Per Eselsbrücke zum sicheren Passwort

Dabei gilt: Namen und Begriffe aus dem echten Leben sind tabu. Denn "Hacker haben Werkzeuge, die vollautomatisch alle möglichen Zeichenkombinationen ausprobieren oder ganze Wörterbücher testen", warnt das Bundesamt für Sicherheit in der Informationstechnologie (BSI).

Die eigene Eselsbrücke bauen

Allerdings haben viele Menschen bei der Wahl der richtigen Passwörter Schwierigkeiten. Nicht selten wird ein einziges Passwort für zehn Konten genutzt. Wie soll man sich auch mehrere Passwörter merken, die wie empfohlen mindestens acht, besser zwölf Zeichen lang sind und dazu Groß- und Kleinbuchstaben und sowie Sonderzeichen enthalten?

Des Rätsels Lösung sind Merksätze, mit denen man sich eine Eselsbrücke baut, so das BSI. "Mein Passwort hat zwölf Zeichen und ist 99prozentig sicher", wird dann zu "MPh12Z&i99%s". Mit dieser Systematik lässt sich solch ein Passwort für jeden Dienst erweitern. Aus "Mein Ebay Passwort hat..." wird "MEPh...", aus "Mein Facebook Passwort hat..." wird "MFPh..." und so weiter. Ändert man Satz und Passwort jetzt noch alle drei Monate, fährt man relativ sicher.

Passwortmanager für PC, USB-Stick oder Cloud

Eine Alternative dazu sind Passwortmanager. "Sie speichern eine Vielzahl von Zugangsinformationen wie Benutzername plus Passwort verschlüsselt ab", sagt Marc Fliehe vom IT-Verband Bitkom. Der Benutzer muss sich dann nur noch ein starkes Masterpasswort merken. Die verschlüsselten Passwörter liegen entweder auf dem eigenen PC, einem USB-Stick oder im Netz bei einem Cloud-Anbieter. Dann kann man von zu Hause und bei der Arbeit, darauf zugreifen.

Liegt die verschlüsselte Datei mit den Passwörtern auf einem USB-Stick, kann man den Manager nur nutzen, wenn der Stick im Computer steckt. Bei der Nutzung mehrerer Rechner muss das Programm auch auf jedem Gerät installiert sein. Um das zu umgehen, gibt es portable Passwortmanager. Hier liegt nicht nur die Passwortliste sondern auch das Programm selbst auf dem USB-Stick. Damit sind die Passwörter theoretisch auf jedem Rechner verfügbar.

Zusätzlicher Komfort bedeutet geringere Sicherheit

"Wenn man ganz sicher gehen will, sollte man seinen Passwortmanager nur auf Computern nutzen, denen man vertraut und die vor Schadsoftware wie Viren, Trojanern oder Keyloggern geschützt sind", schränkt Marc Fliehe ein. Keylogger sind Programme, die Tastatureingaben auslesen und weitermelden können. "Damit sind die eigenen Passwörter gefährdet, sobald man den Passwortmanager nutzt und sein Masterpasswort eingegeben hat", sagt Fliehe.

Wie überall gilt: Zusätzlicher Komfort - etwa das Speichern der Passwörter im Netz - bedeutet geringere Sicherheit. Auf den Server haben potenzielle Hacker leichteren Zugriff als auf den USB-Stick in der Hosentasche. Andererseits kann man in der Cloud abgelegte Daten auch nicht so leicht verlieren wie einen kleinen Datenstick. "Wer ganz sicher gehen will, kann sich für zentrale Dienste wie E-Mail und Online-Banking auch die Passwörter merken und nur für weitere Dienste den Passwortmanager nutzen", beschreibt Fliehe einen Kompromiss.

Schaar befürwortet doppelte Authentifizierung

Auch der ehemalige Datenschutzbeauftrage des Bundes, Peter Schaar, rät davon ab, Passwortmanagern voll und ganz zu vertrauen. "Er ist nur so sicher wie das Masterpasswort selbst. Wenn es gelingt, diesen Sicherheitsmechanismus zu überwinden, stehen sämtliche Passwörter offen und die Gefahr multipliziert sich", gibt er zu bedenken.

Stand der Technik wäre für solch einen sensiblen Zugang eine doppelte Authentifizierung. "Daran führt auf Dauer kein Weg vorbei. Ein Passwort beruht schließlich allein auf Wissen und kann ausspioniert werden", sagt Schaar. Zusätzlich sollte es eine Hardwarekomponente - etwa eine Chipkarte - geben, ohne die sich der Computer nicht bedienen lasse. In Netzwerken von Firmen und Behörden mit Sicherheitsrisiko sei das bereits üblich. Auch beim Onlinebanking lässt sich per Tan-Generator oder per SMS auf das Mobiltelefon mehr Sicherheit herstellen.

Auch der elektronische Personalausweis ist prinzipiell zu doppelten Authentifizierung geeignet. "Ihm gegenüber besteht allerdings ein großes Misstrauen", sagt Schaar. Die Kritik lautet, dass dann der Staat an alle Daten der Bürger herankomme könne. "Die Bedenken ließen sich ausräumen, wenn man die Verwaltung der Zugriffsmechanismen und Schlüssel einer vertrauenswürdigen Stelle überlässt."