11912

Tipps: Passwort-Sicherheit

22.07.2010 | 10:49 Uhr | Arne Arnold

Aus den verfügbaren Knack-Techniken lassen sich die Regeln für sichere Zugangscodes ableiten. Wenn Sie Folgendes beherzigen, haben Sie immer sichere Passwörter parat.

Je länger, desto besser
Leistungsstarke Rechner knacken mit Brute Force kurze Passwörter sehr schnell. Acht Zeichen sollten es also mindestens sein, zehn sind noch besser. Ideal ist es, wenn Sie eine Passwort-Phrase, also einen ganzen Satz eingeben können. Allerdings erlauben nur wenige Dienste so lange Passwörter.

Außergewöhnliche Kombinationen
Da Wörterbuch-Attacken einfache Passwörter schnell herausfinden, darf ein gutes Schlüsselwort in keinem Wörterbuch stehen. Hier bietet sich die Methode des abgekürzten Satzes an. Ein Beispiel: „Im Märzen der Bauer die Rösslein einspannt“ wird zu „IMDBDRE“. Dieses Passwort erweitern Sie am besten noch um Sonderzeichen, etwa um „)=?“ – die Zeichen liegen auf der Tastatur nebeneinander und lassen sich so auch gut merken. Das Passwort lautet also „IMDBDRE)=?“.

Individuelle Passwörter
Ganz wichtig: Wählen Sie für jeden Dienst ein eigenes Schlüsselwort. Der Grund: Wer stets dasselbe Passwort vergibt, läuft Gefahr, dass es bei einem Dienst geknackt wird. Der Angreifer hat dann aber nicht nur Zugang zu diesem einen, sondern zu allen Diensten, die Sie nutzen.
Wenn Sie sich nicht für jeden neuen Dienst ein ganz neues Passwort merken wollen, gibt’s eine Alternative: Verwenden Sie ein Standardpasswort – etwa „IMDBDRE)=?“ –, und verlängern Sie es um die ersten Zeichen des jeweiligen Dienstes. Der Log-in in den Premium-Bereich von www.pcwelt.de würde dann etwa das Schlüsselwort „IMDBDRE)=?pcw“ bekommen.

Achtung: Unsicherer Mail-Log-in
Die meisten Online-Dienste und auch Anwendungen zählen mit, wie oft hintereinander ein falsches Passwort eingegeben wurde, und blockieren nach ein paar Fehlversuchen den Zugang. Das bringt aber letztlich keine Sicherheit gegenüber Wörterbuch-Attacken, Brute Force oder jedem anderen Knack-Versuch. Denn oft finden sich Umwege, über die beliebig viele Anläufe möglich sind. Beispiel Mail-Log-ins: Wer über die Website seines Webmail-Anbieters geht, hat nur ein paar Versuche, bis der Dienst den Account sperrt. Geht ein Angreifer aber den Weg über das POP3-Protokoll, so kann er beliebig viele Schlüsselwörter ausprobieren. POP3 sieht keinen entsprechenden Schutz vor.

Hardware-Schutz: OTP-Token
Einige Online-Dienste – etwa Ebay, Paypal und ein paar Banken – bieten heute bereits OTP-Tokens an. Das sind Geräte in der Größe eines USB-Sticks, die bei einer Transaktion ein One-time-Password (OTP) generieren. Der Token zeigt das Passwort auf einem Display an. Jedes Gerät ist mit dem Server des Online-Dienstes synchronisiert, sodass sich das OTP nicht mit einem anderen Gerät erzeugen lässt. Dieses System gilt als sehr sicher. Man muss allerdings darauf achten, dass der OTP-Token nicht in die falschen Hände gerät.
Den Token für Ebay und Paypal können Sie über www.paypal.de/sicherheitsschluessel bestellen. Es sind einmalig rund 5 Euro fällig.

PC-WELT Marktplatz

11912