Jetzt auch mobil Kommentieren!

Ein sicheres Passwort wählen

Für Internet-Nutzer ist kaum etwas ist wichtiger als ein sicheres Passwort, am besten man ändert dieses auch regelmäßig. Doch was macht ein sicheres Passwort aus? In dieser Infografik erhält man wichtige Tipps zu diesem wichtigen Aspekt der Web-Sicherheit.

Lesen Sie auch unsere Artikel Passwörter knacken und sichtbar machen! und Windows Passwort vergessen? Vier garantierte Lösungen!.

Ein sicheres Passwort wählen
Einen Kommentar schreiben
[o1] Der_Nachbarino am 07.03. 11:57
+5 -
Eure Grafik stimmt allerdings nur wenn keine NULL im Passwort vorkommt. Andernfalls sind die max. Möglichkeiten beim Beispiel "Kurzes, einfaches Passwort" 30 und nicht 27.
[re:2] Zyndstoff am 04.05. 17:44
+1 -
@Der_Nachbarino: Auch das stimmt nicht. Bei "kurzes, einfaches Passwort" wurde davon ausgegangen, dass nur die Zahlen 1, 2 und 3 verwendet werden dürfen. Das ist also völliger Quatsch. Geht man davon aus, dass alle Zahlen zur Verfügung stehen, inklusive 0, dann gibt es natürlich 10³ = 1000 Kombinationen.
[re:1] Blondi am 04.05. 19:22
+ -
@Zyndstoff: Danke, ich hab mich gerade auch gewundert, was das für ein Blödsinn ist. Bei einem Zahlenpasswort muss man, im IT Umfeld, immer von 10³ ausgehen. 3³ gibt es nicht mal bei einem günstigen Fahrradschloss.
[re:1] My1 am 23.03. 11:38
+ -1
@Blondi: entropieberechnungen basieren immer auf dem case dass der angreifer alles weiß außer das passwort selbst, also in dem fall eben dass 3 zeichen genutzt wurden und als möglichkeiten nur 1 2 und 3 in frage kommen.
[o2] Riro 31 am 07.03. 22:49
+3 -
Ein paar solcher Sätze habe ich seit Jahren im Kopf. Sie haben sich deshalb eingeprägt,weil sie mit Lebenssituationen zutun haben. Deshalb kann ich auf verschiedenen Webseiten verschiedene Sätze als Passworte anwenden.
ZB: Mein Wohnort ist 345 Kilometer von Berlin entfernt. - mwi345kmvbe. Einfacher geht es nicht. Übrigens das ist nicht eines meiner Passwörter. :-)
[re:1] Thermostat am 30.12. 15:58
+4 -1
@Riro 31: Hab ich grad ausprobiert, stimmt :P
[re:2] Nunk-Junge am 30.12. 16:16
+2 -
@Riro 31: Besser wäre es, wenn man mindestens 3 Zeichenklassen verwendet. Also gigantisch viel besser wäre: mWi~345kmvBe. Noch ein sehr hilfreicher Tipp: NIEMALS die minimale Anzahl an Zeichen nehmen. Also wenn eine Website fordert mindestens 8 Zeichen, dann haben weit über 90 % der User genau 8 Zeichen lange Passwörter. Reduziert den Testaufwand für die Systeme der Hacker gewaltig. Also besser 1-2 Zeichen mehr nehmen.
[o3] iPeople am 30.12. 15:59
Ich nehme immmer WF-Schlagzeilen. Die Headlines sind oft nicht nachvollziehbar ... quasi unknackbare Passwörter :D
[re:1] LoD14 am 30.12. 16:06
+4 -
@iPeople: Mit Glück auch mit Tippfehler, somit über ein Wörterbuch auch schwer zu knacken.
[o4] Thermostat am 30.12. 16:08
+5 -
Das beste Passwort bringt nichts, solange es im Klartext gespeichert wird.
[re:1] Nunk-Junge am 30.12. 16:17
+ -
@Thermostat: Ja, erschreckenderweise gibt es immer noch solche Systeme. Ich habe inzwischen überall unterschiedliche Usernamen und Passwörter und eine Keypass-Datei...
[re:1] Thermostat am 30.12. 16:21
+ -
@Nunk-Junge: Das mit Keypass habe ich mir versucht anzugewöhnen, das war nichts für mich. Zumindest nicht im vollne Umfang. Ich unterscheide zwischen wertvolle und weniger wertvolle Dinge.
Wichtig ist alles, was mit Geld zu tun hat. Shops, Bezahlsysteme usw. haben alle ein anderes Passwort, welches ich in keypass generiert und gespeichert habe.
Winfuture hat aber ein triviales Passwort "hund"... denn ich hab da keine Lust bei jedem Forum nachschlagen zu müssen.
Mal sehen wie viele das jetzt ausprobieren :P
[re:1] Nunk-Junge am 30.12. 16:43
+ -
@Thermostat: Ja, man kann etwas abwägen. Virtuelle Maschinen zum Testen auf dem Arbeitsplatz haben sehr einfache Passwörter mit 5-6 Zeichen, weil sie völlig unkritisch sind. Wichtige, zentrale Server in der Firma haben als anderes Extrem dagegen sehr kryptische Passwörter mit ca. 20 Zeichen (und natürlich zusätzliche Mechanismen zur Absicherung). Aber man sollte auf keinen Fall das gleiche Passwort mehrfach verwenden. Wird ein System kompromittiert, dann ist die Wahrscheinlichkeit hoch, dass die Zugangsdaten auch auf anderen Systemen getestet werden. Und man muss ja nicht einmal selber schuld sein. Fängt sich ein User einen Keylogger ein, dann sind alle anderen Benutzer auch betroffen die sich danach an dem System angemeldet haben, inklusive des Admin-Accounts.
[o6] RalphS am 30.12. 17:36
+ -1
Jetzt müssen wir nur noch hoffen, daß sich die Paßwortknacker an dieselben "Zeichenklassen" halten, die wir hier vorgesetzt kriegen. *daumenhoch*

Weil, kein Paßwortknacker käme jemals auf die Idee das anders zu machen. Warum denn auch. Rainbow Tables funktionieren ja gottseidank nicht und keine einzige Website verschlüsselt mit MD5 oder SHA1 oder...

--- ANYWAY 1aA!1aA!1aA!1aA!1aA! ist ein todsicheres Paßwort.
[re:1] Draco2007 am 30.12. 18:05
+ -1
@RalphS: Bitte was brabbelst du da?

Hast du das überhaupt gelesen geschweige denn verstanden?
[re:1] RalphS am 30.12. 19:34
+3 -
@Draco2007: Ganz einfach: Man sollte sich nicht von solchen "So sieht ein sicheres Paßwort aus"-Ratschlägen kirre machen lassen, die sind nämlich einfach nur irreführend. Denn die Schwachstelle ist heutzutage eher der Datenbank-Klau auf Anbieterseite und da gibt es keine Paßwörter, sondern Hashes.

Stattdessen sollte man langsam mal anfangen, Paßwörter - insbesondere "klassische" Paßwörter, die "immer" gelten, bis man sie ändert -- durch was anderes zu ersetzen, sei es durch Zertifikate oder ein Challenge-Response-System oder sonstwas.

Denn "das Paßwort" in sich ist bereits unsicher. Egal wie lang oder "komplex" das auch sein mag.

-- Gegenfrage. Hast *DU* verstanden, wo das Problem liegt? Es ist ohne Weiteres möglich, über Wörterbücher hinaus einfach anhand der erwarteten Zeichenverteilung Paßwörter anzugehen. Wenn bekannt ist, welche Zeichen mit welcher Häufigkeit in Paßwörtern stecken, dann kann und wird man "Zeichenklassen" wie "a-z" oder "A-Z" in die Tonne stecken und stattdessen Mengen wie {e,E,1,!,_,?,"} definieren (unter der Annahme, daß dies die mit Abstand häufigsten Zeichen sind, die in Paßwörtern verwendet werden; ansonsten halt entsprechend andere Mengen).

Dann interessiert nicht, ob da A und 0 drin ist, sondern dann interessiert, wie *unwahrscheinlich* es ist, ein bestimmtes Zeichen im Paßwort zu haben (je unwahrscheinlicher, desto besser).

Deswegen ja auch die Wörterbuchattacke. Nützt einem gar nichts, wenn man ein 30 Zeichen langes Paßwort aus dem Duden abschreibt.
[re:1] Draco2007 am 30.12. 20:41
+ -
@RalphS: Du weißt, dass es eine GANZ simple Maßnahme gegen die Datenbank-Hacks gibt?

Salt...dann bringt dir dein Rainbow-Table einen Scheißdreck.

Und deine ganze Annahme basiert auf der Annahme, dass die Leute alle das gleiche Schema nutzen um ihr Passwort zu generieren. Also immer den ersten Buchstaben eines Wortes in einem Satz. Dann würde ich dir recht geben, dann gäbe es sicher eine bestimmte Häufung von Zeichenklassen. Aber das muss NICHT so sein.

Ich glaube nicht, dass du für eine Brute Force Attacke statistisch relevante Informationen bekommst nur weil du weißt, dass ein Satz der Ursprung des Passwortes war, wenn du nicht weißt, welche Buchstaben aus diesem Satz genommen wurden und das jedesmal wechseln wird.

Viel hilfreicher für sowas sind Klartext-Leaks von Passwörtern. Ich meine in den letzten Jahren gab es einige mit einigen Millionen einträgen. Damit kann man einen Dictionary Angriff füttern, aber doch nicht mit sowas.

Und das klassische Passwort hat längst nicht ausgedient, man sollte sich eben nur gegen Brute Force und Dictionary Angriffe rüsten, was eigentlich sehr einfach ist. Eine Sperre von einigen Minuten nach 10 Fehlversuchen und schon kannste deinen Brute Force in die Tonne treten...
[re:1] RalphS am 31.12. 11:21
+ -
@Draco2007: ... Okay. Dann laß es mich anders formulieren.

Stell Dir vor, Du willst in ein System rein, welches paßwortgeschützt ist. Wie gehst Du vor?

- Zuallererstmal versuchst Du sicherlich, nicht *Blindlings* vorgehen zu müssen. Wenn Du *irgendwas* in Erfahrung bringen kannst, was Dir weiterhilft, nimmst Du natürlich "das". Immerhin reicht es ja, "irgendwo" reinzukommen und nicht "genau da an dieser Stelle".

- Das schließt Social Engineering mit ein (und Paßwort-Komplexität ist gänzlich uninteressant). Gibt's da ähnliche "Hinweise an die Bevölkerung"? Nötig wäre es, wenn auf "gib mir alle Deine TANs" bereitwillig geantwortet wird.

- Nächster Schritt. Wir dürfen als "Rein-Woller" davon ausgehen, daß der Mensch ein Bequemlichkeitstier ist. Also probieren wir pauschal Wörterbücher durch. Optimierte Variante: wir können zB facebook-Accounts zuordnen, oder andere Datenquellen, weil wir wissen daß in vielen Fällen der Name der Freundin als PW verwendet wird und wir davon ausgehen, daß besagte Freundin via FB verlinkt ist. Also brauchen wir nicht mal alle Wörterbucheinträge, sondern nur die paar FB-Links.

- Wir stellen als Nächstes fest, okay so einfach wird es wohl diesmal nicht. Jetzt wissen wir aber, was die Medien den DAU schulen. Nämlich das Modell mit den Zeichenklassen.

Frage an Dich, würdest Du wirklich an dieser Stelle *dasselbe* Modell verwenden? Oder würdest Du versuchen, insbesondere hier zu optimieren, einfach deswegen weil sich an dieser Stelle der Endbenutzer *sicher* fühlt und Du als Gegenüber keine aufmerksame, sondern sozusagen Du als Katze die faul auf dem Sofa liegende Maus vor Dir hast?

- DARUM geht es.
[o7] Trashy am 30.12. 18:06
+1 -
Naja, rechnerisch ist das kurze Passwort auch nur so schnell zu erraten, wenn der Bruteforcer bei der Passwortgenerierung sich auf diese 3 Ziffern beschränkt und er die Länge kennt, was in der Realität aber selten der Fall ist. Wenn er weder die Länge noch die verwendeten Zeichen kennt, bleibt ihm erstmal nichts anderes übrig als alle Zeichen durchzuprobieren und dann ist die Rechendauer eigentlich immer gleich und erhöht sich nur mit der Länge des Passworts.

Der wesentliche Tipp ist eigentlich daher schon mal möglichst viele verschiedene Zeichen zu nutzen, Groß und Kleinbuchstaben und Ziffern zu mixen und optimalerweise eben auch noch Sonderzeichen einzubauen.

Die Länge des Passworts ist dann fast schon egal. Nicht die Länge ist der primär entscheidende Faktor, sondern die Menge an verschiedenen Zeichen, die ein Angreifer durchprobieren muss. "$a©Z0ä" ist zumindest vom Rechenaufwand her sicherer als ein 15stelliges Passwort was nur aus Kleinbuchstaben besteht, wenn der Bruteforcer nur a-z durchprobiert.

Und da empfiehlt es sich eben auch gerade bei den Sonderzeichen was von vorne, was aus der Mitte und was von hinten aus der Unicode-Tabelle rauszupicken, umso größer wird die Range an Zeichen, die fürs Bruteforcing angewendet werden muss. äöüß sind in Passwörtern auch immer gut, weil ausländische Angreifer diese rein deutschen Zeichen äußerst selten in ihren Bruteforcingprogrammen verwenden.

Wer dann die oben genannten Satzbau-Eselsbrücken benutzt, hat zumindest ein relativ einfach zu merkendes Passwort.

Die wirkliche Passwortsicherheit sollte aber auch durch den Webseitenbetreiber passieren, der weitere Loginversuche für die IP einfach mal für 5min blockiert, wenn 3x hintereinander das falsche Passwort eingegeben wurde. So ein Login-Schutz hilft mehr gegen Bruteforcing als jedes komplizierte Passwort.
[o8] ThreeM am 30.12. 18:16
+ -
Auch ne gute alternative bei der ich mir garkeine Passwörter mehr merken muss: PwdHash.
[o9] Nixwiss am 31.12. 08:15
+1 -
Ich frage mich immer wieder, warum man sein Passwort regelmäßig ändern sollte?
Wenn ich ein "sicheres" Passwort habe und für jede Anwendung ein anderes so ist das doch optimal.
Wenn ich jetzt jedesmal alle 90 Tage dieses ändern soll, so entsteht bei mir ein Fragezeichen nach der Sinnhaftigkeit.
Wenn bei mir ein Passwort bekannt geworden ist, so ändere ich dieses und gut ist.
Bin für eine sinnhafte Aufklärung dankbar
[re:1] DailyLama am 20.06. 22:33
+ -
@Nixwiss: Alle 90 Tage macht definitiv keinen Sinn. Regelmäßig ändern aber schon. Denn Dein System oder ein WLAN (am Flughafen usw) kann einer Attacke ausgesetzt sein. Besonders beliebt sind derzeit https://en.wikipedia.org/wiki/Pass_the_hash. Da ist es völlig egal wie sicher Dein Kennwort ist, denn die Attacke liest den Hash-Wert (das ist wie ein Daumenabdruck eines Menschen), da dieser ausreicht um sich bei vielen Dingen (vor allem Deinem Betriebssystem) Zugriff zu verschaffen. Pass the Hash wie auch Angriffe auf Deinen Arbeitsspeicher, wo Hash bzw Kennwörter oft direkt lesbar vorkommen, sind OS unabhängig, also egal ob Windows, Mac, Linux usw. Ein gutes Beispiel dafür war der https://en.wikipedia.org/wiki/Heartbleed

Deswegen wird nun immer mehr auf TPM Chips zurückgegriffen. Da liegt das Kennwort bzw ein privater Schlüssel in Hardware und kann (derzeit) nicht ausgelesen werden. Beispiel dafür sind Bitlocker oder der Pin-Code von Windows 10. Mit diesem Pincode kannst Du Dich ausschließlich auf dem TPM Chip Deines Computers authentifizieren. Wird der Code ausgelesen, kann ein Angreifer nun nicht weiter (zb im Firmenetzwerk), da er weder Kennwort noch Hash kennt, mit dem er sich gegenüber Netzwerklaufwerken usw authentifizieren muss. Und da er den nicht an den privaten Schlüssel Deines Rechners kommt, kann er diesen auch nicht verwenden, um damit zb Zertifikate im Namen Deines Rechners auszustellen, sich also als Dein Rechner ausgeben.

Das war alles sehr vereinfacht dargestellt. Generell geht die Richtung nun so:
Einfache Kennwörter sind das Lieblingsziel. Dagegen helfen LANGE Kennwörter, nicht besonders komplexe (siehe https://xkcd.com/936/)
Gegen lange Kennwörter gibt es dann Attacken durch Auslesen des Speichers (Hash oder Klartext).
Dagegen hilft ein TPM Chip, da der derzeit nicht ausgelesen werden kann.
Also gehen Angreifer nun auf Deine Netzwerkverbindungen los, zb indem sie Zertifikate stehlen/fälschen und damit Deinen verschlüsselten Daten entschlüssen und so an Kennwörter für Dienste oder Server kommen.
TPM Chips sind aber noch zu langsam, um sie mehr als eine Eingabeaufforderung prüfen zu lassen. An besseren Chips wird aber gearbeitet. Die können dann auch SSL Verbindungen sicherere machen, da der private Schlüssel eines Zertifikates nicht gestohlen werden kann, Stehlen wird also so gut wie unmöglich. Soweit der aktuell Überblick über das, was es gibt, und das, was bald kommt.
Quantencomputer usw. sind noch weit weg. Dafür gibt's dann aber die https://en.wikipedia.org/wiki/Post-quantum_cryptography ;)
[10] lazsniper2 am 31.12. 10:18
+ -1
passwortmanager verwenden der sichere kennwörter erzeugt... immer noch am sichersten.
[11] Futurejoe am 08.05. 00:46
+1 -
Wer mal sein super sicheres 256bit Password mehrmals ins Handy eintippen musste, wechselt gerne wieder auf was handhabbares zurück :-).
[12] DailyLama am 20.06. 22:13
+1 -1
Tragisch, dass selbst WinFuture bei Kennwörtern weiter den Unsinn mit Sonderzeichen usw verzapft.
Es kommt auf die Länge des Kennworts an, nicht auf die Komplexität. Wer's nicht glaubt: https://xkcd.com/936/
[re:2] Bengurion am 21.12. 23:47
+1 -
@DailyLama: Als Ergänzung zu Deinem Kommentar:
http://www.svenbuechler.de/?p=21662

ein - "4-Wort-Generator": Beispiel
kaste tumor schule ananas ->kaStetuMorscHUleanANas (mittle(r) Buchstabe(n) groß)
trauer pomade plakat ansatz -> TrauerPomadePlakatAnsatz
mauer pore ruck seicht -> MaueRporErucKseichT
[re:1] My1 am 15.02. 10:00
+2 -
@Bengurion: muss man aber nicht mal machen es reicht schon bspw aus ner 18k wordlist (danke 1password) 5 zufällige wörter zu nehmen und man übersteigt ein Passwort das 10 komplett zufällige zeichen aus den 94 druckbaren Ascii zeichen hat, aber man kann es sich ggf besser merken, ansonsten den Passwort manager n paar mehr generieren lassen bis man eins hat dass man sich merken kann.

rein aus der sicht der entropie könnte man sagen dass es ein hyperkomplexes kurzes Passwort ist, da aus der sicht der entrope praktisch jedes wort ein "zeichen" ist und man quasi 5 "zeichen" aus einer Auswahl von knapp 18500 zeichen nimmt.
[re:3] xXfreshXx am 15.02. 16:23
+ -1
@DailyLama: Nur dumm, dass Brute Forcer cleverer sind, als einfach sinnlos auszuprobieren. Daher ist die Entropie nebensächlich, wenn die Wörter in einem Wörterbuch stehen.
[re:1] DailyLama am 23.02. 13:42
+ -
@xXfreshXx: Was hat Brute Force damit zu tun? Selbst wenn alle Worte bekannt sind, sind die Kombinationsmöglichkeiten schier unendlich. Brute Force hat da keine Chance.
[13] belu am 21.12. 15:02
+1 -
Mal eine ganz naive Frage:

Warum wird der ganze Brute-Force-Zirkus nicht einfach dadurch abgebogen, dass maximal 1 oder 10 oder meinetwegen auch 100 PW pro Sekunde eingeben werden können? - zumindest bei Accounts, in die sich normalerweise einzelne Menschen einloggen (e-mail, Giro-Kontoführung etc.)? Könnte ja auch eine bloße Option sein.
[re:1] My1 am 15.02. 10:03
+ -
@belu: online geht das, da sämtliche daten aufm server liegen aber bspw bei verschlüsselung geht das vom konzept nicht da die Daten im prinzip schon da sind und man nur noch schauen muss dass man das richtige PW findet. wem es egal ist ob das ganze etwas dauert der kann ja "aufwendige" hashfunktionen wie bcrypt oder scrypt nutzen, sodass jeder Versuch ne gewisse rechenleistung braucht.
[14] My1 am 23.03. 11:44
+ -1
was aber auch gut geht ist ein kurzes EXTREM komplexes Passwort zu nutzen, stichpunkt wordlist.

bei dem ist nicht jedes zeichen ein element sondern jedes wort, somit ist das passwort eher kurz aber dafür halt pro element sehr viel mehr möglichkeiten. mit der wordlist von 1password mit 18436 einträgen hat man mit 4 *zufälligen* worten schon mal 115 billiarden, bei 5 schon 2,1 trilliarden.
[15] Stefan1979 am 06.10. 19:14
+ -1
Wie wäre es damit - zum Basteln für zu Hause:

Man drucke alle Zeichen von a-z, A-Z, 0-9 und alle Sonderzeichen. Dann schneidet man die einzelnen Zeichen aus und wirft diese in 4 Schüsseln.

Dann zieht man aus jeder Schüssel 3 Papierschnipsel und setzt sich daraus sein Passwort zusammen.

Das ist absolut sicher - und ein Bastelspass für Gross und Klein ;-)

Ups - Geschäftsidee verraten... Nicht dass es demnächst "Passwort-Generator" von Hasbro gibt ;-)
[re:1] TomW am 06.10. 22:18
+ -
@Stefan1979: abcdefghijkl
[re:1] Stefan1979 am 06.10. 22:22
+ -
@TomW: Genau sowas kann dabei nicht rauskommen...
a-z -> Schüssel 1
A-Z -> Schüssel 2
0-9 -> Schüssel 3
Sonderzeichen -> Schüssel 4
Und jetzt 3 Stück aus jeder Schüssel ziehen....
[16] ruder am 06.10. 23:55
+ -
- "[o4] Thermostat : Das beste Passwort bringt nichts, solange es im Klartext gespeichert wird."
absolut richtig und leider nach wie vor realität.

- ein password wie "tp3@A=ah3f3z" ist mit sog. rainbow tables, zwar nicht in sekunden aber, in gut 5 minuten zu knacken, das habe ich selbst getestet.

- Sonderzeichen, Groß-/kleinschreibung bringen gar nichts

- die seite https://haveibeenpwned.com/ ist hilfreich wenn man ihr vertraut

- letzten endes hilft nur "Zwei-Faktor-Authentifizierung" mit tokens oder tans.
[17] Grendel12 am 07.10. 02:00
+ -2
Ich empfehle, ein Passwort zu wählen, dass aus psychologischen Gründen kein Mensch gern eintippen will und auf das keiner kommt, etwa angelikamerkel oder etwas, dass der Nutzer besonders gern mag oder sich gut merkt: ddr07101949 oder ddr_return_for_ever -
oder für Senioren ganz schlicht 012345 oder eben "passwort".
[re:1] Lord Laiken am 08.10. 19:22
+ -
@Grendel12: lol
[re:2] crunner am 09.10. 02:10
+ -
@Grendel12: Oder Mb2.r5oHf-0t das wurde schon zum sichersten Passwort gekürt. ;-)
[20] MOSkorpion am 07.10. 10:48
+ -
Ich hoffe das die Passwörter von heute bald ausgedient haben, ist ja nicht normal das man für jede pupsseite ein super schweres Passwort haben muss das natürlich nirgends wo anders benutzt wird.

Es gibt quasi NIEMANDEN der das Internet nutzt und ALLE seine schweren und einzigartigen Passwörter im Kopf hat. Das hat eine Zeit lang gut funktioniert als ich noch wenige passwörter hatte bzw. vielerlei abwandlungen aber das ist nicht mehr zeitgemäß und 40 Passwörter merkt sich kein mensch besonders nicht speziell für dien jeweiligen Dienst.
Einen Kommentar schreiben
Impressum