Zum Inhalt springen Zur Navigation springen
Wie man die Passwort-Demenz bekämpft!

Wie man die Passwort-Demenz bekämpft!

Die jährliche Veröffentlichung der 25 schlechtesten Passwörter zeigt leider erneut auf, dass das Bewusstsein für sichere Passwörter längst nicht tief genug bei den Usern verankert ist. So sind unter den Top 10 Passwörter wie „Password“, „123456“,  „qwerty“  oder gar „111111“. Diese werden tatsächlich verwendet und anscheinend als sicher genug empfunden.

Aus diesem Anlass folgt hier erneut ein Leitfaden für die sichere Verwendung von Passwörtern.

Die wesentlichen Grundregeln:

  • Groß- UND Kleinbuchstaben UND Ziffern UND Sonderzeichen
  • Nutzt mehr als 8 Zeichen.
  • Keine Vor- oder Nachnamen
  • Keine „klassischen“ Kosenamen
  • Keine durchlaufende Nummerierung beim erforderlichen Passwortwechsel

Bei der Nutzung von Zeichen sollten sich diese nicht auf Komma, Punkt und Bindestrich beschränken, sondern aus der Vielfalt der Computertastatur geschöpft werden.

Beachtet man diese Grundregeln, ist das Passwort schon sicherer und man erhält ein Passwort wie: „H0chf0rM@t

Es geht aber noch besser

Statt nun etwa ein „O“ durch eine Null, ein „i“ durch ein Ausrufezeichen oder ein „a“ durch ein @ zu ersetzen, ist es ratsam einen Satz (Song, Gedichte oder Zitat) zur Grundlage des Passworts zu machen. Dieser lässt sich zudem einfach merken. Gehirnjogging ist somit nicht nötig.

Beispiel: „Jeden Morgen lese ich auf dem Weg zur Arbeit gespannt meine Tageszeitung.“

Nun notiert man sich entweder jeweils den ersten Buchstaben jedes Wortes oder auch den letzten jeden Wortes usw. Diese Buchstabenreihenfolge bildet nun ein „zufälliges“ Passwort.

 JMliadWzAgmT

Ersetzt man schließlich aus diesem „sinnlosen Wort“ einige Buchstaben mit Zeichen, nach obigem Beispiel, steigt die Sicherheit des Passwortes erheblich. Denn nun haben Brute-Force-Attacken i.F.d. Wörterbuchattacken keine Chance mehr.

 JM1!@dWz@gmT

Das Gedächtnisproblem

Sicher ist es am besten, wenn für die vielen Accounts, die heute fast schon Pflicht sind, jeweils ein anderes Passwort gewählt wird. Denn ist der Hacker im Besitz dieses einen Passwortes, hat er Zugriff auf das gesamte digitale Leben einer Person.

Sich diese vielen Passwörter zu merken ist dann aber fast unmöglich. Daher bietet sich eine Kombination aus Passwortstamm und spezieller Endung an. Die Endung könnte dann accountspezifisch sein und z.B. durch ein spezielles Zeichen eingeleitet werden.

Beispiel:

JM1!@dWz@gmT+fb (fb= facebook)

JM1!@dWz@gmT+e (e=email)

Wem dies zu weit geht, kann diese Endungen auch nutzen um Gruppenpasswörter für Accounts anzulegen (z.B. „sn“ für alle social networks).

Ran an die Arbeit! Es ist nur eine Stunde, die mindestens doppelte Sicherheit gibt!

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Die Idee der nach Webseiten gruppierten Passwörter (…+sn für social networks) funktioniert solange, wie die jeweilige Website komplexe Passwörter wie in den obigen Beispielen überhaupt zulässt.

    Die Sparkasse (Münster) beschränkt den Nutzer beispielsweise auf 5stellig numerisch. Da kann man vorher soviel Hirnschmalz in die Passwörter gesteckt haben, wie man möchte…

  • Das mit den Banken ist in der Tat ein Problem, dessen sich diese einmal annehmen sollten. Ein weiteres Beispiel hierfür ist die DKB. 

  • Sofern die Webseite es erlaubt, nehme ich für gewöhnlich einen ganzen Satz. In ihrem Beispiel wäre mein Passwort „Jeden Morgen lese ich auf dem Weg zur Arbeit gespannt meine Tageszeitung.“

    Da kann man einem Bruteforce-Knacker nur viel Spass wünschen.

  • Ja, das spezielle sichere Passwort (JM1!@dWz@gmT) ist bei Banken meist nicht möglich; aber doch auch gar nicht nötig!! Wo ist liegt denn das Problem? Sobald ein Passwort nach drei (oder wieviel auch immer) Versuchen gesperrt wird, kann man nicht brutforcen! Ein Passwortsatz ist auch sicher, sofern es vier besser fünf oder sechs deutsche Wörter beinhaltet, in anderen Sprachen (Umfang des Wortschatzes) entsprechend mehr oder weniger.

    Sofern bei der verschlüsselten Übermittlung die Stelle des Passwortes und durch Hashtables dann das eigentliche Passwort ermittelt werden kann, würde es in der Tag ein Problem geben. Dies könnte man aber meiner Meinung nach durch salzen und pfeffern (siehe Wikipedia -> Salt (Kryptologie)) erschweren bis unmöglich machen.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.