Tipps: Wie man sich sicherere Kennwörter zulegt [Update]

SplashData, ein Anbieter von Passwort-Managern, hat seine jährliche Hitliste der 25 schlechtesten Passwörter veröffentlicht. Der Vorjahres-Sieger "password" wurde 2014 durch das schlicht-elegante "123456" vom Thron der häufigsten Kennwörter gestossen. Angesichts solcher Einfallslosigkeit ist es kein Wunder, dass so viele Online-Konten geknackt werden. Doch wie kommt man eigentlich zu guten Passwörtern? Hier einige Tipps:

2014 wurden weltweit über 3,3 Millionen Passwörter gestohlen. Zum vierten Mal in Folge filterte SplashData aus diesen Daten die in Europa und Nordamerika am meisten genutzten heraus. Nach wie vor finden sich einfache Zahlenfolgen auf den vorderen Plätzen. Das ebenfalls beliebte "qwerty" rutschte auf Platz 5 ab. Ausserdem schafften es einige Neuzugänge in die Negativliste, darunter "football", "access" und "superman".

Die Top 25

01. 123456 (unverändert)
02. password (unverändert)
03. 12345 (+17 Plätze)
04. 12345678 (-1 Platz)
05. qwerty (-1 Platz)
06. 1234567890 (unverändert)
07. 1234 (+9 Plätze)
08. baseball (neu)
09. dragon (neu)
10. football (neu)
11. 1234567 (-4 Plätze)
12. monkey (+5 Plätze)
13. letmein (+1 Platz)
14. abc123 (-8 Plätze)
15. 111111 (-8 Plätze)
16. mustang (neu)
17. access (neu)
18. shadow (unverändert)
19. master (neu)
20. michael (neu)
21. superman (neu)
22. 696969 (neu)
23. 123123 (-12 Plätze)
24. batman (neu)
25. trustno1 (-1 Platz)
(Veränderungen zum Vorjahr in Klammern)

Tipps für sicherere Passwörter

Ein gutes Kennwort sollte mindestens 12 Zeichen lang sein und neben Gross- und Kleinbuchstaben auch Zahlen und Sonderzeichen enthalten. Ausserdem ist es keine gute Idee, überall das gleiche zu verwenden. Passwörter sollten zudem niemals unverschlüsselt auf Geräten gespeichert werden.

Experten raten dazu, die Verwaltung und das Erzeugen von Kennwörtern speziellen Anwendungen zu überlassen. Apps wie 1Password* oder mSecure* können automatisch Zeichenfolgen nach dem Zufallsprinzip generieren, die nur schwer zu knacken sind. Dumm nur, dass sich kaum jemand Kombinationen wie "8&Ya$Gy#d^#2" merken kann. Hat man gerade seine Passwort-App nicht zur Hand, wird es schwierig.

Manche behelfen sich mit Eselsbrücken, indem sie z.B. Abkürzungen markanter Sprüche verwenden. Aus "Der Ball ist Rund & Das Runde muss ins Eckige“ wird so "DbiR&DRmiE". Das ist zwar immer noch besser als "123456", doch wie schafft man es, sich für jedes Konto ein anderes Passwort zu merken?

Der Trick mit dem angehängten Namen

Um für unterschiedliche Anbieter verschiedene Kennwörter zu verwenden, bietet sich folgender Trick an: Zunächst sucht man sich ein Lieblings-Kennwort mit mindestens 8 Zeichen aus. Darin ersetzt man möglichst viele Buchstaben durch ähnlich aussehende Zahlen und Sonderzeichen. So könnte etwa aus "HerthaBSC" ein kryptisches "H€rTh4b$Ç" werden. Dem sollte ein signifikantes (und stets gleiches) Sonderzeichen wie % oder § folgen – und daran hängt man noch den Namen des jeweiligen Anbieters / Dienstes / Netzwerkes an.

Für Amazon würde sich so zum Beispiel folgendes Kennwort ergeben: "H€rTh4b$Ç%amazon". Für Facebook entsprechend: "H€rTh4b$Ç%facebook" usw. Zu beachten ist, dass die gewählten Sonderzeichen auch auf den Tastaturen von Mobilgeräten verfügbar sind. Auf deutsche Umlaute wie ä, ö und ü sollte generell verzichtet werden, da sie von vielen Webservern nicht als Bestandteil eines Passwortes akzeptiert werden.

Auf diese Weise hat man ein leicht zu merkendes Basis-Kennwort, das - mit einem weiteren Sonderzeichen getrennt - durch den angehängten Anbieternamen individualisiert wird. Selbst wenn ein Account geknackt werden sollte, kommen Hacker nicht ohne weiteres an die übrigen Konten heran, selbst wenn sich Anmeldename oder Mailadresse gleichen.

Individuelle, synthetisch erzeugte Zeichenfolgen sind sicherer

Vor gezieltem Identitätsdiebstahl schützt diese Methode allerdings auch nicht. Denn wenn sich Kriminelle die Mühe machen, die Syntax eines geknackten Passwortes zu analysieren, können sie das Prinzip dahinter erkennen und es auch bei anderen Konten des Opfers probieren. Individuelle, nach dem Zufallsprinzip erzeugte Zeichenreihen bieten mit Abstand den besten Schutz.

Wie sicher ist Apples iCloud-Schlüsselbund?

Apple-User haben die Möglichkeit, den iCloud-Schlüsselbund zur Verwaltung ihrer Kennwörter zu nutzen. In Safari steht dafür unter der Funktion "Automatisch ausfüllen" auch ein Passwort-Generator zur Verfügung. Ausserdem lassen sich die Zugangsdaten bequem via iCloud mit iOS-Geräten synchronisieren. Das ist natürlich sehr komfortabel. Allerdings ist hier Vorsicht geboten, denn alles lagert auf Apples Webservern – trotz Verschlüsselung nicht unbedingt jedermanns Sache.


Weiterführende Links
Empfehlenswerte Passwort-Manager für Mac & iOS:
1Password für Mac im App Store*
1Password für iOS im iTunes Store*
mSecure für Mac im App Store*
mSecure für iOS im iTunes Store*

Ähnliche Artikel
Tipp: Daten aus der iCloud löschen
Tipp: Passwortabfrage in iTunes unterbinden
Zweistufige Bestätigung der Apple-ID einrichten

Dieser Artikel wurde am 22.01.2015 überarbeitet und ergänzt.
Screenshot &Text: Thomas Landgraeber

Hat Ihnen dieser Beitrag gefallen?
Dann teilen Sie ihn mit Freunden und Kollegen, abonnieren Sie den RSS-Feed,
oder folgen Sie mir. Ich freue mich auch über jeden Kommentar. Vielen Dank.



WERBUNG