So machen Sie Ihre Passwörter wirklich sicher

Am 1. Februar ist "Ändere-Dein-Passwort-Tag". Im Gespräch gibt IT-Sicherheitsforscher Sven Bugiel Tipps, wie sich bessere Passwörter finden lassen und wie sich Nutzerinnen und Nutzer zusätzlich identifizieren können, um sicherer im Netz zu sein.

Passwörter Tipps Sven Bugiel
© CISPA

„267 Millionen Nutzer betroffen: Facebook mit neuem Datenleck konfrontiert“, „Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht“, „Neue Passwort-Leaks: 2,2 Milliarden Accounts betroffen“ – Schlagzeilen wie diese sind mittlerweile fast alltäglich. Ein wichtiger Grund dafür, dass Hacker Zugangs- und Identitätsdaten sowie andere sensible Informationen relativ leicht erbeuten können: Viele Menschen nutzen schlechte Passwörter.

Im Gespräch gibt Dr. Sven Bugiel anlässlich des „Ändere-Dein-Passwort-Tags“ am 1. Februar Tipps, wie sich bessere Passwörter finden lassen und wie sich Nutzerinnen und Nutzer zusätzlich identifizieren können, um sicherer im Netz unterwegs zu sein. Der IT-Sicherheitsforscher leitet die Forschungsgruppe „Vertrauenswürdige Systeme“ am BMBF-geförderten CISPA Helmholtz Center for Information Security.

Herr Bugiel, immer wieder gibt es Medienberichte zu Datenleaks: Sammlungen von Passwörtern und anderen Daten tauchen im Netz auf, werden teilweise auf Plattformen im Darknet zum Verkauf angeboten und für Straftaten missbraucht. Wie lässt sich so etwas verhindern?

Sollten die Daten direkt von den Onlinediensten gestohlen werden, kann man als Endbenutzer nichts tun, um den Datendiebstahl zu verhindern. Man muss sich auf die Sicherheit der Dienste verlassen. Man kann allerdings einen eigenen Beitrag leisten, indem man sein eigenes Konto besser schützt. Das geht vor allem durch ein starkes Passwort und Zwei-Faktor Authentisierung.

Wie sieht denn ein starkes Passwort aus?

Es gibt ein paar grundlegende Empfehlungen, um sein Passwort sicherer zu machen. Es sollte zum Beispiel mindestens neun Zeichen lang sein  ̶  je länger desto besser. Idealerweise enthält es auch Großbuchstaben, Sonderzeichen und Zahlen, aber wichtiger als die Komplexität ist die Länge des Passworts. Dabei sind leicht zu erratende Sätze tabu. Also: statt des Refrains eines Liedes lieber vier bis fünf zufällige Wörter aneinanderreihen oder alternativ einen merkbaren aber unsinnigen Satz oder ein langes Fantasiewort bilden.

Sven Bugiel gibt wertvolle Tipps für wirklich sichere Passwörter.
Sven Bugiel gibt wertvolle Tipps für wirklich sichere Passwörter. © CISPA

Die meisten Menschen verwenden für ein Passwort aber eher einzelne Wörter als mehrere…

Wird keine Passphrase, sondern ein einzelnes Passwort verwendet, sollte dieses nicht ein Wort aus dem Wörterbuch sein. Auch kein Eigenname, Markenname oder Ähnliches. Selbst augenscheinlich „sichere“ Änderungen solcher allgemein bekannten Wörter ändern nichts an dieser Regel. Also zum Beispiel ein „a“ durch ein „@“ zu ersetzen oder Zahlen anzuhängen, machen diese Wörter nicht sicherer. Und ganz wichtig: auf keinen Fall ein bereits bekanntes Passwort verwenden.

Wie erfährt man denn, welche Passwörter schon bekannt sind und im Netz herumschwirren?

Ein Blick auf die Website Have I Been Pwned zeigt, ob ein Passwort bereits öffentlich ist und somit unbedingt vermieden werden sollte. Einige Onlinedienste und auch Passwortmanager haben einen solchen Check bereits in ihre Benutzer- oder Passwortverwaltung integriert. Auch Google hat eine entsprechende Funktion mittlerweile in den Chrome Browser eingefügt und prüft eingegebene Passwörter gegen eine Liste bekannter Passwörter aus Datenleaks.

Was ist noch wichtig bei der Wahl von Passwörtern?

Ganz wichtig ist, dass wir Passwörter nicht wiederverwenden. Dasselbe Passwort oder eine minimale Modifikation eines solchen sollte niemals bei verschiedenen Onlinediensten genutzt werden. Tut man es doch, sind die angesprochenen Datenleaks umso gefährlicher.

Weshalb ist das so?

Der User hat quasi alle Eier in einen Korb gelegt. Wenn man ein identisches oder sehr ähnliches Passwort bei mehreren Diensten verwendet und das Passwort bei einem Dienst geleakt wird, könnten die anderen Dienste mitbetroffen sein. Datensätze derart auszunutzen, ist eine beliebte Masche von Cyberkriminellen. Wir sprechen hier von „Credential-Stuffing-Attacken“.

Welche technischen Hilfsmittel gibt es, sichere Passwörter zu erstellen?

Ich empfehle einen Passwort-Manager und dessen Passwortgenerierungsfunktion. So lassen sich lange, komplett zufällige Zeichenfolgen für Passwörter erstellen. Browser wie Safari und Chrome machen mittlerweile auch Passwortvorschläge bei Eingaben in Passwortfelder.

Gibt es Methoden, die mehr Sicherheit schaffen als die Authentisierung nur mit einem Passwort?

Am besten ist es, eine Zwei-Faktor-Authentisierung zu aktivieren, zumindest für seine wichtigsten Onlinedienste wie E-Mail-Konten. Der Vorteil dabei ist, dass das Passwort alleine nicht mehr ausreicht, um sich anzumelden oder kritische Einstellungen und Vorgänge auszuführen. Ob der genutzte Dienst eine solche Authentisierung unterstützt, kann man in den Sicherheits- oder Anmeldeeinstellungen im Konto einsehen. Webseiten wie Two Factor Auth bieten einen guten generellen Überblick.

Und das schafft schon ein gutes Maß an Sicherheit?

Ob per SMS, mit einer Authenticator-App auf dem Smartphone oder per USB Security Key: Jede der verschiedenen Optionen für einen zweiten Faktor macht das Konto schon sicherer. Die sicherste aller Optionen ist aber die Authentisierung mit einem hardwarebasierten zweiten Faktor wie einem Security Key.

Und wie lässt sich der Dienst nutzen, wenn der zweite Faktor verloren geht?

Um beim Verlust eines Faktors wie eines Security Keys das Aussperren aus dem eigenen Konto zu vermeiden, sollten mehrere zweite Faktoren aktiviert werden. Zum Beispiel ein Security Key als Standard- und ausgedruckte Einmal-Passwörter als Reservefaktor.

Ist denn eine Zukunft ohne Passwörter denkbar?

Die Vision, dass wir Passwörter irgendwann einmal loswerden, ist auf jeden Fall da und es wird hart daran gearbeitet. Die große Herausforderung ist, eine Lösung zu finden, die zugleich benutzbar, sicher und umsetzbar ist.

Wie könnte eine solche Lösung aussehen?

Eine neue, vielversprechende Lösung ist FIDO2/Webauthn. Dies ist ein neuer Standard für hardwaregestützte Authentifizierung zu Webdiensten, und zwar mithilfe der eben genannten USB Security Keys, Smartphones oder anderer Geräte anstelle eines Passworts. In vielen Fällen unterstützt ein biometrisches Verfahren an den jeweiligen Geräten als zusätzliche Sicherheitsbarriere. Ob sich FIDO2/Webauthn flächendeckend für eine passwortlose Authentifizierung im Web durchsetzen wird, wie es die großen Tech-Firmen gerne sehen würden, wird sich noch zeigen.

Herr Bugiel, wir danken Ihnen für das Gespräch.

Zur Person

Dr. Sven Bugiel ist leitender Wissenschaftler am CISPA Helmholtz Center for Information Security. In seiner Forschung beschäftigt er sich schwerpunktmäßig mit der Sicherheit mobiler Systeme und mit hardwarebasierten Sicherheitsarchitekturen. Dazu zählen auch hardwaregestützte Authentifizierungsmethoden und die damit verbundenen Fragen der Benutzbarkeit solcher Lösungen.