Ist Ihr Passwort sicher? Jedes Jahr im Dezember veröffentlicht das Hasso-Plattner-Institut (HPI) in Potsdam das Ranking der beliebtesten deutschen Passwörter. Berücksichtigt werden hierbei die Passwörter aus sogenannten „Leaks“. Einerseits kann dies aus unverschlüsselt abgelegten Passwort-Datenbanken der jeweiligen Diensteanbieter stammen, andererseits resultieren derartige Leaks auch oftmals aus unsicheren Passwörtern selbst, deren Verschlüsselung („Hash-Wert“) aufgrund einer unzureichenden Komplexität des Passworts und der Verschlüsselungstechnik umgekehrt werden kann.
Passwort als Authentisierungsmerkmal
Passwörter dienen dem Schutz unserer Kundenkonten, Online-Profilen und somit auch unserer digitalen Identitäten. Ähnlich wie bei einem Schlüssel für die Wohnungstür, ist ein Zutritt zum jeweils geschützten Bereich ausschließlich für den Besitzer des korrekten Passwortes möglich. Umso wichtiger ist es, unsere „digitalen Besitztümer“ ähnlich wie diese der analogen Welt zu schützen.
Ein Passwort muss grundsätzlich geheim bleiben, sodass ein Zutritt durch Unbefugte erschwert wird. Auch wenn zu keinem Zeitpunkt ein hundertprozentiger Schutz erreicht werden kann, sollten grundlegende Maßnahmen in jedem Fall umgesetzt werden. Auch ein Wohnungseinbruch kann nur in seltenen Fällen gänzlich verhindert werden. Oftmals sind es jedoch die vielen kleineren Dinge, welche die Wahrscheinlichkeit, Opfer eines solches Verbrechens zu werden, erheblich reduzieren.
Damit ein Passwort geheim bleibt, darf es unter keinen Umständen mit weiteren Personen geteilt werden. Auch das Notieren eines Passwortes auf Klebezetteln und das Anbringen dieser in unmittelbarer Nähe zu den Endgeräten sorgt für ein erhebliches Risiko. Unbestritten ist es unmöglich eine Vielzahl von komplexen Passwörtern verlässlich im Kopf zu behalten. Hierzu sollten sogenannte „Passwortmanager“ genutzt werden. Zu diesem Thema hält auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) einige Empfehlungen bereit.
Zusätzlich muss ein Passwort über eine ausreichende Länge und Komplexität verfügen, um mit einer großen Wahrscheinlichkeit vor gängigen Angriffen geschützt zu sein.
Beliebte Passwörter: Geringe Länge, Geringe Komplexität
Das alljährlich veröffentlichte Ranking des Hasso-Plattner-Institutes zeigt jedoch, dass viele Passwörter nur über eine geringe und Komplexität verfügen sowie sich darüber hinaus an offensichtlichen Tastatur-Mustern bedienen. Der Schutz derartiger Passwörter ist denkbar gering.
Die Top Ten der Passwörter im Jahr 2022
- 123456
- 123456789
- 1qay2wsx3edc
- 12345
- password
- qwertz
- ficken
- 12345678
- passwort
- ebels123
Die Top Ten der Passwörter im Jahr 2021
- 123456
- passwort
- 12345
- hallo
- 123456789
- qwertz
- schatz
- basteln
- berlin
- 12345678
Die Übersichten der letzten beiden Jahre zeigen deutlich, dass die Varianz der unsicheren Passwörter zumeist ebenfalls gering ist. Die hier aufgelisteten Passwörter sind selbstverständlich auch potenziellen Angreifern bekannt, sodass im Falle eines sogenannten „Brute-Force-Angriffs“ (Passwortknacken durch Ausprobieren) diese Passwörter zu Beginn getestet werden.
Die Wahl eines sicheren Passwortes
Ein sicheres Passwort sollte über mindestens zehn bis zwölf Zeichen verfügen und dabei Groß- und Kleinschreibung, Ziffern sowie Sonderzeichen enthalten. Für besonders sensible Zugänge, wie zum Beispiel die zum Online-Banking oder zum Router, empfehlen sich längere Passwörter von mindestens 20 Zeichen.
Um sich komplexe Passwörter dennoch gut einprägen zu können, eignen sich unterschiedliche Hilfsstrategien: Zum einen kann ein beliebiger Satz gebildet werden, von dem die Anfangsbuchstaben eines jeden Wortes das Grundgerüst bilden. Im Anschluss können bestimmte Buchstaben in sich ähnelnde Ziffern oder Sonderzeichen umgewandelt werden. Zum anderen können aber auch einzelne, durch Ziffern und Sonderzeichen verbundene Wortgruppen ein sicheres Passwort darstellen. Darüber hinaus empfiehlt sich die Nutzung des zuvor erwähnten Passwortmanagers.
Die ausschließliche Ergänzung von einfachen Ziffern oder üblichen Sonderzeichen am Anfang oder Ende eines einfachen Passwortes ist nicht empfehlenswert. Als Passwort gänzlich ungeeignet sind Namen von Bekannten, Freunden und Familienmitgliedern, Geburtsdaten oder gängige Wiederholungs- und Tastaturmuster, wie beispielsweise „1234abcd“oder „asdfgh“. Auch sollte das vollständige Passwort möglichst in keinem Wörterbuch vorkommen.
Darüber hinaus sollten Passwörter nur einmalig vergeben werden. Eine regelmäßige anlasslose Änderung ist hingegen nach Ansicht des BSI bei sicheren Passwörtern nicht mehr erforderlich (siehe BSI IT-Grundschutz „ORP.4 Identitäts- und Berechtigungsmanagement“, OPR.4.A23). Unverzüglich zu ändern sind hingegen voreingestellte Passwörter.
Zusätzliche Maßnahme: Zwei-Faktor-Authentisierung
Verschiedene Dienstanbieter bieten zusätzlich zum Passwortschutz eine sogenannte „Zwei-Faktor-Authentisierung“ an. Dabei wird nach der erfolgreichen Eingabe der Zugangsdaten zunächst ein zufällig generierter Code per SMS an eine zuvor festgelegte Telefonnummer gesendet. Erst mit der Eingabe dieses Codes erhält der jeweilige Nutzer einen Zugang. Alternativ wird dieses Verfahren teilweise auch mit speziellen Code-Generatoren und Apps angeboten. Dieses Verfahren schützt Sie somit auch dann, wenn Ihr Passwort einmal in die Hände von Unbefugten gelangen sollte.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
