Die Deutschen gehen nach Ansicht des E-Mail-Anbieters Web.de sorglos mit ihren Passwörtern um. Die Mehrheit verwendet einer Umfrage zufolge dasselbe Passwort für mehrere oder sogar alle Online-Dienste. Dabei könnten die eigenen Accounts mit ein bisschen Fantasie deutlich sicherer gemacht werden, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät.
DIE FANTASIE IST GEFRAGT
Das BSI empfiehlt für Passwörter möglichst kreative Kombinationen. Namen und wichtige Lebensdaten wie der Geburtstag sind tabu, einfachste Passwörter wie „Passwort“ sehr leichtsinnig. Auch gängige Tastaturanschlagsmuster wie 1234abcd oder Wörter, an die lediglich am Ende ein Sonderzeichen angehängt wird, sind für die vollautomatischen Programme von Hackern ein gefundenes Fressen. Diese testen zunächst einfach die wahrscheinlichsten Kombinationen durch. Absolut tabu sind deshalb auch Wörter aus dem Wörterbuch.
Wem es schwerfällt, sich all die fantasievollen Passwörter zu merken, der kann auch einen Passwortmanager verwenden. Diese Programme speichern alle Passwörter ab, Nutzer müssen sich dann nur noch ein Masterpasswort für den Manager merken.
LÄNGE UND KOMPLEXITÄT
Ein Passwort für Online-Dienste sollte Klein- und Großbuchstaben, Zahlen und Sonderzeichen enthalten, je nachdem was der Dienst erlaubt. Je länger und komplexer es ist, desto schwieriger ist es zu knacken. Laut BSI ist ein Passwort sicher, wenn es entweder 20 bis 25 Zeichen lang ist und zwei Zeichenarten benutzt oder acht bis zwölf Zeichen lang aber mindestens vier Zeichenarten verwendet. Auch kürzere Passwörter mit acht Zeichen können sicher sein, sollten aber dann mindestens drei Zeichenarten verwenden und zusätzlich durch eine Mehr-Faktor-Authentifizierung abgesichert sein.
Auf dem Smartphone ist ein Sperrbildschirm das Mindeste – ob mit Passwort, Zahlen-PIN, Muster oder Fingerabdruck. Für unterschiedliche Dienste sollten unterschiedliche Passwörter verwendet werden, außerdem sollten sie regelmäßig geändert werden.
DIE SATZ-METHODE
Wer bisher Probleme hatte, sich Passwörter zu merken, für den ist vielleicht die sogenannte Satz-Methode hilfreich. Dabei sucht man sich einen Satz, den man sich leicht merken kann – etwa Goethes „Nun steh ich hier, ich armer Tor, und bin so klug als wie zuvor“. Davon nimmt man nur die Anfangsbuchstaben der Wörter, also „NsihiaTubskawz“. Jetzt ersetzt man einzelne Buchstaben durch Zahlen, die ähnlich aussehen und fügt Sonderzeichen ein, etwa: „?Ns1h1aTubskawz!“. Fertig ist ein starkes und merkbares Passwort.
LIEBER DOPPELT ABSICHERN
Die Zwei-Faktor-Authentifizierung, die inzwischen längst von allen großen Internetfirmen angeboten wird und immer aktiviert werden sollte, ist ein weiteres zentrales Sicherheitsmerkmal. Bei Twitter beispielsweise heißt sie Login Verification. Nach der Anmeldung per Passwort muss der Nutzer in einem zweiten Schritt noch einen Zufallscode eingeben, der ihm per SMS auf sein Mobiltelefon geschickt wird. Selbst wenn Hacker das Passwort kennen, verhindert dieser Mechanismus, das sie ein Profil einfach übernehmen können.
Umgekehrt sollten Verbraucher aber beim Rufnummernwechsel konsequent alle Profile aktualisieren, auf denen ihre Handynummer angegeben ist, wie etwa bei Onlineshops, Mobilitätsportalen oder sozialen Netzwerken. Sonst können Betrüger über eine SMS das Passwort zurücksetzen – ein Einfallstor für Betrüger.
