Digitale Selbstverteidigung: So funktionieren sichere Passwörter

Teilen

Basis jeglicher Art von Verschlüsselung oder Accountschutz ist ein sicheres Passwort. Wie man zu so einem kommt, ob es wirklich Sonderzeichen braucht und wann auch ein Fingerabdruck schon sicher sein kann.

Ein guter Schlüssel reicht. – Public Domain Midjourney

Das Entsperrmuster lässt sich an der Fettspur auf dem Handy-Display ablesen, den Fingerabdruck bekommt man zum Beispiel von einem Getränkebehälter oder aus einer erkennungsdienstlichen Behandlung. Ein Porträtfoto für die Gesichtserkennung lässt sich mit einer guten Kamera aus der Ferne machen: Die meisten Entsperrmechanismen sind recht simpel zu umgehen.

Die Hersteller bauen immer neue Sicherheitsmechanismen ein: Ist das Iris-Abbild wirklich auf einer gekrümmten Linse oder nur auf einem ausgedruckten Foto? Ist das vorgezeigte Gesicht dreidimensional? Bauen sie eine neue Vorkehrung ein, versuchen Sicherheitsforschende sie zu umgehen – ein Katz-und-Maus-Spiel.

Also muss ein sicheres Passwort her. Aber wie sieht das aus? Wie viele Zeichen soll es haben und müssen wirklich Sonderzeichen rein? Wir haben eine Reihe Expert*innen zum Thema befragt.

Janik Besendorf vom Digital Security Lab der Reporter ohne Grenzen sagt: „Wichtig ist vor allem die Länge, weniger, wie viele Sonderzeichen und Zahlen ich da drin habe und ob ich Groß- und Kleinschreibung verwende.“ Grundlage ist die Logik: Je mehr Versuche nötig sind, um ein Passwort zu erraten, desto sicherer ist es.

Die Länge macht’s

Die Formel, um zu berechnen, aus wie vielen möglichen Kombinationen ein Passwort besteht: Menge der möglichen Zeichen hoch Länge. Ein vierstelliges Passwort aus nur Kleinbuchstaben hätte damit 26 hoch 4 Möglichkeiten – rund eine halbe Million. Eine vierstelliges Passwort aus den 95 druckbaren ASCII-Zeichen (Groß- und Kleinbuchstaben, Zahlen von 0 bis 9 und Sonderzeichen) böte dagegen über 80 Millionen Kombinationsmöglichkeiten.

Wenn man allerdings stattdessen bei den Kleinbuchstaben bleibt und das Passwort einfach auf sechs Buchstaben verlängert, landet man schon bei über 300 Millionen möglichen Kombinationen. Aufgrund der Exponentialfunktion ist die Länge des Passworts der entscheidende Faktor.

Das bestätigt auch Joachim Wagner, Pressesprecher im Bundesamt für Sicherheit in der Informationstechnik. „Früher hat man ja immer gesagt, wir brauchen eine Mischung aus Zahlen, Buchstaben, Sonderzeichen. Mittlerweile ist aber der Ratschlag, dass man als Passphrase durchaus einen Satz nutzen kann, solange er lang genug ist. Also alles über 20 Zeichen.“

Auch Janik Besendorf sagt: „So ganz grob geschätzt ist man ab 20 Zeichen schon sehr gut dabei.“ Eine gute und gut erforschte Methode, selbst Passwörter zu generieren, sei das Diceware-Verfahren. Dabei reiht man erwürfelte Wörter aneinander und verbindet sie dann eventuell noch mit Sonderzeichen. „Das ist die gängige Empfehlung der Wissenschaft und von Organisationen, die sich mit digitaler Selbstverteidigung beschäftigen“, sagt Besendorf.

Wann der Fingerabdruck reicht

Eine Ausnahme von der Minimum-20-Zeichen-Regel sind die Entsperrcodes mancher Smartphones. Aktuelle iPhones und aktuelle Google-Pixel-Telefone sind mit einem Sicherheitschip ausgerüstet, der hardwareseitig dafür sorgt, dass die Wartezeit zwischen den PIN-Eingaben von Fehlversuch zu Fehlversuch immer weiter steigt.

Alexander Paul von resist.berlin, einer digitalen Sicherheitsberatung vor allem für Aktivist*innen sagt: „Dadurch werden relativ kurze PINs auf diesen Geräten vergleichsweise sicher. Die Empfehlung ist, mindestens eine sechsstelligen, zufälligen PIN zu verwenden. Auf einem Pixel-Telefon wird der im Schnitt erst nach 1.300 Jahren geknackt“.

Menschen, die den Sicherheitschips nicht trauen, könnten stattdessen auch eine Kombination aus langem Passwort und Fingerabdruck nutzen, so Alexander Paul. Auf dem Google-Pixel-Telefon ließe sich eine Funktion einstellen, mit der man das Telefon im Alltag mit Fingerabdruck entsperre. Doch sobald man sich aus dem Profil abmeldet, wird das lange, sichere Passwort für den Zugang zum Telefon nötig. „Wer öfters auf Demos geht, kann sich das ruhig mal antrainieren“, sagt er.

Joachim Wagner vom Bundesamt für Sicherheit in der Informationstechnik empfiehlt allen Nutzer*innen, für besonders wichtige Accounts eine Zwei-Faktor-Authentifizierung einzurichten. Das heißt, neben dem Passwort braucht es noch eine weitere Information, um sich einzuloggen. Oft sind das einmalig nutzbare, generierte Codes.

Wichtig ist auch, für jeden Dienst ein eigenes Passwort zu verwenden. Sonst liegt bei einem Datenleck eines genutzten Dienstes potenziell die ganze digitale Identität offen. Und auch das heimische W-LAN braucht ein neues sicheres Passwort, da die voreingestellten Passwörter oft Teil von Datenlecks sind.

Passwortmanager und Datenlecks

Um die zahlreichen langen Passwörter zu verwalten, empfehlen Wagner, Besendorf und Paul einen Passwortmanager, der könne die guten Passwörter auch gleich generieren. „Dann muss ich mir nur ein starkes Passwort merken, das für den Passwortmanager“, sagt Wagner. Das müsse man sich dann aber wirklich gut merken, denn wenn es weg sei, seien es auch alle Zugänge.

Wagner darf als Behördenmitarbeiter keine Produktempfehlung abgeben, Besendorf empfiehlt: „Entweder Bitwarden oder KeepassXC, die sind beide Open Source, werden aktiv weiterentwickelt und haben erst kürzlich ein Audit veröffentlicht, da hat eine Sicherheitsfirma die auf mögliche Probleme überprüft.“

Bitwarden kommt mit einer Cloudanbindung, mit der die Passwörter synchronisiert werden. KeepassXC hat dafür einfach nur eine verschlüsselte Datei, die es den Nutzer*innen überlässt, wie sie die sichern und auf unterschiedlichen Geräten nutzen. Auch die Electronic Frontier Foundation empfiehlt KeepassXC.

Mit den Passwortmanagern ist es auch möglich, die Passwörter regelmäßig zu ändern. Schnellstmöglich sollte man das tun, wenn man sein Passwort auf einem nicht vertrauenswürdigen Gerät eingetippt hat oder das Passwort in einem Datenleck veröffentlicht wurde. Ob E-Mail-Accounts in solchen Datenlecks enthalten sind, lässt sich unter anderem auf haveibeenpwned.com herausfinden.

Man kann sich dort auch benachrichtigen lassen, sobald persönliche Accountdetails im Netz gefunden werden. Die Seite des Sicherheitsforschers Troy Hunt versammelt allerdings nur frei zugängliche Breaches. Wenn ein Account dort nicht verzeichnet ist, heißt das nicht, dass das Passwort dazu nicht bereits anderen Menschen bekannt ist.

Mehr Tipps zur digitalen Selbstverteidigung gibt es hier und unter netzpolitik.org/digitale-selbstverteidigung.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.