Deutsch
English
Jedes Mal, wenn ein Jahr zu Ende geht, hagelt es "Top 10" aus den unterschiedlichsten Bereichen. Die meistgenutzten Babynamen, die Top-Automodelle, wer hat die meisten Follower auf Twitter? Alles öde. Eine Nachricht holte mich jedoch aus meinem Winterschlaf, denn aus ca. einer Milliarde gestohlener Datensätze wurden die beliebtesten Passwörter ermittelt. Würden wieder die alten Bekannten oben sein, gab es vielleicht doch einen allgemeinen Lernprozess? Doch was sich da tummelte, las sich schlicht wie eine Einladung für ungebetene Gäste.
Zwischen Geniestreichen wie Passwort, hallo123 und qwertz (schauen Sie mal auf Ihre Tastatur) fanden sich weit verbreitete Schimpfwörter, Kosenamen oder Fußballvereine. Vergleicht man dies mit der Sicherheit eines Hauses, würde man hier den Schlüssel auf die Fußmatte legen, mit Signal-Lampen auf diesen Umstand aufmerksam machen und dies noch alles in der lokalen Zeitung inserieren. Dabei sind gute Passwörter ganz einfach, selbst wenn man sich keine kryptischen Zeichenkolonnen merken möchte.
Hacker sind ja nicht dumm, schon seit Jahren kursieren enorme Listen mit den gängigsten Passwörtern, die dann über entsprechende Hacker-Programme geduldig nacheinander ausprobiert werden, bis eines dann passt. Experten gehen davon aus, dass mit der Liste der 1000 gängigsten Passwörter mehr als die Hälfte der Konten geknackt werden könnten, kein schöner Gedanke. Da viele Menschen für E-Mail-Adressen, Online-Shops wie Amazon oder soziale Netzwerke dasselbe Passwort nutzen, kann der Schaden schon für den Einzelnen immens sein. Dabei sind viele Anbieter schon bemüht, mit mehr Anforderungen (längere Passwörter, Groß- und Kleinschreibung, etc.) für mehr Sicherheit zu sorgen. In der Praxis wird häufig so aus einem 1234 ein 12345678, ein überschaubarer Fortschritt.
Der Rat der Profis ist eindeutig: Mindestens acht Zeichen lang, Groß- und Kleinschreibung, mit Sonderzeichen und Ziffern. Dabei sollen diese Passwörter keinen zu erratenden, persönlichen Bezug zu Ihnen haben und nicht in Wörterbüchern vorkommen, auch Lexika haben Hacker zum Ausprobieren parat. Lustige Muster auf der Tastatur oder benachbarte Buchstaben dort sind unsicher. Wie können wir uns aber diese erforderten Monster von Passwörtern merken? Es gibt da einige Tricks.
Denken Sie an einem Satz, der Ihnen geläufig ist oder den Sie notfalls nachschlagen können. Für mich wäre das zum Beispiel der letzte Satz von dem Film Zurück in die Zukunft: "Straßen? Wo wir hinfahren, brauchen wir keine Straßen!" Nimmt man nur die Anfangsbuchstaben und die Satzzeichen, kommt man auf: S?Wwh,bwkS! Ein wunderbares, kaum zu knackendes Passwort. Oder peppen Sie „normale“ Passwörter einfach etwas auf! Wenn man Buchstaben durch ähnliche Sonderzeichen oder Zahlen ersetzt, steigert man die Sicherheit enorm. Machen Sie z.B. aus einem Ulli-Ludwigshafen ein Ull1-Ludw1g$haf3n – auch hier dürften Hacker sich die Zähne ausbeißen und mit etwas Übung geht es ganz automatisch.
Nett ist auch, einen kurzen (aber individuellen) Satz einfach durchgehend zu schreiben. MeinHandyistvonSamsung ist schon recht sicher, ersetzt man dann noch Buchstaben durch Zahlen oder Sonderzeichen wie oben beschrieben (M31nHandy1$tvon$am$ung), ist man komplett auf der sicheren Seite. Oder Sie denken an Freunde oder Kollegen. So wird aus Henning Schmidt und Sabine Wohlers ein tolles HeSchmiSaWohle oder wie sie es auch immer am liebsten kürzen wollen. Und wem das alles zu kompliziert ist: Zwei Worte, die Sie miteinander verbinden, plus eine Zahl sind auch schon was. So verbindet ein Freund Begriffe, die für ihn passen und verbindet sie mit einer Jahreszahl. So kommt etwas wie DortmundDoener1993 zustande, was vielleicht nicht unknackbar ist, aber alle gängigen Passwörter weit hinter sich lässt.
Wer sicher sein will, aber seinem Gedächtnis nicht traut, kann immer noch auf Passwort-Manager zurückgreifen. Hier gibt es eine große Auswahl an Programmen mit Tonnen an Features, aber auch Freeware wie KeePass. Hier braucht man sich nur ein Passwort zu merken (oder eine Schlüssel-Disk erstellen, die man bei der Nutzung einlegen muss) und kann beliebig viele, auch unterschiedliche Passwörter nutzen. Viele Programme haben auch die Möglichkeit, komplett kryptische Passwörter zu erstellen und sie dann fortan für Sie zu verwalten. So sind Sie sicher unterwegs, ohne sich Unmengen an Passwörter merken zu müssen. Persönlich verlasse ich mich noch auf meine grauen Zellen, in ein paar Jahren werde ich bestimmt auch ein solches Programm nutzen. Sie wissen schon, der Zahn der Zeit.
Was mich interessieren würde: Haben Sie noch Tipps, wie man gute Passwörter erstellen kann? Haben Sie eine besondere Methode?
Das viele Seiten offenbar unendlich viele Versuche erlauben, ist auch ein teil des Problems! Nach spätestens 5 Versuchen sollte eine blackade für eine halbe Stunde o.ä. eintreten!
Es kommt auch daruf an, was für eine Seite das ist, man muß sich leider inzwischen für jeden Mist anmelden, da verwende ich dann einfach Passwörter.
Da ich die Passwörter aber sonst sowieso immer in Openoffice speicher, tippe ich einfach irgendeine kombination in die Tasten, speicher die und Füge die ins entsprechende Feld der fordernden Seite ein.
Bei mir ist das kostenlose Programm "HashCheck Shell Extension" installiert. Dann lege ich eine neue Datei an.
Ablauf
"Neues Textdokument.txt"
z.B. Passwort: SeinOderNichtSein
"Neues Textdokument.txt" umwandeln in "SeinOderNichtSein"
oder "SeinOderNichtSein.txt" anschließend rechter Mausklick auf die erstellte Datei und im Kontexmenü "Erstelle Prüfsummen-Datei" auswählen. Dort hat man MD5 oder besser SHA-1 zur Auswahl. Diese neu erstellte Datei enthält enthält bei MD5 eine 32- und bei SHA-1 eine 40-stellige Zahlen- und Buchstabenkolone. Das ist nur die vereinfachte Darstellung aber sicher genug um nicht Passwörter nicht auf dem PC zu speichern.
Ich habe über 100 eMail-Konten für jeden Anbieter eine separate eMail und ein separates Passwort. Ich trauen keinem Passwort-Manager bei einem Namenhaften Anbieter für Antivirenprogramm wurden die Konten geknackt und ich wurde nicht benachrichtigt. Ich erfuhr es durch Zufall bei heise. Daher ist mein Vertrauen zu Software gespalten.
… dazu hätte ich noch einen heiteren Betrag zu liefern, der bestimmt 15 Jahre zurück liegt.
Damals wollte ich eine Kollegen anhand eines Beispiels, die Art eines kryptischen Passwortes beibringen: „ Mein Onkel Erich ist 54 Jahre alt“ Also „MOEi54Ja“
Er schaute mich an und erklärte mir, dass er es nicht verwenden könne WEIL,
er hätte keinen Onkel Erich!
OK … damals war ich sprachlos ;-)
Das wäre ich wohl auch gewesen. :)
Hallo, Dieter!
Beim durchblättern der Kommentare bin ich auf Ihre Methode gestoßen. Über Jahre auch meine Art für das Anfertigen von Passwörtern. Vebinden mit Geburtsdaten und leich zu merkenden Sprüchen. "13ÜberallenWipfelnistruh012017"
"13ÜaWir012017" Gruß
Freut mich sehr, wenn hier Kommentare so viel Anklang finden! So soll es sein. :)
Sinnvoller Artikel mit schönen Tipps!
Ich möchte noch einen (ehr unlustigen) Kommentar beisteuern:
Ich bin Kunde bei der Postbank, betreibe dort Online-Banking. Als Nutzer achtet man ja hier eigentlich besonders auf Sicherheit.
Leider muß ich sagen, das bei der Postbank seit Jahren nur Zahlen und Buchstaben erlaubt sind, sonst nichts, keine Satz-/ Sonderzeichen oder sonstiges.
Unglaublich oder?
Die Bankenchefs sollten diesen Artikel dringend lesen!
Oh, ein Kommentar muss nicht lustig sein, Ihrer ist dennoch lesenswert. :) Ich weiß, einige Betrieber kennen keine Sonderzeichen, andere keine Umlaute. Das ist wirklich schade, denn so werden viele gute Kombinationsmöglichkeiten ausgehebelt oder Nutzer müssen ihre Methode umstellen. Gerade bei etwas so Wichtigem wie Banken ist das ärgerlich.
Das blöde dabei ist, bei etlichen Seiten kann man(n) gar kein vernünftiges Paßwort anlegen.
Da i.R. alles über die engl. Sprache läuft, macht es für mich Sinn ÜÄÖß mit einzubeziehen u.o. -_ etc.
Schon geht das Gemeckere los - geht nicht! So etwas speichere ich gar nicht u.s.w. Hier müßten (auch schön-m ü ß t e) die Anbieter mehr zulassen. Ansonsten hoffe ich, daß ich den Phishern, Pfuschern und wie sie alle heißen mit meinem Paßwörtern entkomme.
Mit deutschen Umlauten können internationale Seiten oftmals nichts anfangen, das stimmt. Wir sollten dafür sorgen, dass die ganze Welt in den Genuss von Ä oder ß kommt. :)
Ich verwende gern alte Kennzeichenkominationen meiner ehemaligen Fahrzeuge. So im Stil XX-XY 123. So sind Sonderzeichen,Leerzeichen und Zahlen enthalten. Genauso bewährt haben sich Fahrzeugbezeichnungen mit der Leistung oder Hubraum als Zahl hintendran, z.B. Jaguar XF 3,0 .
Klappte all die Jahre sehr gut.
Und hält nebenbei die Erinnerung an ein schönes Auto lebendig. Das sollte ich mal unseren Chefs empfehlen. :)
Auch mit dem "Zahn der Zeit" klappt die Dieter-Methode, lieber Sven ;)
Ich mache es seit langem ähnlich wie er: Die ersten Buchstaben eines Satzes, der auch Zahlen enthält ( Geburtstag, Hausnummer, Autokennzeichen), eingerahmt in Sonderzeichen, dahinter die ersten drei Buchstaben der jeweiligen Webseite.
Zu merken braucht man sich nur den einen Satz - die Webseite hat man ja vor sich ;)
Ich lege mir den Kommentar (bekomme ich auch immer als Mail) mal auf Wiedervorlage - morgen plus 10 Jahre. Dann teste ich das mal :)
Ich verwende das Firefox Add-on "Password Hasher".
Es errechnet aus einem einfachen, immer gleichen Wort und der besuchten Webseite ein angeblich sehr sicheres Passwort.
Mich würde mal interessieren, ob das von Fachleuten bestätigt werden kann.
Ich habe mal den Namen in unser Nerd-Büro hineingerufen und die Daumen gingen spontan nach oben. Verzeihen Sie mir bitte diese Art von Spontan-Recherche. :)
Eine Variante, die ich häufig nutze, besteht in der Kombination von Worten und Zahlen, die für mich leicht zu merken sind, nur daß ich die Buchstaben durch ihre lfd. Nr. im Alphabet ersetze bzw. Die Zahlen durch die jeweiligen Buchstaben.
So würde z. B. aus "ashampoo" und dem Datum des Endes des 2. Weltkrieges:
"1198113161515heaide"
Gruß
Ein coole Nummer, im wahrsten Sinne des Wortes. :) Danke für den Tipp!
Danke für die Tips
Gerne. :) Zudem hilft mir die Recherche auch immer selbst. Ich muss zugeben, dass ich einige Passwörter jetzt noch etwas aufgepeppt habe. Man kann ja nie wissen.
Ein sehr interessantes Thema, da ich mehr als 150 Passwörter verwende und keinem Passwortmanager traue, alle Programme haben Heimweh und werkeln im Hintergrund wie sie wollen.
150 Passwörter sind rekordverdächtig! Da komme selbst ich mit zig Accounts und diversen Passworten für Ashampoo-Systeme nicht drauf. :)
Ist das denn nicht eigentlich egal, wie schwer das Passwort ist, wenn die Daten zum Beispiel bei Yahoo geklaut werden?
Sicher ein wunder Punkt, den der Nutzer selbst *nicht* in der Hand hat. In diesem speziell Fall bringt auch das beste Passwort nichts und man kann nur hoffen, dass die Mechanismen des Betriebers greifen. Da viele der "Großen" allerdings noch nicht gehackt wurden, ist ein sicheres Passwort dennoch auf jeden Fall ratsam - für jede Seite ein anderes.
Passwortmanager sind ja ok. Aber was ist, wenn der PC komplett geknackt wird, komplett abschmiert, virenverseucht ist, geklaut wird etc. Dann sind alle Passwörter weg.
Eine weitere m.E. sehr sichere Methode, auch immer unterschiedliche Kennwörter zu verwenden, ist folgende.
Man nimmt einen Satz, den man sich merken muss und nimmt davon z.B. immer die 1. Buchstaben.
Beispiel: Ich gehe jeden 1.Samstag mit meinem Hund spazieren.
Das wäre dann: Igj1.SmmHs
Weiteres Beispiel:
Mein Sohn Peter hat am 23. März Geburtstag
MSPha23MG
Diese Buchstabenkomination bleibt immer gleich.
Nun nimmt man nach der Buchstabenkombination ein Sonderzeichen, z.B. *.
Nach dem * nimmt man sodann z.B. die ersten vier Buchstaben der jeweiligen Website, auf der man sich anmeldet. Bei Amazon wäre das z.B. Amaz ;
bei Ashampoo (auf dieser Site): blog,
je nachdem welche Bustaben direkt nach http//... angezeigt werden.
Zusammen wäre das dann:
Igj1.SmmHs*amaz oder
Igj1.SmmHs*blog
Der Vorteil ist, man verwendet für jeden Site ein anderes, kaum zu knackendes Kennwort, welches man sich, obwohl sehr kompliziert aussieht, leicht merken kann.
Man kann es noch schwieriger machen, wenn man nach dem letzten Buchstaben nochmal ein Sonderzeichen einfügt, z.B. bei Buchstaben A-K ein ! bei Buchstaben L-Z ein ?
Dadurch wird es noch schwieriger, aber der Anwender braucht sich im Prinzip nichts merken, nirgendwo aufschreiben oder hinterlegen, da alle Kennwörter nach dem gleichen System aufgebaut sind.
Eine hochinteressante Methode! Danke!
ich möchte hier nicht beschreiben, wie meine Passwörter konfiguriert werden. Aber es gibt Fremdsprachen (waren Sie schon mal in Italien, Griechenland oder irgendwo in Afrika?) oder Familienname von Verwandschaft (nicht der Bruder meines Vaters!). Wie wäre es mit dem Geburtsnamen der Großmutter mütterlicherseits und dazu vielleicht noch deren Geburtsjahrgang mit einem & verbunden? Der Name des Chefs mit mit einem anderen geläufigen Namen verbunden?
Die Möglichkeiten sind endlos - auch die der Sicherung. Ich sichere auf einem Memory-Sick und vergesse dabei nicht, die temporären Dateien (vor der endgültigen Speicherung) mit einem Löschprogramm (WinOptimizer) zu löschen. Wo der Memeory-Stick liegt, verrate ich natürlich nicht.
Ich wollte nun auch nicht Ihr Passwort wissen. :) Aber im Ernst, Ihre Tipps sind gut, das sind weitere, sichere Möglichkeiten!
mit den Programmen ist auch so eine Sache. Ich hab zwar PC und Laptop, aber wenn der PC mal total kaputt geht, dann muß man darauf achten, dass man die Daten des Passwortprogramms auch irgendwo anders gesichert hat, wenn man das Programm auf den neuen PC aufspielt. Muß ich also auch viel denken und aufpassen. Am besten ist es wirklich, sich einen einfachen Satz zu merken, den kürzen und mit Zahlen und Sonderzeichen aufpeppen. Somit kann man das gut behalten und ist trotzdem auf der sicheren Seite. Ich möchte nicht alles an ein Programm abgeben. Was mal passiert, wenn man alles über sein Smartphone steuert und das mal geklaut wird ...??? Ich finde es toll, was alles möglich ist, man muß aber nicht alles anwenden und Kopf und Hände weiter gebrauchen, dann bleibt der Kopf auch fit.
So halte ich es auch. Allerdings merke ich langsam, dass es mir nicht mehr so leicht wie früher fällt, alles schnell verfügbar im Kopf zu haben.
Ich nutze auf PC, Mac und Android immer KeePass mit einer jeweils lokalen Schlüsseldatei.
Die verschlüsselte Passwort-Datenbank synchronisiere ich über die (private) Cloud.
Ich verwende immer 20 Zeichen lange, automatisch generierte Passwörter, die den üblichen 4 Kriterien entsprechen.
Die z.B. bei Online-Käufen am Handy notwendigen Cut&Paste-Aktionen dauern natürlich länger, aber ich bin safe.
Die Mühe lohnt sich auch, denke ich. Leider müssen viele erst mal schlechte Erfahrungen machen, bevor sie *etwas* Mühe in ihre Passwörter stecken.
Sehr richtig die Mahnung. Aber leider lassen selbst sensible Unternehmen (z.B. Banken) nicht immer Sonderzeichen zu. Unverständlich, aber trifft tatsächlich zu. Deren IT-Abteilung gehört "der Marsch geblasen". Hier gibt es noch viel aufzuklären.
Das ist in der Tat etwas gruselig, was da teilweise von professioneller und auch behördlicher Seite geboten wird. 1234 und Konsorten sind leider nicht auf den privaten Bereich beschränkt. Ich kann Ihnen aber versichern, selbst das Ashampoo-WLAN-Passwort ist ein echtes Monster, wir sind da sicher. :)
Man könnte Hash-Werte oder Teile davon einer persönlichen Datei nehmen. Ich kann mir die Zahlenkolonne nicht merken, weiß aber wo ich sie wieder herbekomme.
Hallo Herr Krumrey,
ich halte es, trotz moderner Technik und recht guten IT-Kenntnissen, mit der guten alten Karteikarte. Bevor ich irgendwo ein neues Passwort eingeben soll, schreibe ich mir irgendwelche "unsinnigen" Zeichen auf. Die werden dann auf die Karteikarte übernommen. Das macht zwar Arbeit und dauert länger, aber ist wohl die sicherste Methode.
Leider erlauben einige Anbieter ( auch Banken !! ) nur kurze Paßworte oder keine Sonderzeichen.
Außerdem habe ich mir eine eigene Domain zugelegt. Jeder neue Händler oder Anbieter, der eine Mailadresse von mir benötigt, bekommt somit eine andere Adresse.
Damit verlieren auch Mails, die angeblich von Amazon, Paypal usw. kommen, ihre Wirkung. Fake-Mails erkenne ich daher sofort und lösche sie. Das war´s.
Das macht zwar etwas Mühe, hat sich bisher aber bewährt.
Kurt Kroll
Das klingt nach einem bewährten Verfahren. Finde ich gut, es geht ja um Sicherheit und nicht darum, sich möglichst futuristische Methoden dafür auszudenken.
Die Anleitung ist zwar recht und gut,nur,für jeden OnlineShop und alle OnlineSeiten, die man heutzutage öfter aufsucht (und das kann leicht in die 100 gehen) ein unterschiedliches Password sich auszudenken und zu merken ist schlichtweg unmöglich. Deshalb geht meiner Meinung nach nichts an einem guten PasswordManager vorbei. Ich benutze schon seit Jahren den Passwordmanager AMP, kostenlos und auf die Hauptsache, das Generieren von guten Passwords und das vernüftige Handeln ohne den Firlefanz, den manche anderen mitbringen (und den die Wenigsten brauchen) ausgerichtet.
Gruß Hermann
Ja einen Passwort Manager zum erstellen von sicheren Passwörtern mit sämtlichen Sonerzeicgen. Habe einen solchen in einem Programm integriert... könnte durchaus dem WinOptimizer noch hinzugefügt werden.
Das gebe ich gleich mal nach nebenan weiter. :)