Computer- und Internetnutzer müssen sich heute oft einen ganzen Haufen von Passwörtern merken: Die Zugangsdaten für das E-Mail-Konto, das Kundenkennwort beim Online-Einkauf oder etwa die PIN-Nummer für Bankgeschäfte im Netz. Um all diese Codes im Kopf zu behalten, braucht es schon ein sehr gutes Gedächtnis. Wer das nicht hat, kann aber auch mit Hilfe von spezieller Software der Zahlen- und Buchstabenflut Herr werden.
"Passwörter sind etwas Kompliziertes - sie sollen nicht so kryptisch sein, dass man sie vergisst, aber so sicher, dass sie Dokumente und Zugänge schützen", sagt Günther Ennen, Leiter der IT-Sicherheitsberatung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn. Ein gutes Passwort müsse daher einfach zu merken sein, dürfe sich aber nur schwer erraten lassen. "Dabei sollte alles, was man auf der Tastatur drücken kann, vorkommen", sagt Daniel Bachfeld, Redakteur bei der in Hannover erscheinenden Zeitschrift "c't". Dazu gehören große und kleine Buchstaben, Zahlen und auch gängige Sonderzeichen.
"Je gemischter und wilder, um so sicherer ist die Zugangssperre", sagt der Münchner Programmierer Andreas Selle. Seine Firma bietet mit dem Subsembly Wallet eine Software an, die nicht nur Passwörter, sondern auch PIN-und TAN-Nummern für das Online-Banking verwaltet. Der Vorname des Lebenspartners, das Geburtsdatum oder auch Worte, die sich mit dem jeweiligen Angebot assoziieren lassen, seien als Passwort leicht auszuspionieren. Entschlüsselungsprogramme übernehmen die Arbeit für die Hacker. "Worte, die im Duden stehen oder nur aus Buchstaben bestehen, sind für die Programme keine große Hürde", sagt BSI-Experte Ennen. Kaum ein Programm brauche länger als einen Tag, um solche Kennwörter zu entschlüsseln.
Die Sicherheit eines Passworts hängt auch von seiner Länge ab: "Mit jeder Stelle potenziert sich die Anzahl der möglichen Kombinationen", sagt Ennen. Allerdings sei die mögliche Stellenanzahl je nach Software verschieden. "Selbst wenn man bis zu zwölf Zeichen eingeben kann - manche Programme brechen schon nach sechs oder acht Zeichen die Erkennung ab." Ein Mix aus Zahlen und Buchstaben sollte also zu Beginn der Zeichenfolge stehen und nicht erst am Ende.
Zwar seien Anwender auch mit einem noch so kryptischen Passwort nicht zu 100 Prozent vor Hackern geschützt. "Wer aber Kombinationen aus Buchstaben, Ziffern und Sonderzeichen auf mindestens acht Zeichen verteilt, zieht zumindest den Entschlüsselungsprozess in die Länge", sagt Ennen. Kreativität ist allerdings auch dabei gefragt: "123abc" etwa ist kein wirklich sicheres Passwort.
Laut "c't"-Redakteur Bachfeld kann eine Eselsbrücke helfen: "Man kann zum Beispiel die Anfangsbuchstaben seines Lieblingsliedes nehmen und einige durch Zahlen ersetzen", sagt er. Das A lasse sich etwa gegen eine 4 austauschen oder ein I gegen eine 1. "Schon hat man etwas Kryptisches, das man selbst gut entschlüsseln kann." Das BSI rät dazu, Passwörter regelmäßig auszutauschen – "für jede Jahreszeit ein eigenes", sagt Ennen. Oft seien Programme mit Passwort-Generatoren ausgestattet, die Nutzern neue Codes vorschlagen.
Auf keinen Fall sollte für alle Anwendungen und Dienste derselbe Code benutzt werden. "Sonst ist gleich alles gehackt, wenn das Passwort ausspioniert wird", warnt Sicherheitsexperte Ennen. Eine weitere Variante sei es, drei oder vier gute Passwörter für Bank, E-Mail und Auktionshäuser zu nutzen. Die besten Strategien nützen allerdings nichts, wenn Nutzer selbst einem Phisher auf den Leim gehen. "Wer selbst sein Passwort auf einer gefälschten Seite eingibt, ist reingefallen", sagt Ennen.
Auch das Passwort etwa aus einer Word-Datei in Anwendungen hineinzukopieren, ist eine denkbar schlechte Methode. "Eine der Schwachstellen des Internet Explorers ist es, dass die Zwischenablage, in die man kopiert, leicht ausgelesen werden kann." Bei anderen Browsern wie etwa Firefox gehe das nicht so einfach. Zudem sei es ein Leichtes, Word-Dateien in Klarschrift auszuspionieren.
Mehr Sicherheit bieten Software, mit der Passwörter verwaltet und gesichert werden. Eine ganze Reihe dieser Programme gibt es auf dem Markt - einige steht kostenlos zum Herunterladen bereit, andere kosten zwischen 10 und 30 Euro. "Die Daten sind in der Datei sehr stark verschlüsselt", sagt Programmierer Selle. "Das Einzige, was man falsch machen kann, ist ein zu einfaches Masterpasswort zu wählen." Dies ist das Passwort, mit dem auf alle anderen Zugangsdaten zugegriffen wird.
Wirklich praktisch sind die Programme aber erst, wenn sie auf einem Taschencomputer oder einem Smartphone laufen - denn nur dann haben Nutzer die Daten auch immer dabei. "Es nutzt ja nichts, wenn alle Passwörter lokal auf einem Rechner liegen, man selbst aber ganz woanders ist", sagt Bachfeld. (dpa/ajf)