Passwörter – Auf die Länge kommt es an

#entwicklung #sicherheit
Veröffentlicht am 20. November 2023

Passwörter gehen dir auf den Keks? Uns auch! Wir haben hunderte davon. Leider wird es noch ein paar Jahre dauern, bis das Anmeldeverfahren mit geheimen Zeichenkombinationen von benutzerfreundlicheren Varianten abgelöst wird.

Wenn du dich bei einem Online Dienst anmeldest, muss das System sicherstellen, dass auch wirklich DU die Person bist, die gerade versucht sich anzumelden. Dies kann zum Beispiel über folgende Faktoren sichergestellt werden:

  • Nur du weisst es:
    z.B. ein Passwort oder eine bestimmte Abfolge von Mausbewegungen
  • Nur du besitzt es:
    z.B. ein Smartphone mit einer Authenticator-App oder ein Mitarbeiter-Badge
  • Ein einzigartiges Merkmal:
    z.B. ein Fingerabdruck, ein Gesichts-Abbild oder ein Iris-Muster

Für besonders sensible Dienste, wie zum Beispiel für das E-Banking, werden typischerweise zwei unabhängige Faktoren verwendet, um die Anmeldung durch eine betrügerische Drittperson selbst dann noch zu verhindern, wenn einer der beiden Faktoren (z.B. das Passwort) in die falschen Hände gerät oder erraten wird.

Wer will schon meine E-Mails lesen!?

Auf den ersten Blick mag es nicht ersichtlich sein, weshalb du deine Accounts bombensicher abriegeln solltest. Lass uns ein potenzielles Szenario durchspielen: nehmen wir an dein E-Mail Account gerät in falsche Hände. Und jetzt?

  1. Erster Schritt: die Angreifer ändern das Passwort, um dich auszusperren.
  2. Dein Mail-Konto enthält wahrscheinlich zahlreiche Willkommens-Nachrichten von Online-Diensten, die du nutzt. Die freundlichen E-Mails à la «Danke für deine Registrierung bei X» dienen nun als Wegweiser zur nächsten Beute. Über die «Passwort vergessen»-Funktion können sich die Angreifer einen Reset-Link per E-Mail senden lassen und so Konto für Konto übernehmen.
  3. Inzwischen besitzen die Angreifer Zugriff auf deine E-Mails und viele weitere Daten, was ihnen einen umfassenden Einblick in dein Leben gibt. Die meisten cyberkriminellen Gruppierungen sind primär an Geld interessiert. Aufwand und Ertrag werden sorgfältig abgewogen. Ziel ist es nun, mittels der folgenden Varianten möglichst viel Geld aus den erbeuteten Daten zu holen:
    • Dir könnte mit der Veröffentlichung deiner Daten gedroht werden
    • Es könnten Scam-Versuche per Telefon, E-Mail oder Social Media in deinem Umfeld durchgeführt werden. Dank deinen Informationen werden diese sehr plausibel klingen.
    • Deine Daten könnten im Darknet verkauft werden, damit sich andere Cyberkriminelle an den obigen Punkten versuchen können.

Kurz gesagt: das kann ziemlich lästig werden…

Auf die Länge kommt es an.

Ein langes (und komplexes) Passwort kann nicht alle Angriffsmethoden verhindern, aber es schützt vor sogenannten Brute Force-Attacken. Dabei werden nach und nach alle möglichen Zeichenkombinationen ausprobiert, bis das korrekte Passwort herausgefunden wurde. Mit modernen Computern oder ganzen Rechenzentren geht dies ratzfatz!

Teste es selbst:

Gib ein kurzes Passwort ein und schau zu, wie dein Gerät versucht, es zu knacken:


0


Dein Gerät kann durchschnittlich 0 Passwörter pro Sekunde generieren.

Alle Tastaturen haben mindestens 94 Zeichen (die Schweizer Tastatur noch viel mehr). Nehmen wir an, ein Computer kann 10 Millionen Zeichenkombinationen pro Sekunde ausprobieren. Demnach dauert es weniger als einen Tag, um ein Passwort mit sechs Stellen zu knacken. Hat das Passwort jedoch 12 Stellen, wartet man rund 1’500’000’000 Jahre. Zum Vergleich: dazu braucht es noch viel mehr Geduld als im Stau vor dem Gotthard.

Wie behalte ich den Überblick über meine Passwörter?

Die Zeiten, in welchen man seine Passwörter auswendig lernt oder auf Papier notiert, sollten längst der Vergangenheit angehören. Diese Verwaltungsarbeit überlassen wir besser einem Passwortmanager.

Ein Passwortmanager funktioniert wie ein Tresor. Bei der Erstellung eines neuen Passwortes, generierst du ein zufälliges, sicheres «Kauderwelsch» und speicherst dieses im Passwortmanager ab. Beim nächsten Login kopiert der Passwortmanager das Passwort aus dem «Tresor» automatisch in das Eingabefeld. Somit musst du dein Passwort gar nicht erst kennen.

Die Vorteile liegen auf der Hand:

  • Du musst dir nur ein einziges Masterpasswort merken, welches dir die Tresor-Tür öffnet
  • Neue, starke Passwörter können automatisch erzeugt werden
  • Die meisten Passwortmanager bieten Add-Ons für den Browser deiner Wahl sowie eine App für dein Smartphone und sie synchronisieren die Daten über all deine Geräte hinweg
  • Da sich der Passwort-Manager die URL der Online-Dienste merkt, bietet er als hübscher Nebeneffekt guten Schutz vor Betrugswebseiten (Phishing)

Kann ich die Passwörter in meinem Browser abspeichern?

Wir empfehlen, keine Passwörter direkt im Browser abzuspeichern, da diese typischerweise unverschlüsselt aufbewahrt werden. Angenommen, es würde jemand Zugriff auf dein Gerät erhalten – etwa wenn du dein Gerät verlierst oder wenn es einen Virus einfängt – dann sind deine Passwörter unter Umständen einsehbar und können missbraucht werden.

Es ist sicherer, Passwörter in einem im Betriebssystem integrierten Schlüsselbund zu speichern. Im Apple-Ökosystem beispielsweise ist die Passwortverwaltung nahtlos integriert und die Passwörter werden zwischen allen Apple-Geräten synchronisiert. Der Hauptnachteil ist die Beschränkung auf Geräte eines einzigen Herstellers und die primäre Ausrichtung auf den privaten Gebrauch.

Für Teams oder plattformunabhängige Nutzung bieten dedizierte Passwort-Manager mehr Flexibilität.

Welchen Passwortmanager soll ich wählen?

Wir empfehlen wärmstens auf Proton Pass zu setzen. Das Produkt ist quelloffen und wird vom Schweizer Unternehmen Proton entwickelt. Ausserdem ist die Nutzung für Einzelpersonen und Teams bis zu drei Personen kostenlos.

Die bekanntesten Alternativen zu Proton Pass sind:

  • Bitwarden (Open Source, freemium)
  • Enpass (kostenpflichtig)
  • 1Password (kostenpflichtig)
  • Dashlane (kostenpflichtig)
  • LastPass (freemium, hat aber einen getrübten Ruf, weil die Firma schon mehrfach von Cyberangriffen betroffen war)

Wenn du die Passwörter trotz Verschlüsselung lieber nicht in der Cloud abspeichern möchtest, ist KeePass (Open Source, kostenlos) die richtige Lösung für dich.

Wie merke ich mir das Masterpasswort für den Passwortmanager?

Es gibt zwei bewährte Methoden, wie du dir Passwörter merken kannst:

Passphrasen

Denke dir einen Satz aus, der für dich persönlich eine Bedeutung hat, aber für andere nicht offensichtlich ist. Zum Beispiel: Mein Kater Felix schnurrt immer zwischen 3 und 4 Uhr morgens! Von diesem Satz kannst du jeweils den ersten Buchstaben jedes Wortes nehmen und du erhältst daraus das Passwort MKFsiz3u4Um!

Wichtig ist, dass der Satz genug lange ist und dass du auch Zahlen und Sonderzeichen einbaust. Keine Sorge, wenn du dein Master-Passwort regelmässig in die Tastatur eintippst, kennen deine Finger die Abfolge mit der Zeit von ganz alleine.

Wort-Kombinationen

Wenn es dir nichts ausmacht, etwas mehr zu tippen, dann eignet sich für dich auch die Wort-Kombination. Das ist tatsächlich so einfach, wie es klingt: du musst dir mindestens vier Wörter ausdenken, die keinen direkten Zusammenhang aufweisen. Zusätzlich kannst du noch irgendwo eine Zahl einbauen.

Beispiel: Tiger-oval-super-9-Broccoli

Als Merkhilfe kannst du eine kleine Geschichte erfinden, in der diese Wörter vorkommen. Durch die Kombination von Nomen, Verben und einem Trennzeichen sind auch die jeweils erzwungenen Sicherheitsanforderungen an das Passwort erfüllt. Gross- und Kleinbuchstaben, Zahlen, Sonderzeichen und Mindestlänge sind automatisch gegeben.

Akzeptier Cookies für externe Medien, um diesen Inhalt sehen zu können. Jetzt einstellen

Aj! Du verwendest Internet Explorer, ein Relikt aus vergangener Zeit. Dadurch kann es zu Darstellungsfehlern kommen. Bitte installiere doch einen anderen Browser.

Wie geht das?Ausblenden