Passwörter und Passcodes entwickeln leicht gemacht

gepostet am 07.02.2017 von

Sichere, lange und komplexe Passwörter zu entwickeln und sich zu merken ist gar nicht so schwer. Warum Passwörter lang und komplex sein sollten, habe ich in einem weiteren Blogbeitrag erklärt. Bei der Entwicklung eines solchen Passwortes sollte man sich zwei Minuten Zeit nehmen und einige Dinge beachten. Welche Tricks es gibt, habe ich hier beschrieben.

Wer diese beherzigt, braucht sich vor Passwort-Hacking nicht zu fürchten. Zunächst ist es wichtig zu wissen, welche Anforderungen an das Passwort gestellt werden. Leider sind diese recht unterschiedlich. Ich unterscheide daher drei grundlegende Arten von Passwörtern:

  1. Sichere Passwörter (komplex und lang)
  2. Passwörter mit Einschränkungen (z.B. in der maximalen Länge, dabei müssen aber Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen enthalten sein)
  3. Passcodes oder PINs – also verhältnismäßig kurze Zahlenfolgen, die einem einzelnen Gerät zugewiesen sind und nur damit funktionieren (z.B. Smartphones oder Smartcards)

1. Wie man sichere Passwörter entwickelt

Wie ich bereits in meinem vorherigen Blogbeitrag beschrieben habe, ist die Länge eines Passwortes für die Qualität ein ausschlaggebendes Kriterium. Sollte man also nicht gezwungen sein, alle Arten von verfügbaren Zeichen zu nutzen, so ist es dennoch sehr empfehlenswert die Länge stark anzuheben. Dabei ist es hilfreich mehrere Begriffe aneinander zu reihen, die man sich bildlich vorstellen kann. Hilfreich ist ein einfaches Bild. Ein Beispiel wäre folgende Zeichnung (Künstler werde ich im nächsten Leben):

passwortbild

Aus dieser Darstellung lassen sich leicht zu merkende Passwörter ableiten. Also zum Beispiel:

  • 1RotesHaus, 1blaueTür.
  • 1pinkerVogelHimmel:)
  • 1Apfelbaum1Sonne1Haus.
  • 9Äpfel1Vogel!

Jedes dieser Passwörter besteht aus mindestens 13 Zeichen und ist verhältnismäßig leicht zu merken. Alle erfüllen hohe Komplexitätsanforderungen und sind in dieser Form nicht in Wörterbüchern mit beliebten Passwörtern zu finden (jedenfalls nicht vor Veröffentlichung auf dieser Seite).

2. Wie man Passwörter mit Einschränkungen entwickelt

Häufig gibt es leider Einschränkungen in Bezug auf die Länge. Also ein Passwort kann beispielsweise maximal zehn Zeichen lang sein. Um solche Passwörter zu entwickeln, bietet sich ein Trick an. Das Vorgehen ist ähnlich wie oben beschrieben: Bilden Sie einen Satz, in dem Zahlen vorkommen. Daraus verwendet man die Anfangsbuchstaben, inklusive Satzzeichen, und entwickelt ein Passwort:

  • 1 rotes Haus mit blauer Türe neben dem Apfelbaum! = 1rHmbTndA!
  • Am Baum neben dem roten Haus sind 9 Äpfel. = ABndrHs9Ä.
  • Fliegt ein pinker Vogel im Himmel neben der Sonne? = F1pViHndS?
  • Die Sonne hat 7 Strahlen & steht gelb am Himmel = DSh7S&sgaH

Solche Passwörter sind sehr sicher, obwohl sie nur zehn Zeichen lang sind. Wenn Sie sich zur Entwicklung solcher Passwörter ein Bild in Ihr Büro hängen, dann können Sie sich dieses Passwort leicht merken.

3. Wie man sichere Passcodes entwickelt

Passcodes (manchmal auch PIN genannt) kommen eigentlich nur dann zum Einsatz, wenn diese gemeinsam mit einem zweiten Faktor verwendet werden. Das bedeutet, dass diese Passcodes an einem einzelnen Gerät und teilweise nur für einen einmaligen Vorgang (siehe TAN beim Online-Banking) zum Einsatz kommen. Das macht diese geschützten Anmeldungen erheblich weniger anfällig für beispielsweise Brute-Force Angriffe. Schließlich ist der physische Zugriff (Beispiel Smartcard oder Smartphone) erforderlich.

Aber auch bei der Ermittlung von Passcodes ist so einiges zu beachten und mancher Tipp hilfreich. Man sollte nie aufeinanderfolgende Zahlen verwenden. Dass die Verwendung aufeinander folgender Zahlen genauso problematisch ist, sollte einleuchten. Auch Geburtstage oder Jubiläen schränken den Zahlenraum, und damit die notwendigen Versuche durch Hacker, erheblich ein. Nutzen Sie am besten einen ähnlichen Trick, wie in den oberen Beispielen: Malen Sie auf dem Ziffernfeld ein Muster. In meinem Beispiel das „Kreuzzeichen“:

passcode

Daraus entsteht dann der Passcode: 45256505. Acht Zeichen und eigentlich einfach zu merken, wenn man sich nicht die Zahlen, dafür aber das Muster merkt. Wer auf Nummer Sicher gehen will, achtet noch darauf nicht in Ecken mit dem Muster zu beginnen und nach Möglichkeit direkte Nachbarn zu überspringen (also nach der 1 kommt nie eine 2, 4 oder 5).

Auch für solche Passcodes gilt im Übrigen, dass sie lang sein sollten. Für Smartcards, EC-Karten und aktuelle iOS Geräte würde auch ein 4-stelliger Passcode reichen. Diese löschen nämlich die Funktion des Geräts bei zu häufiger Falscheingabe. Bei Android-basierten Geräten hängt dies aber stark von der eingesetzten Software-Version ab. Bei Versionen vor Android 6 wird nach fünf falschen Eingaben eine 30-sekündige Pause verlangt. Das führt dazu, dass unter idealen Bedingungen spätestens nach 22 Stunden der Code erraten werden kann. Wie das geht, zeigen wir vielleicht auch noch in einem kleinen Video…

PS: Alle Vorschläge für Passwörter auf dieser Webseite sind öffentlich! Diese sollten Sie also nicht verwenden!

Autor/in

Götz
Weinmann

IT-Security Consultant und ISO 27001 Auditor

Top Blogbeiträge

Verlehrsschilderwald
Wissen Sie, was auf ihrer Firewall vor sich geht?
Corona-Warn-App – Welche Daten werden geteilt?
MVSS
Vulnerability Scan – Grenzen und Chancen

Dies könnte Sie auch interessieren

AwarenessIT-SecurityPasswort

5 Kommentare

  1. Pingback: Was ist eigentlich ein Data Breach? - TO Blog
  2. Pingback: Was ist eigentlich Cloud? - Die Vorteile und Nachteile - TOblog
  3. Pingback: History of Hacks – Mafiaboy legt Yahoo! lahm - TO Blog
  4. Pingback: Meltdown und Spectre - Die Monsterschwachstellen in CPUs und was Sie tun sollten - TO Blog
  5. Pingback: KRACK Attacke - WPA2 hat Sicherheitslücken - TO Blog

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *