Passwörter sind enorm wichtig, schützen sie doch zahlreiche Accounts vor unerwünschtem Zugriff – oder sollten es zumindest. Denn wenn das Passwort nicht sicher genug ist, erhöht sich die Wahrscheinlichkeit, dass es geknackt wird. Ein Passwort sollte daher bestimmte Kriterien erfüllen, damit es als gut und damit sicher gilt. Welche das sind, was das Bundesamt für Sicherheit in der Informationstechnik (BSI) dazu sagt und welche Eselsbrücken Sie sich bauen können, um auch komplizierte Passwörter nicht zu vergessen, erfahren Sie in diesem Blogbeitrag von Fast Forward IT.

Wann gilt ein Passwort als sicher?

Das BSI empfiehlt zwei verschiedene Strategien für die Erstellung eines sicheren Passworts; entweder verwenden Sie ein langes und weniger komplexes Passwort oder ein kurzes, das dafür aber komplexer ist.

Entscheidend sind laut BSI hierbei die vier Zeichenarten:

• Großbuchstaben

• Kleinbuchstaben

• Zahlen/Ziffern

• Sonderzeichen

Je mehr dieser verschiedenen Zeichenarten Sie benutzen, desto komplexer wird Ihr Passwort. Verwenden Sie alle vier Zeichenarten in Ihrem Passwort, kann es ruhig kürzer ausfallen und ist immer noch sicher. Es sollte aber dennoch eine Mindestlänge von 8 Zeichen haben, besser sind 12 oder 15. Somit ergibt sich ein kurzes, aber komplexes Passwort. Verwenden Sie dagegen nur zwei der vier Zeichenarten (etwa Groß- und Kleinbuchstaben), sollte das Passwort mindestens 20-25 Zeichen lang sein – die mangelnde Komplexität gleichen Sie so also durch Quantität aus.

Wir empfehlen aber, auf jeden Fall alle vier Zeichenarten zu verwenden und im Zweifel trotzdem längere Passwörter zu erstellen. Durch steigende Rechenleistung werden Passwörter in Zukunft leichter zu knacken sein, was noch komplexere Passwörter erfordert, als es heutzutage der Fall ist.

Übrigens: Wie Sie Passwortrichtlinien in Liferay erstellen und konfigurieren, erfahren Sie in unserem Blogbeitrag Liferay-Sicherheit: Passwort-Richtlinien erstellen und Nutzergruppen zuweisen.

Sichere Passwörter – Best Practices und absolute No-Gos

Die meisten dieser Tipps liegen auf der Hand, aber dennoch kann es nicht schaden, noch einmal darauf hinzuweisen, wie Sie ein sicheres Passwort erstellen und welche Fehler Sie bei der Vergabe eines Passworts auf keinen Fall begehen sollten.

Halten Sie sich an folgende Vorgaben:

• Verwenden Sie eine Mischung aus Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen

• Ändern Sie das Passwort regelmäßig (und nicht nur heute am Ändere-Dein-Passwort-Tag)

• Verwenden Sie mindestens 12 Zeichen, für WPA2 oder WPA3 (WLAN) mindestens 20 Zeichen

• Bauen Sie sich eine Eselsbrücke für komplexe Passwörter

• Nutzen Sie wenn möglich eine Multi-Faktor-Authentifizierung wie etwa einen Fingerabdruck, eine Bestätigung per App oder eine PIN

• Ein Passwortmanager hilft Ihnen dabei, viele unterschiedliche Passwörter zu verwalten

Diese Fehler sollten Sie besser vermeiden:

• Verwenden Sie keine persönlichen Daten wie Name oder Geburtsdatum

• Geben Sie das Passwort nicht an Dritte weiter

• Schreiben Sie das Passwort nicht auf

• Speichern Sie das Passwort nicht unverschlüsselt

• Verwenden Sie dasselbe Passwort nicht mehrfach

• Vermeiden Sie bekannte Namen und Begriffe aus dem öffentlichen Leben

• Vermeiden Sie aufeinanderfolgende Zeichenfolgen auf der Tastatur (wie etwa „qwert“)

• Begriffe aus dem Wörterbuch sind ebenfalls gefährlich, da sie leichter zu knacken sind und so die Sicherheit des Passwortes erheblich senken

So merken Sie sich komplexe Passwörter

Da Sie am besten auf gängige Begriffe und Namen verzichten sollten, könnte ein sicheres Passwort beispielsweise aus einer zunächst sinnlos anmutenden Abfolge von Buchstaben, Sonderzeichen und Zahlen bestehen. Solche Passwörter dürften in der Regel nicht so leicht zu merken sein – es sei denn, Sie bedienen sich eines Tricks: Bilden Sie ein Akronym.

Das ist ein (Kurz-)Wort, das aus den Anfangsbuchstaben mehrerer anderer Wörter besteht. Den Empfehlungen des BSI zufolge wären das 12 Wörter, deren Anfangsbuchstaben Sie zu einem neuen Wort zusammensetzen. Um auf diese 12 Wörter zu kommen und sich diese gut merken zu können, nehmen Sie einfach einen Satz, der für Sie eine Bedeutung hat, etwa:

• eine Zeile aus einem Gedicht

• ein Sprichwort oder eine Redensart

• ein Zitat

• einen Songtext

Reihen Sie die ersten Buchstaben des gewählten Satzes aneinander, erhalten Sie ein Passwort mit Groß- und Kleinbuchstaben. Jetzt gilt es, einzelne Buchstaben durch Zahlen und Sonderzeichen zu ersetzen, um die Komplexität des Passworts zu erhöhen. Am einfachsten zu merken sind Zeichen, die eine gewisse Ähnlichkeit zu bestimmten Buchstaben aufweisen, etwa das $-Zeichen zum „S“.

Nehmen wir als Beispiel die erste Zeile des Erlkönigs:

Wer reitet so spät durch Nacht und Wind?

Es ist der Vater mit seinem Kind.

Daraus würde im ersten Schritt das Passwort WrssdNuWEidVmsK. Ersetzen Sie nun alle „s“ durch „$“, das „E“ durch eine „3“ und fügen Sie zudem das Fragezeichen am Ende der ersten Zeile mit ein, erhalten Sie das Passwort Wr$$dNuW?3idVm$K.

Auf diese Weise haben Sie ein relativ leicht zu merkendes, aber dennoch komplexes Passwort erstellt, das Sie beispielsweise als Master-Passwort für Ihren Passwortmanager verwenden können.

Fazit: Sicherheit erfordert ein wenig Aufwand

Es ist relativ bequem, dasselbe Passwort für mehrere Accounts zu verwenden oder sich bei der Auswahl auf vermeintlich leichte Lösungen wie Namen oder gängige Zahlenkombinationen zu verlassen. Solche Passwörter sind allerdings alles andere als sicher; zumindest etwas Komplexität ist daher unabdingbar, um die Sicherheit Ihrer Daten gewährleisten zu können.

Um auch besonders kreative und/oder schwer zu behaltende Passwörter gut verwalten zu können, nutzen Sie entweder die Eselsbrücke per Akronym oder Sie verwenden einen Passwortmanager. Für diesen benötigen Sie lediglich ein Master-Passwort, das natürlich ebenfalls den in diesem Artikel erwähnten Sicherheitsstandards entsprechen sollte. Alles in allem sind sichere Passwörter kein Hexenwerk, erfordern aber eine aktive Auseinandersetzung mit der Thematik, damit die Datensicherheit nicht aus reiner Bequemlichkeit aufs Spiel gesetzt wird.