IT-Sicherheit für Einsteiger: Sesam öffne Dich

In einer taz.de-Serie beschäftigen wir uns diese Woche täglich mit dem Thema IT-Sicherheit für Einsteiger. Heute Teil 4: Wie man sichere Passwörter wählt und sie bequem verwendet.

Vorsicht! Ohne sicheres Passwort gibt es schnell ein böses Erwachen. Bild: ap

BERLIN taz | Eigentlich hängen all unsere Online-Leben an einem seidenen Faden: Fast jeder Dienst im Netz wird allein durch eine Kombination aus Zugangsnamen und Passwort geschützt. Wer eine der beiden Zeichenketten kennt, kann vielleicht die andere erraten oder sich technischer Möglichkeiten bedienen, um ihr auf die Schliche zu kommen - so genannte "Brute Force"-Angriffe, die, wenn nötig, Millionen Passwortvarianten durchgehen. Um so wichtiger ist es, möglichst gute Zugangsgeheimnisse zu wählen und sich dabei an einige grundlegende Sicherheitsregeln zu halten.

Die wohl wichtigste: Niemals ein Passwort mehrmals verwenden. Selbst mancher Online-Profi hält sich nicht an diese Vorgabe. Allerdings bedeutet dies im schlimmsten Fall, dass ein Angreifer nicht nur ins eigene E-Mail-Programm, sondern beispielsweise an den Facebook-Account, die Amazon-Einkäufe oder die iTunes-Bibliothek gelang kann. Hinzu kommt die Art des Passworts: Begriffe, die in einem Wörterbuch stehen, sollte man vermeiden. Sie sind durch "Brute Force"- oder Lexikon-Attacken, bei denen einfach alle Worte der deutschen oder englischen Sprache durchgegangen werden, viel zu einfach zu brechen.

Stattdessen sind scheinbar sinnlose Ketten aus Groß- und Kleinbuchstaben, Zahlen und zugelassenen Sonderzeichen - Punkt, Komma, Semikolon, Fragezeichen, Ausrufezeichen Plus und Minus gehören meistens dazu - angesagt. Wichtig ist die Passwortlänge: Acht Zeichen sind das Minimum, zehn oder zwölf sind besser. Das macht es Angreifern deutlich schwerer.

Beim Merken hilft die altbewerte Eselsbrücke. So kann man sich beispielsweise ein Sätzchen in Groß- und Kleinschreibung, mit Punkt, Komma oder Ausrufezeichen zurechtlegen und davon dann nur die Anfangsbuchstaben verwenden. Aus "Ich lese jeden Morgen fröhlich und heiter die taz!" wird dann beispielsweise "IljMfuhdt!" - schon hat man ein Passwort, das schwer zu brechen ist.

Allerdings löst sich so nicht das Problem, dass für jeden einzelnen genutzten Dienst ein eigenes Passwort gewählt werden muss. So müsste man sich dann eben 20 oder 30 Sätzchen merken - inklusive Nutzernamen, den man ebenfalls regelmäßig aus Sicherheitsgründen variieren sollte. Als Gedächtnisstütze bieten sich deshalb spezielle Programme an, so genannte Passwortmanager. Jeder moderne Browser verfügt inzwischen über diese Technik, egal ob Firefox, Safari oder Internet Explorer. Alle bieten dem Nutzer an, sich Passwörter zu merken. Allerdings sind diese Mechanismen nicht unbedingt gut geschützt: Man muss dann nicht einmal ein Passwort eingeben, damit der Browser die gespeicherten Passwörter freigibt. Sollte der eigene Rechner in fremde Hände geraten, kann der Angreifer die Passwörter zwar nicht mehr sehen, weil sie hinter "****" versteckt sind, funktionieren tun sie aber.

Aus diesem Grund bietet sich an, über die Anschaffung eines speziellen Passwortmanagers nachzudenken. Diese Programme helfen bei der Erstellung von Passwörtern, speichern sie gut geschützt und sind selbst wiederum nur dann nutzbar, wenn man ein zentrales Passwort eintippt. Unter Windows bietet sich dazu beispielsweise die Open-Source-Software "KeePass" an, die auch einen eigenen Passwortgenerator enthält. Sie setzt dann sichere Passwörter in ein Web-Formular ein und speichert sie sofort. Auf dem Mac gilt die kostenpflichtige Lösung "1Password" als besonders beliebt. Auch sie generiert sichere Passwörter, über einen im Mac-Betriebssystem eingebauten Generator, der sogar die Auswahl zwischen verschiedenen Passwortarten lässt und speichert sie in einer zentralen Datenbank. Praktisch ist dabei auch das so genannte "Wallet"-Feature: Es generiert auf Wunsch Profildaten für E-Commerce-Angebote, die man dann nicht mehr eintippen muss. Sinnvoll ist ebenfalls, dass man mit Hilfe des Passwort-Managers relativ einfach Änderungen vornehmen kann. Wer über Jahre die gleichen Passwörter benutzt, geht ein unnötiges Risiko ein.

***

Dieser Text ist für Sie kostenlos verfügbar. Dennoch wurde er nicht ohne Kosten hergestellt! Wenn Ihnen der Text gefallen hat, würden wir uns freuen, wenn Sie der taz dafür einen kleinen Betrag bezahlen. Das können wenige Cent sein - wir überlassen es Ihnen.

Für unabhängigen Journalismus: taz-Konto 39316106 | BLZ: 10010010 | Postbank Berlin - Verwendungszweck "taz.de".