| Blog für Unternehmer
logo_Smarter_mittelstand_dunkel
Wer wettbewerbsfähig bleiben will, muss in Sachen Digitalisierung Gas geben. Wir helfen Ihnen dabei: Persönlich, wenn Sie zu unserer Veranstaltungsreihe „smarter_mittelstand – digitalisierung 4.0“ kommen. Oder digital, hier an dieser Stelle, wo wir Sie laufend mit handfesten Tipps, Anleitungen und Neuigkeiten versorgen.

Sicheres Passwort Wie sicher ist Ihr Passwort?

  • Serie
Ein sicheres Passwort ist anders: Facebook-Chef Mark Zuckerberg loggte sich Hackern zufolge mit "dadada" bei LinkedIn, Twitter und Pinterest ein.

Ein sicheres Passwort ist anders: Facebook-Chef Mark Zuckerberg loggte sich Hackern zufolge mit "dadada" bei LinkedIn, Twitter und Pinterest ein.© picture alliance / AP Photo

Mark Zuckerberg muss derzeit einigen Spott aushalten: Der Facebook-Chef wurde gehackt. Sein Passwort war geradezu lächerlich leicht zu knacken. Welche Passwörter am unsichersten sind - und Tipps für ein sicheres Passwort.

Mark Zuckerberg gehackt! Diese Meldung sorgte in den vergangenen Tagen für Schlagzeilen. Berichten zufolge hatten Hacker den Pinterest- und den Twitter-Account des Facebook-Chefs übernommen und die Meldung „Gehackt vom OurMine Team“ platziert. An das Passwort soll die Gruppe durch einen Hack des Karriere-Netzwerks LinkedIn gekommen sein – Zuckerberg hatte es also offenbar für mehrere Plattformen genutzt.

Für besondere Belustigung sorgte Mark Zuckerbergs Passwort: Nach Angaben der Hacker lautete es „dadada“. Eine Tatsache, die die Netzgemeinde spöttisch kommentiert – unter anderem mit folgendem Bild:

Doch auch, wenn nun viele über den Facebook-Chef lachen: Sicherheitsexperten zufolge ist er keineswegs der einzige, der es mit der Passwortsicherheit nicht so genau nimmt. So wurde 2015 kein Passwort häufiger geknackt als 123456, wie Forscher des Hasso-Plattner-Instituts in Potsdam analysierten. Allein 2015 hatten die Sicherheitsexperten fast 35 Millionen geraubte Identitätsdaten aus aller Welt aufgespürt; ein Großteil davon sind Passwörter. Cyberkriminelle hatten die Daten gestohlen und in speziellen Internetforen veröffentlicht.

Für seine Analysen kann das Institut auf einen Datensatz mit insgesamt 233 Millionen Passwörtern im Klartext zurückgreifen. Die vorliegenden Daten zeigen, welche Passwörter besonders beliebt sind: Neben Zahlenreihen und Zeichenfolgen auf der Tastatur sind auch Vornamen und Begriffe aus dem Wörterbuch häufig vertreten, beispielsweise – wenig originell – auf Platz 4: password.

Diese 20 Passwörter wurden 2015 am häufigsten geknackt

  1. 123456
  2. 123456789
  3. 12345678
  4. password
  5. qwerty
  6. adobe123
  7. 1234567
  8. 111111
  9. 12345
  10. 1234567890
  11. 123123
  12. iloveyou
  13. 000000
  14. 11111111
  15. abc123
  16. photoshop
  17. 1234
  18. 654321
  19. qwertyuiop
  20. princess

Passanten plaudern ihre Passwörter aus

Zur Sicherheit eines Passworts gehört natürlich auch, dass man es für sich behält. Sie würden ganz bestimmt nie einem Fremden das Passwort Ihres E-Mail-Accounts verraten. Oder vielleicht doch? Eine aktuelle Studie der Universität Luxemburg legt nämlich nahe, dass ein Großteil der Menschen nicht dichthalten kann, wenn es um das eigene Passwort geht: Forscher sprachen rund 1200 Menschen auf der Straße an und fragten sie nach ihrem Passwort. Einigen schenkten die Forscher vorher Schokolade, anderen erst, nachdem sie sie gefragt hatten. Die Schokolade machte offenbar redselig: 43,5 Prozent der Versuchspersonen verrieten ihr Passwort. Aber selbst unter denjenigen, die vorher nicht mit Süßigkeiten bestochen worden waren, plauderten 29,8 Prozent ihr Passwort bereitwillig aus.

5 Tipps für ein sicheres Passwort

Also: dicht halten und ein starkes Passwort finden. Die folgenden 5 Tipps helfen Ihnen dabei.

Ein komplexes Passwort erstellen
Ein sicheres Passwort sollte lang genug sein – das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt mindestens acht Zeichen. Darüber hinaus sollten Kombinationen aus Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern verwendet werden.

Laut BSI sollten diese nach Möglichkeit nicht in Wörterbüchern vorkommen. Namen von Familienmitgliedern, Freunden oder Haustieren sind ebenfalls tabu. Außerdem sollten keine gängigen Tastenfolgen auf der Tastatur – zum Beispiel qwertz1234 – verwendet werden.

Passwort nicht aufschreiben
Auch wenn Tasten-, Buchstaben- und Sonderzeichenkombinationen schwer zu merken sind: Passwörter sollten laut BSI nirgendwo notiert oder gar ungesichert auf dem Computer abgespeichert werden. Auch per eMail sollte man keine Passwörter versenden, empfehlen die Experten.

Sätze als Merkhilfe fürs Passwort nutzen
Um ein sicheres Passwort zu erstellen, das man sich dennoch leicht merken kann, empfiehlt das BSI eine einfache Methode: Man denkt sich einen Satz aus, benutzt dann von jedem Wort nur einen Buchstaben – und wandelt anschließend bestimmte Buchstaben in Zahlen oder Sonderzeichen um.

Der Satz „Ich gehe morgens ins Büro und mache um 18 Uhr Feierabend“ dann zu „IgmiBumu18UF“. Buchstaben kann man darüber hinaus durch ähnlich aussehende Zahlen ersetzen („I“ wird zu „1“, „E“ wird zu „3“). Und Sonderzeichen bringt man ins Spiel, wenn man beispielsweise „und“ durch das &-Zeichen ersetzt.

Wichtig ist bei dieser Methode, dass man sich tatsächlich selbst einen Satz ausdenkt – und nicht etwa bekannte Zitate aus der Literatur verwendet.

Voreingestellte Passwörter ändern
Bei der Registrierung auf Internetseiten werden häufig voreingestellte Passwörter zum ersten Einloggen verschickt. Diese Passwörter sollte man nach dem ersten Login tatsächlich umgehend ändern – auch wenn sie aus Zeichenkombinationen bestehen.

Verschiedene Passwörter verwenden
Ein einheitliches Passwort für alle Accounts ist leicht zu merken – aber auch ein hohes Sicherheitsrisiko. Wird ein Zugang geknackt, macht man Datendieben so den Zugriff auf andere Konten leicht. Deshalb gilt die Regel: Pro Account jeweils ein eigenes, sicheres Passwort.

impulse-Akademie: Strategie & Inspiration für Ihr Unternehmen
15 Kommentare
  • OFFISTRO 7. Januar 2016 00:02

    erstmal noch schnell ein Prosit Neujahr 2016,

    könnte man ja auch mal als PW benutzen !?
    Also, ich muß sagen, daß etliche Vorredner richtig liegen, so viele unterschiedliche PW’s kann man sich einfach nicht auswendig merken.
    Aufschreiben ja, aber Notiz nicht rumliegen lassen, sondern gut versteckt aufbewahren.
    Ich mache es manchmal so:
    z.B. ein PW aus dem Orient = Salam aleikum notiere aber in deutsch = Gruß Morgenland
    oder
    Carpe Diem – in deutsch = Anwendung nach Nachtstunden
    oder
    Kahira2012 – in deutsch = Urlaubsstadt aus 2012
    dies kann man beliebig fortsetzen, auch mit Buch- oder Filmtiteln, dazu Name v. Autoren/Schauspielern u. Erscheinungsjahr, etc.
    So gibt es reichliche Kombimöglichkeiten.
    Natürlich wäre es toll, wenn die Technik mal was erfinden würde, was diese PW’s überflüssig macht;

    Gruß vom Main

  • Eberhard Urban 6. Januar 2016 23:58

    ich habe meine Paßworte nicht gezählt, aber Bank-PINs und sonstige vorgegebene Geheimzahlen mitgezählt, sind es sicher um die 100; und nur die, die ich häufig benutze, habe ich auch im Kopf – und ich bin als ITler gut geübt in der Materie. Mit einer mit „Privatschlüssel“ veränderten Schreibweise lassen sie sich auch gut aufschreiben und sicher aufbewahren.

    Aber ein paar weitere Hilfen könnten sein:
    Wer Linux (z.B. openSUSE) statt Windows benutzt, kann den systemweiten Passwort-Safe benutzen, für dessen Öffnung ein eigenes Passwort benötigt wird, aber dann sind alle verwendeten Passworte gut verschlüsselt im System gespeichert, immer bequem zugänglich bzw. gleich an der richtigen Stelle und automatisch eingegeben – das ist sehr komfortabel.
    So etwas gibt es zum Nachrüsten auch für Windows, nicht ganz so umfassend, aber immerhin.

    Naja, und wer seine Passworte aufschreibt, sollte das nicht im Handy oder im Adressbuch des Computers tun, sondern einfach auf Papier; das kann man einstecken und mitnehmen. Klingt altmodisch, aber das Risiko, dass man es verliert oder es einem gestohlen wird ist eher gering, die Sicherheit vor einem Hacker aber beträgt 100%

  • Benedikt Grande 6. Januar 2016 22:30

    Das Thema ist insgesamt leider nicht so einfach.
    Während es für mich durchaus nachvollziehbar ist, dass jemand entweder immer dasselbe (oder nur wenige unterschiedliche) Passwörter oder simple, einfach zu merkende Passwörter verwendet, wenn die Zahl der potentiell zu merkenden Passwörter ein gewisses Limit (5 ist schon ganz gut) überschreitet, ist das natürlich gefährlich und sorgt für solche Listen…
    Eine Lösung zur passwortlosen Authentifizierung wird noch ein bisschen auf sich warten lassen (Ein vielversprechenden Ansatz, der auch schon z. B. von google (U2F, Zwei-Faktor-Auth) verwendet wird: https://de.wikipedia.org/wiki/FIDO-Allianz).
    Allerdings ist etwas, das man weiß (also nicht aufgeschrieben hat) zumindest theoretisch eine sehr sichere Variante. Sofern das Passwort nicht zu einfach oder immer dasselbe ist. Daneben gibt es die Faktoren: Besitz (z. B. ein FIDO kompatibler U2F-USB-Stick) oder eine Eigenschaft (Fingerabdruck, Iris, etc.).
    Die Faktoren Besitz oder Eigenschaft können prinzipiell eine passwortlose Authentifizierung ermöglichen, aber: Den Besitz kann man verlieren oder er kann geklaut werden und die Eigenschaften (z. B. Fingerabdruck) können gefälscht werden bzw. die identifizierenden Daten von einem Dienst entwendet und dann auch für den nächsten verwendet werden (dazu muss einem sowohl die Entschlüsselung als auch ein Reverse Engineering der Merkmale gelingen: http://www.wired.com/2012/07/reverse-engineering-iris-scans/).
    Aus diesen Gründen würde ich mich auch in Zukunft ungern nur auf einen Faktor und vor allem nicht auf einen passwortlosen verlassen… Eine gute Lösung in Kombination von mindestens zwei Faktoren mit Passwörtern sind One-Time Passwords: https://de.wikipedia.org/wiki/Einmalkennwort. Hier braucht man sich je nach Implementierung nicht unbedingt ein Passwort merken.
    Da aber die meisten Webseiten bzw. Dienst weder ein Zwei-Faktor-Auth oder Ähnliches anbieten, bleiben oft nur die (guten) Passwörter. Hier hilft ein Passwort-Manager ungemein weiter und ermöglicht einigermaßen sichere Passwörter (möglichst > 8 Zeichen, bei mir sind es nach Möglichkeit >=20) . Das Problem bei den Passwort-Managern wie z. B. PasswordBox, die verschlüsselte Container verwenden ist die Synchronisierung. Man muss entweder von Hand die Container-Datei auf verschiedene Geräte hin und her kopieren (oder schön bequem) durch die Cloud synchronisieren. Je nachdem, wie gut die Passphrase/das Passwort des Containers oder die Crypto-Implementierung des Dienstes/der App ist, sind die Daten dann im Falle eines Einbruchs im schlimmsten Fall relativ schnell mit einer schönen Liste in den Händen von wem auch immer.
    Um trotzdem plattformunabhängig zu guten und unterschiedlichen Passwörtern zu kommen, habe ich mich für ein reproduzierendes Verfahren entschieden: https://getvau.lt/ (es gibt noch diverse ähnliche). Und dazu eine (Chrome-) Extension (https://chrome.google.com/webstore/detail/easy-password-handling/fobokeococnhobjlfpkoibpjnajichnj) sowie eine Android-App (https://play.google.com/store/apps/details?id=bgrande.pwgenerator_android) entwickelt. Hier kann man mit einem dienstspezifischen Salt (z. B. der Domainname) und einer (prinzipiell immer gleichen) Passphrase pro Dienst ein anderes Passwort generieren lassen und bei jeder Verwendung reproduzieren, ohne sich die komplexen Zeichenketten merken zu müssen. Das ist um ein Vielfaches sicherer und dazu auch einfacherer als die meisten derzeit verwendeten Passwortverfahren (bei Ein-Faktor-Auth).

  • Gerhard Lorenz 6. Januar 2016 15:39

    Ich habe mir jetzt mal die Zeit genommen, und mir angesehen wie viele Passworte ich zur Zeit benutze – und auch aufgeschrieben habe. Es sind 224 verschiedene Passworte in der Länge von 8 bis 18 Zeichen mit Groß und Kleinschreibung, Satz und Sonderzeichen sowie Zahlen. Und einige der Passworte wurden mir vorgegeben – also kann ich mir diese nicht aussuchen, und diese Ändern sich jedes Monat!
    Es ist toll dass man sich die Passworte nicht aufschreiben soll, oder man Passworte in einer anderen Sprache verwendet, aber das alles ist nur für „kaum-Internet-Benutzer“ ausreichend, also wenn jemand z.B. NUR E-Mails abfragt und in einem online-Spiel aktiv ist.
    Solch ein Benutzer hat 2, 3 oder 4 Passworte und kann diese im Kopf verwalten, aber bitte keine 224 Passworte!
    Ich behaupte, es ist das Beste sich die Passworte aufzuschreiben. aber bei allen Passworten eine Regel der Verfälschung anzuwenden. Z.B. das 2x und vorletzte Zeichen miteinander auszutauschen und als 4. Zeichen das 1. nochmals zu wiederholen. Das ist es einfach, aber wer den Algorithmus nicht besitzt, der beisst sich die Zähne daran aus!

  • Volker Brinckmann 6. Januar 2016 14:42

    Ein ganz ANDERES THEMA !!
    Datensammler + Insolvenz = 6 Jahre + 3 Jahre (rote Alarm- Datenspeicherung !!Fast 10 Jahre permanente zwangsverordnete Bloßstellung des Menschen !! Alle sprechen von DATENSCHUTZ -aber der Wohnungssuchende insolvente Rentner auch im 6.Jahr MUSS sich immerwieder bis auf die Haut (persönlichste Daten ) ausziehen ,um die Gnade der Vermieter zu betteln !!WO bleibt denn da : die MENSCHENWÜRDE ist unantastbar ??!! Ein Grundrecht ?? Weiß ich denn ,ob der VERMIETER mit meinen DATEN sensibel umgeht ??Weiterverkauft ?Mich verunglimpft ??
    Wir haben diese Totur fast 5 Jahre aushalten müssen !!Vor allem als älterer Mensch gibt es KEINE RECHTE in dieser Insolvenzzeit.Es sei dahingestellt ,ob unverschuldet oder durch welche modernen Fallstricke auch immer !!

  • N.M. 6. Januar 2016 10:49

    Es sollte ein neue Methode der Sicherung gefunden werden. Ich denke, jedes Passwort ist unsicher und knackbar.

  • Alexander Finger 6. Januar 2016 10:21

    Hallo,

    der Beitrag ist recht eingängig geschrieben und beschreibt das Problem zutreffend, aber für eine intensivere Auseinandersetzung mit dem Thema wäre mindestens die Quelle, die das Ranking erstellt hat (vielleicht die hier? http://arstechnica.com/security/2015/09/new-stats-show-ashley-madison-passwords-are-just-as-weak-as-all-the-rest/), erwähnenswert. Jeder der sich weiter in das Thema vertiefen möchte steht doch nun nach dem Teaser vor dem Problem, wo weiter lesen? (recht alt, aber dennoch nütlich: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2011/Passwortsicherheit_27012011.html)

    Auch wäre es sinnvoll die bereits in den Kommentaren erwähnten Fragen zu Passwortmanagern und anderen Maßnahmen zu berücksichtigen. Wie jemand bereits schrieb, neben technischen Maßnahmen ist es unerlässlich die Mitarbeiter in Sicherheitsfragen zur Mitarbeit (= aktiven Teilnahme) zu bewegen, und nicht mit undurchsichtigen Regeln und spontanen Maßnahmen im Zweifelsfall „vorzuführen“ (= verunsichern und abschrecken).

    Und zu guter letzte sollte vielleicht auch auf die Möglichkeit durch Single Sign-On (https://en.wikipedia.org/wiki/Single_sign-on) oder Two-factor authentication (https://en.wikipedia.org/wiki/Two-factor_authentication) und OAuth (https://en.wikipedia.org/wiki/OAuth) geschützte Anwendungen zu etablieren.

    Mit besten Grüßen,

    Alexander Finger

    • Angelika Unger 6. Januar 2016 11:51

      Hallo Herr Finger,

      die Quelle ist wie im Artikel erwähnt das Hasso-Plattner-Institut. Hier ein direkter Link zu den Statistiken: https://sec.hpi.de/leak-checker/statistics

      Herzliche Grüße
      Angelika Unger vom impulse-Team

  • Stefan22 6. Januar 2016 10:12

    Mich würde interessieren, welche Passwörter die Schlauberger vom BSI verwenden, d.h. ob sie ihre eigenen Empfehlungen tatsächlich auch selbst umsetzen!

    …oder ob es denen auch wie den rauchenden Lungenärzten geht?!

  • Hans Katt 6. Januar 2016 09:54

    Was ist denn von Tools zu halten, die die unterschiedlichen Passwörter verschlüsselt speichern, da sich m. E. kein Mensch alle unterschiedlichen Passwörter merken kann?

    • Angelika Unger 6. Januar 2016 10:04

      Lieber Hans Katt,

      mit Passwort-Managern haben wir bisher zu wenige Erfahrungen gemacht, als dass wir eine Empfehlung auf Grundlage eigener Tests abgeben könnten. Nach unseren Informationen soll aber beispielsweise PasswordBox eine empfehlenswerte kostenlose Möglichkeit sein.

      Herzliche Grüße
      Angelika Unger vom impulse-Team

    • Jens Opitz 6. Januar 2016 12:52

      Tools zur Entschlüsselung arbeiten mit den gleichen Algorithmen und Zufälligkeiten!
      Die Deutsche Telekom hatte auf der CeBIT jeden noch so verrückten Code an ihrem Stand zur Darstellung der Datensicherheit geknackt. Bei der Verwendung von Sonderzeichen in Kombination mit Groß- und Kleinschreibung in deutscher Sprache dauerte es dann schon mal 12-15min.
      Kombination aus der Umschaltung auf eine 2 Sprache (Russisch oder ….) setzt sehr hohe Verarbeitungsgeschwindigkeiten in Zusammenarbeit mit einem Rechenzentrum voraus und das kann dann schon mal Tage dauern! Besser ist es 2 Sprachen zu verwenden, die außerhalb von Ländern des Anwenders liegen, der Grund dafür liegt in der Asymmetrie der zur Anwendung kommenden Algorithmen um Passwörter in Deutschland zu knacken, kommen andere Verfahren als in USA, Frankreich, England, Russland, China oder Israel zur Anwendung. Schlüssel in der Cloud zu verstecken kommt der Ablage des Haustürschlüssels unter dem Fußabtreters gleich!

  • Christoph Bernsmann 6. Januar 2016 09:48

    Danke für die anschauliche Aufklärung. Ich bin überzeugt eines der wesentlichsten Probleme ist doch die große Anzahl von verschiedenen Passwörtern, die ein durchschnittlicher User heutzutage verwalten und parat halten muß.
    Jede noch so kleine Anwendung erwartet ein sicheres Passwort und da werden die Benutzer halt schnell müde sich die Mühe zu machen jedesmal neue und möglichst sicher Passwörter zu finden. Ich jedenfalls habe meine liebe Mühe damit zahllose Accounts gepflegt zu halten und phantasievolle Passwörter zu finden. Es wäre an der Zeit, dass alternative und sicher Lösungen für eindeutige Identifikation der User sorgt. Bis dahin quälen wir uns alle weiter damit rum möglichst sicher unsere Daten zu verwalten.

  • Ralf Hermann 6. Januar 2016 08:44

    Wenn Sie Mitarbeiter davon überzeugen wollen, ein sicheres Passwort anzulegen, sollten Sie sich nicht auf das Passwort versteifen.

    Sie sollten den Mitarbeitern das Gefühl geben, mitverantwortlich für die Datensicherheit im Unternehmen zu sein.

    • Peter Becker 6. Januar 2016 10:05

      Die vielen verschiedenen Passwörter sind ein Problem, denn so viel kann sich kein Mensch merken. Und überall dasselbe zu verwenden enthält das Risiko, wenn an einer Stelle geknackt wird, sind alle anderen Accounts auch gefährdet.
      Ich habe das Problem für mich so gelöst:
      Ich nehme ein deutsches Wort,
      übersetze es in eine nicht allzu übliche Sprache (also nicht Englisch, mehr verrate ich hier nicht),
      Füge an (immer den gleichen) bestimmten Stellen ein Sonderzeichen ein,
      bei hohen Sicherheitsanforderungen kommt noch ein Großbuchstabe und eine Ziffer an einer bestimmten Stelle dazu.
      So kann ich mir den deutschen Ursprung meines Passworts sogar aufschreiben, aber wer den Algorithmus nicht kennt, dem hilft das nichts.

Hinterlassen Sie einen Kommentar

(Kommentare werden von der Redaktion montags bis freitags von 10 bis 18 Uhr freigeschaltet)

Bitte beantworten Sie die Sicherheitsabfrage (Anti-Spam-Schutz): * Time limit is exhausted. Please reload CAPTCHA.