreifer ist, das korrekte Passwort zu erraten. Dabei ist zu beachten, dass dieses „Erraten“ eines Passworts nicht dadurch geschieht, dass der Angreifer sich vor einen Rechner setzt und nacheinander einige Passwörter ausprobiert. Wenn es so einfach wäre, wäre das Problem gelöst, indem man als Passwort einfach irgendeinen alltäglichen Begriff wie „Marmelade“ oder etwas Vergleichbares wählt, das keinen direkten Bezug zur betreffenden Person aufweist. So unzureichend dieses Vorgehen auch ist: Der Vorname des Ehepartners, der Name des Hundes und ähnliches sind als Passwörter noch schlechter geeignet. Solche Passwörter wird ein Angreifer sogar ohne Rechnerunterstützung erraten.

Wie werden Passwörter gehackt?

Der einfachste Angriff besteht darin, ein komplettes Wörterbuch maschinell ausprobieren zu lassen. Damit ist die erste Regel offensichtlich: Jedes wirklich existierende Wort ist ein schlechtes Passwort. Ausprobiert werden dabei auch immer solche Passwörter, bei denen an das Wort ein Zeichen angehängt wird. „Marmelade3“ oder „Marmelade$“ sind als Passwort nicht besser als „Marmelade“!

Wie wähle ich ein sicheres Passwort?

Also sollten Passwörter gewählt werden, die aus einer zufälligen Folge von Zeichen bestehen, beispielsweise „o9t7?44y“. Es besteht auch die Möglichkeit sich ein solches Passwort mittels eines Passwort Generators erstellen zu lassen. Im Internet findet sich ein großes Angebot solcher Passwort Generatoren. Wer besorgt ist, sich ein solches Passwort nicht merken zu können, kann beispielsweise aus einer Zeile eines Gedichtes jeden fünften Buchstaben nehmen. Auch das ergibt ein recht gutes Passwort.

Warum ist das Verschlüsseln von Passwörtern sinnvoll?

Darüber hinaus sollten Passwörter verschlüsselt werden. Je länger der Schlüssel (128 Bit sollten es minimal schon sein), desto besser. Der Hintergrund ist dieser: Passwörter werden in der verschlüsselten Form abgelegt. Die Überprüfung, ob der Benutzer das korrekte Passwort eingegeben hat, erfolgt anhand des Vergleichs des verschlüsselten Passworts mit der verschlüsselten Passworteingabe des Benutzers. Wer also einen oben beschriebenen Wörterbuchangriff durchführt, muss jedes dieser geratenen Passwörter zunächst verschlüsseln, was zu eine erheblichen zeitlichen Mehraufwand führt.