Presse-Informationen
c't

  1. heise group
  2. Presse-Informationen
  3. c't

c't: Sichere Passwörter erstellen
Drei Passwort-Regeln: Lügen, Betrügen und Verfälschen

Hannover, 11. Januar 2013 – Rasante Hardware, öffentlich zugängliche Listen mit echten Passwörtern und raffinierte Techniken ermöglichen es sogenannten Crackern, nahe­zu jedes Pass­wort zu knacken, das ein Mensch sich aus­denken und merken kann. Dabei lassen sich die ei­genen Nutzerkonten mit nur wenigen Tricks gegen Angriffe schützen, schreibt die Computerzeitschrift c’t in Ausgabe 3/13.

Nicht jeder Passwort-Knacker ist ein Krimineller. Die meisten sind sogar respektable Mitglieder in Security-Ge­meinden. Ihr Interesse liegt ausschließlich im Knacken des geheimen Codes – je komplizierter, desto besser. Von ihrer Arbeit profi­tiert auch die Allgemeinheit: „Erst durch die Analy­se großer Mengen echter Passwörter lassen sich typische Schwächen ermitteln und gezielt bekämpfen“, sagt c’t-Redakteur Jürgen Schmidt.

Eine der typischen Schwächen ist das Recyceln von Pass­wörtern. „Krimi­nelle nutzen vor allem die Tatsache, dass Passwörter oft mehrmals vergeben werden und testen, ob ein ergaunertes Passwort auch beim E-Mail-Provider und popu­lären Diensten wie Facebook oder Amazon funktioniert“, er­klärt Schmidt. Anwender sollten für jeden Account ein separa­tes Passwort wählen. Die Übersicht über alle Passwörter be­hält man mit­hilfe eines Passwort-Safes. Er sichert alle Pass­wörter mit einem möglichst kom­plexen Masterpasswort. Wird das je­doch geknackt, liegen auch alle anderen Passwörter of­fen. „Wer kein Masterpass­wort einsetzen möchte, kann auf vers­chiedene Konzepte zurückgrei­fen, mit deren Hilfe man kom­plexe Passwörter und Varia­tio­nen erstellt, die man sich dennoch einprägen kann“, sagt der Experte.

Die drei Grundregeln „Lügen, Betrügen und Verfälschen“, er­schweren Crackern den Zu­griff zusätzlich: Kontrollfragen wie „Der Mädchenname deiner Mutter“ sollte man niemals wahr­heitsgemäß beantwor­ten. Sol­che Informa­tionen können auch andere leicht recher­chieren. Bei Jahreszahlen im Kennwort sollte man grundsätzlich ebenfalls schummeln. Auch wer sich gern Sprüche oder Liedzeile als Vorlagen nimmt, sollte das Original grundsätzlich verfälschen.