In diesem Howto soll die Auswahl und Verwendung von Passwörtern erklärt werden. Sicher wird sich jeder denken, was schon so besonders an Passwörtern ist. Man denkt sich eines aus und sagt es keinen und gut ist. Das ist zumindest ein Teil der Geschichte. Der andere Teil ist aber scheinbar weitestgehend unbekannt, wenn man von ein paar Experten absieht. Aber selbst bei vielen IT-Profis und in Firmen findet man immer wieder einen skurrilen Umgang mit Passwörtern. Neben dem Umgang mit Passwörtern wird auch auf die Verwendung von Accounts eingegangen, was meiner Meinung nach mit zum Thema gehört. In diesem Howto steht nichts neues, sondern nur lang bekannte Informationen. Trotzdem wird es immer wieder mißachtet, vergessen oder einfach nicht gewusst.

Auswahl eines Passwortes

Die Auswahl des richtigen Passworts ist der erste Schritt und entscheidet nachhaltig über die Sicherheit eines Accounts. Passwörter sollen leicht zu merken sein, aber kompliziert genug um nicht erraten zu werden. Das Erraten sollte man nicht vernachlässigen, es ist einfacher als viele denken. Wer als Passwort etwas aus seinem direkten Umfeld nimmt (Name des Kindes, Hobby, Nachname, Geburtsdatum etc.) muss sich nicht wundern, wenn jemand den Account übernimmt.

Die Komplexität ist ein weiterer Punkt. Ein Passwort sollte mindesten sechs bis acht Zeichen enthalten, besser 10 bis 12. In einem Passwort sollte immer Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen benutzt werden und zwar gleichzeitig. Nur so kann eine sogenannte Wörterbuchattacke verhindert werden. Das ist eine besondere Art des Ausprobierens von Passwörtern. Im Gegensatz zum einzelnen Durchprobieren aller möglichen Buchstaben- und Zahlenkombinationen (brute force attack) geht eine Wörterbuchattacke (solche Wörterbücher gibts im Internet frei zum Download) deutlich schneller, vor allem wenn häufig benutzte Passwörter (Frauennamen, Geburtsdaten und Buchstabenkombinationen wie "qwertz" oder "12345") gleich zu Anfang versucht werden. Bei manchen Systemen werden solche Angriffe dadurch erleichtert, dass sie bei einem teilweise korrektem Passwort eine andere Fehlermeldung liefern als wenn es komplett falsch ist. Das hilft zwar dem User, aber senkt die Zahl der notwendigen Versuche radikal ein.

Ein komplexes Passwort hat aber einen entscheidenden Nachteil: Man kann es sich schlecht merken. Es aufzuschreiben ist das dümmste, was man machen kann. Man kann nie sicher sein, ob den Zettel nicht jemand findet. Auch solche Sachen wie es sich im Handytelefonbuch zu merken ist nicht sonderlich originell und mittlerweile weit verbreitet, benauso wie einen Schriftzug zu nehmen, der irgendwo in der Nähe des Computers steht (Monitorbezeichnung, Tastatur, Computerhersteller und ähnliches). Man glaubt übrigens nicht, wie oft man Passwörter auf die Unterseite der Tastatur, dem Maus-Pad oder gar auf einem posted auf dem Monitor geklebt findet.

Deshalb muss man einen Weg finden, sich sein Passwort zu merken ohne es aufzuschreiben. Ein Beispiel für ein schlechtes Passwort:

holzkopf

Dieses Passwort findet man in Wörterbüchern (und manchmal vorm Computer), es enthält keine Sonderzeichen, Zahlen oder Großbuchstaben. Aber mit relativ wenig Aufwand wird daraus ein gut zu merkendes und sicheres Passwort. Als erstes fügen wir Großbuchstaben ein, nicht gerade am Anfang weil man es dort noch am ehesten erwartet:

holzKopF

Nett sind auch Rechtschreibfehler, die garantiert nicht in Wörterbüchern vorkommen:

holsKopF

Aber noch fehlen die Ziffern und Sonderzeichen. Ich bevorzuge es, bestimmte Buchstaben mit bestimmten Ziffern zu ersetzen, die irgendwie ähnlich aussehen. Zum Beispiel sind sich der Buchstabe o und die Ziffer 0 ähnlich. Das sieht dann zum Beispiel so aus:

holsK0pF

Ähnlich verfährt man mit den Sonderzeichen. In dem Fall bietet es sich an den Buchstaben l durch ein ! zu ersetzen:

ho!sK0pF

Dieses Passwort ist weder zu erraten (abgesehen von einer brute force attacke in ein paar hundert Jahren), noch dass man es in einem Wörterbuch findet oder einen Bezug zum Umfeld oder Gewohnheiten des Nutzers herstellen könnte.

Wie man welche Zeichen durch andere ersetzt ist natürlich Geschmachssache. Man könnte auch Buchstaben aus anderen Zeichen zusammensetzen, zum Beispiel /\/\ (m) oder \/ (v) oder |< (k). Manche Leute meinen auch Ähnlichkeiten zwischen 9 und g oder 1 und i zu erkennen. Der Phantasie ist eigentlich keine Grenze gesetzt und auf dem Weg kann man auch ein normales Wort in ein gutes Passwort umwandeln.

Umgang mit Passwörtern

Im vorhergehenden Abschnitt wurde es schon angedeutet: Passwörter aufzuschreiben ist böse, egal ob es auf einem Zettel, Handy oder Computer ist. Man kann nie sagen, ob es jemand durch Zufall gefunden hat. Neben dem Aufschreiben ist das Weitersagen oder gemeinsame Benutzen eines Accounts, am besten noch des root- oder eines anderen administrativen Accounts, die zweihäufigste Sünde. Ein solches Verhalten wirft gleich mehrere Probleme auf. Zum einen gibt es keinen Schutz vor Ausspähung oder Datenmanipulation, Einstellungen können verändert werden und bei Benutzung von Accounts mit Adminrechten kann die gesamte Systemintegrität beeinflusst werden. Der wichtigste Grund besteht aber darin, dass man es nicht mehr in der Hand hat, wenn jemand mein Passwort kennt, kann ich ihn nicht daran hindern es weiterzugenen, egal ob absichtlich oder nicht. Das hat auch nichts mit Mißtrauen zu tun, es ist einfach folgerichtig zu sagen, dass etwas, was man nicht beeinflussen kann, auch nicht vertrauenswürdig ist. Letztlich ist ein Passwort nicht dazu da, die Daten zu schützen, sondern die Identität eines Users nachzuweisen. Wenn mehrere User auf die gleichen Daten zugreifen müssen, besteht kein Bedarf, dass alle das Passwort eines Accounts kennen, sondern dass die Zugriffsrechte (Und die machen die Sicherheit!!!) richtig gesetzt sind.

Passwörter müssen regelmäßig geändert werden. Es gibt über diesen Punkt bei Sicherheitsexperten regelmäßig Streit, manche sagen es sollte einmal in der Woche sein, andere sagen ein Monat ist genug. Die Wahrheit liegt wohl irgendwo dazwischen. Bei besonders kritischen Systemen werden sogar Einmalpasswörter benutzt, die wirklich nur einmal benutzt werden können. Damit soll verhindert werden, dass durch eine Ausspähung des Passworts das System wiederholt kompromitiert wird.

Häufig verwendem User überall die gleichen oder ähnliche Passwörter. Vor allem im Internet kann man nie wissen, wer Zugriff auf die Passwortdatenbanken des Internetdienstes hat. Es wäre nicht das erste Mal, wenn jemand durch die Kompromitierung eines Accounts, zum Beispiel bei einem Forum, auch noch seinen Emailaccount preisgegeben hat.

Sicher taucht früher oder später die Frage auf, wie man sich die ganzen Passwörter merken soll. Entweder man denkt sich ein gutes (!) System aus oder man überläßt das Merken der Passwörter einer Software, die sie mittels starker Verschlüsselung speichert. Intelligente Betriebssysteme wie Linux mit dem KDE-Desktop oder MacOS haben sowas bereits eingebaut. Was das abspeichern in unverschlüsselten Texten angeht, siehe den Punkt zum notieren von Passwörtern. Übrigens taugen die Speicherfunktionen der meisten Programme nicht viel, was den Schutz der Passwörter angeht. Unter Windows findet man die Passwörter schon mal im Klartext in der Registry oder in irgendeinem File auf der Festplatte.

Alexander Heidenreich

Zu Fragen, Anregungen und Kritik könnt ihr mich unter dieser Email-Adresse erreichen: Diese E-Mail-Adresse ist gegen Spam geschützt. Zur Anzeige muss Javascript aktiviert sein.

Dieses Dokument darf frei weiterverbreitet werden, so lange ein Link oder sonstiger Verweis auf die Originalquelle enthalten ist.