Das beste Passwort – kein Passwort!

Wer kennt es nicht, das Problem, sich mehrere Passwörter zu merken, die auch noch sicher sein sollen? Im täglichen Arbeitsleben und auch im Privatleben werden wir immer wieder damit konfrontiert. Als IT-Profi sogar noch mehr, da wir uns zusätzlich Systempasswörter merken müssen. Selbst bei modernen zwei- und oder sogar drei-Faktor-Authentifierungslösungen besteht einer der Faktoren aus einem Passwort.
So kommt es nicht selten vor, dass sich Personen die Passwörter aufschreiben. Was natürlich nicht der Sinn der Sache ist. Solche Post-it findet man noch heute an vielen Computermonitoren. Es macht die Sache übrigens nicht wesentlich besser, wenn diese unter der Tastatur angebracht werden. Und auch die digitale Version auf dem Desktop ist keine gute Alternative. Ach ja, wenn wir schon beim Thema sind: Der Name der Katze, der Freundin, das Geburtsdatum oder die Lieblingsfarbe sind auch keine gute Idee.

Doch warum müssen die Passwörter so komplex sein? Und warum müssen wir sie bei immer mehr Systemen mehrmals jährlich ändern? Schliesslich ist es ja nicht so einfach, ein Passwort zu erraten. Jeder hat das doch im Geheimen schon mal ausprobiert. Die Antwort darauf ist einfach: Es gibt immer mehr frei verfügbare Tools und Methoden wie Dictionary Attacks, Brute-
Force Attacks oder Pre-Computation Attacks mit denen – genügend Zeit und Computerressourcen vorausgesetzt – jedes Passwort geknackt werden kann. Es geht also darum, den Aufwand dafür möglichst zu erhöhen. Deshalb sollten die Passwörter auch immer wieder geändert werden. So muss der Angreifer mit dem Versuch, sie zu brechen, immer wieder von vorne beginnen.

Und es wird noch komplexer! Manche Systeme verlangen ein Minimum an Zeichen in einem Passwort oder sind beschränkt auf ein Maximum.
Letztere sind meist alte Systeme die unbedingt aktualisiert werden sollten. Ein sicheres Passwort sollte aus mindestens 14 Zeichen oder mehr
bestehen. Weiter sollten Sonderzeichen und Gross-/Kleinschreibung enthalten sein. Und zuletzt muss man es noch alle paar Monate ändern. Sie fragen nun sicher, wie sich jemand mehrere solcher komplexen Passwörter merken soll.
Die Antwort darauf ist einfach: Benutzen Sie kein Passwort! Der Trick ist folgender: Benutzen sie eine sogenannte Pass-PHRASE! Eine Passphrase ist ein Passsatz. Das können zum Beispiel folgende Sätze sein: «Meine Tochter, die ist 13 Jahre alt.» oder «Warum ist die Banane krumm?»

Sie können auch einen Satz aus einem Gedicht, oder eine Strophe Ihres Lieblingsliedes wählen.
Passphrasen lassen sich viel einfacher merken als kryptische Passwörter, die nicht aus einem Passsatz bestehen, und sind schon alleine durch ihre Länge sicherer. Denn auch wenn kurze Passwörter sehr kryptisch aussehen wie beispielsweise «-aLoof=*», lassen sie sich in relativ kurzer Zeit knacken. Durch die Gross- und Kleinschreibung und die Satzzeichen bestehen die oben genannten Passphrasen auch harten Komplexitätsrichtlinien. Und schön daran ist, dass Sie sich die Gross- und Kleinschreibung und die Satzzeichen einfach merken können. Und vergessen Sie nicht, die Passphrasen regelmässig zu ändern.

Heutzutage versuchen immer mehr Firmen, aktiv die Passwörter ihrer eigenen Mitarbeiter zu knacken, was sehr zu empfehlen ist. Das soll die Angestellten anspornen. Mit ein bisschen Fantasie kann ein solcher Passsatz auch für Passwörter verwendet werden, die auf wenige Stellen begrenzt sind. Dazu verwendet man einfach nur die Anfangsbuchstaben oder Teilmengen des Passsatzes. Dabei sollte darauf geachtet werden, dass trotzdem Satzzeichen oder andere Sonderzeichen miteinfliessen. Das könnte bei einem auf wenige Stellen begrenzten Passwort so aussehen: «MT,di13Ja.». Die Passphrase dazu kennen Sie ja.