Passwortregeln werden leider noch an vielen Stellen als Stand der Technik betrachtet. Tatsächlich gelten sie schon seit Jahren als veraltet.
Passwortregeln werden leider noch an vielen Stellen als Stand der Technik betrachtet. Tatsächlich gelten sie schon seit Jahren als veraltet. © AdobeStock

Passwörter: Diese Programme helfen Ihnen, sichere Passwörter zu erstellen

Die Unternehmenssicherheit hängt auch von sicheren Passwörtern ab. Ein einziges offengelegtes Passwort kann genügen, um sämtliche Vorsichtsmaßnahmen auszuhebeln. Sichere Passwörter sind aber meist schwierig zu merken. Spezielle Programme helfen, sichere Passwörter zu erstellen und den Überblick zu behalten.

Studien zufolge sollen über 80 Prozent aller Datenschutzverletzungen auf gedankenloses oder fehlerhaftes Handeln zurückzuführen sein. Phishing-Angriffe und die Wiederverwendung von Passwörtern haben daran einen großen Anteil. Fast alle Nutzer wissen, dass dasselbe oder ein ähnliches Passwort nicht für mehrere Konten genutzt werden soll. Die meisten tun es dennoch.

Passwörter klingen banal und sind trotzdem von großer Bedeutung für die Sicherheit in der IT. Eine der wichtigsten Regeln für Passwörter ist: Geben Sie es wirklich nur an der Stelle ein, für die es gedacht ist. Seiten für einen Passwort-Check – für die Prüfung der Sicherheit des eigenen Passwortes – sollten Sie unbedingt meiden, denn der vermeintlich fürsorgliche Dienst könnte von Phishern betrieben werden, die nur darauf abzielen, von Nutzern Zugangsdaten zu erbeuten.

Quälende Regeln

Passwortregeln werden leider noch an vielen Stellen als Stand der Technik betrachtet. Tatsächlich gelten sie schon seit Jahren als veraltet: Die US-Behörde „National Institute of Standards and Technology“ (NIST) rät bereits seit 2017 davon ab. Die meisten Nutzer sind davon ohnehin genervt: Groß- und Kleinbuchstaben, mindestens eine Zahl und ein Sonderzeichen, aber nicht alle. Das führt am Ende keineswegs zu einem sicheren Passwort, zumal die Regeln bei jedem Dienst ein bisschen anders ausfallen. Die Nutzer? Am Ende nur verwirrt und wählen fast logischerweise kein sicheres Passwort.

Es gibt viele Wege zu sicheren Passwörtern und sie müssen nicht unbedingt immer einen bunten Mix aller Zeichen enthalten: Wichtig ist vor allem, lange Passwörter zu wählen und sie nicht in identischer Form bei unterschiedlichen Diensten zu nutzen. Hat ein Anbieter ein Datenleck, ist das Passwort sogleich bekannt und kann bei anderen Diensten ausprobiert werden.

Neben der Nutzung desselben Passwortes bei mehreren Diensten gibt es noch weitere grundlegende menschliche Fehler bei der Wahl eines vermeintlich sicheren Passwortes, wenn es einen Bezug zum Nutzenden selbst oder dessen Arbeitgeber hat oder in Bezug zum genutzten Dienst steht.

Passwörter werden heute nur noch selten händisch geknackt. Normalerweise übernimmt eine Software diese Aufgabe und probiert unzählige Varianten automatisch.

Passwortmanager benutzen

Ein Passwortmanager ist eine gute Wahl: Das Tool übernimmt die Generierung eines zufälligen Passwortes samt Speicherung. So muss man es sich nicht einmal mehr merken und es wird wirksam verhindert, dass sehr einfache Passwörter der Vergangenheit angehören.

Die beliebtesten Passwörter in Deutschland sind noch immer 123456, 123456789, 1Qaz2wsx3edc, 12345, password und qwertz. Passwortmanager verwahren Benutzernamen und Passwörter verschlüsselt und sind nur mithilfe eines Masterpasswortes nutzbar. Auf diese Weise muss man sich selbst nur noch ein Passwort merken. Das aber sollte natürlich besonders sicher sein, denn wer Zugriff auf den Inhalt des Passwortmanagers erhält, dem stehen sämtliche Benutzernamen und Passworte für alle hinterlegten Dienste offen.

Ebenso ungünstig ist es, das Masterpasswort zu vergessen. Denn dann sind im unglücklichsten Szenario alle Daten verloren. Weit verbreitete Passwortmanager sind etwa Keepass, Bitwarden, 1Password, Lastpass und Heylogin. Lösungen aus der Cloud haben den Vorteil, dass der Zugang von überall und jedem Endgerät aus möglich ist. Da es sich aber um besonders sensible Informationen handelt, ist der Anbieter selbst die Schwachstelle.

Auch für herkömmliche Passwortmanager gibt es Synchronisationsdienste, um einen Zugriff über unterschiedliche Endgeräte zu gewähren. Die Anwendung Heylogin verzichtet auf das Masterpasswort und nutzt stattdessen den Sicherheitschip des Smartphones. Der Zugriff wird über das jeweilige Anmeldeverfahren des Smartphones geschützt, also etwa die Geräte-PIN oder den biometrischen Fingerabdruck.

Sicherer: Zweiter Faktor

Sehr sinnvoll ist die Nutzung einer Zwei-Faktor-Authentifizierung (2FA), die sich bei immer mehr Diensten aktivieren lässt. Das hat den Vorteil, dass Kriminelle selbst mit dem Benutzernamen und Passwort nicht den Zugriff auf eine Anwendung erlangen können – egal, ob die Zugangsdaten durch Ausprobieren, das Abgreifen oder aus einem Datenleck stammen. Neben Benutzernamen und Passwort wird bei 2FA eine weitere Komponente benötigt, um einen Zugriff zu erhalten, beispielsweise per E-Mail, SMS oder App. Die E-Mail hat unter Sicherheitsspezialisten keinen guten Ruf als Weg zu mehr Sicherheit. Wenig verlässlich ist auch die SMS, da sie über verschiedene Varianten leicht abgefangen werden kann. Eine separate App wird von vielen Anbietern als eigenes 2FASystem angeboten. Wer sich bei einer Anwendung anmeldet, erhält eine Push-Nachricht auf das Smartphone und wird erst nach einer Bestätigung am Smartphone an der eigentlichen Anwendung angemeldet.

Darüber hinaus gibt es noch TOTP („Time-based One-time Password“): Alle paar Sekunden wird ein neuer Code generiert, der nur dem Anbieter und dem Anwender bekannt ist. Die Code-Generierung kann mittels Software erfolgen. Das Verfahren gilt als relativ solide und nur bei aufwändigen Phishing-Angriffen als anfällig.

Noch sicherer ist die Nutzung von USB-Sticks, bei denen man durch Druck auf eine kleine Kontaktfläche einen recht komplexen Austausch von Sicherheitsmerkmalen im Hintergrund auslöst. Eine recht hohe Verbreitung weist inzwischen der Yubikey in unterschiedlichen Ausführungen auf. Eine vergleichbare Alternative ist der Nitrokey. Apple, Google und Microsoft arbeiten außerdem daran, dass künftig gar keine Passwörter mehr zum Einsatz kommen – Passkeys sind die Lösung. Sie werden auf neuen Endgeraten automatisch bereitgestellt. Bis sie sich durchsetzen, dürfte allerdings noch etwas Zeit verstreichen.