Die allgemeinen Empfehlungen für gute Passwörter sind praktisch unerfüllbar: lang, zufällige Folge von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, für jeden Dienst ein eigenes, das alle 3 Monate ersetzen und natürlich bloß nicht aufschreiben. Diese Anforderungen kann ein normales menschliches Gehirn nicht erfüllen. Deshalb folgen hier einige grundsätzliche Gedanken zu Passwörtern.
Nicht in jedem Fall ist mir ein Dienst so wichtig, dass ich dafür Mühe in ein gutes Passwort stecken würde. Wenn z.B. eine Fachgesellschaft meint, dass man Informationen nur herunterladen darf, wenn man ein Konto mit Nutzernamen und Passwort angelegt hat, dann nenne ich mich auch mal Max Mustermann mit dem Passwort „123456“. Wenn jemand dieses Konto „knackt“ und in meinem Namen Informationen herunterlädt, dann sei das so.
Andere Konten sind mir nicht völlig egal, aber auch nicht existentiell wichtig. Das Konto, mit dem ich mich bei der Fussball-Tippgemeinschaft anmelde oder mit dem ich Karten bei der Krefelder Oper bestelle, die bekommen schon richtige Passwörter, aber 20 Stellen würde ich dafür nicht eintippen.
Aber mein Homebanking-Programm oder E-Mail-Konto, die sind mir so wichtig, dass ich für ein gutes Passwort auch einige Mühe auf mich nehme. (Das E-Mail-Konto ist eins der wichtigsten überhaupt, denn es ist der Schlüssel zu allen anderen Konten. Wenn ich darauf Zugriff habe, brauche ich bei allen anderen Diensten nur auf „Passwort vergessen“ zu klicken und schon bekomme ich einen Link in den Posteingang, mit dem ich das Passwort neu setzen kann.)
Ein gutes Passwort ist eines, das man nicht leicht raten kann. Das Raten übernimmt im Ernstfall aber nicht ein Mensch, sondern der Computer, und der kann Milliarden von Passwörtern pro Sekunde ausprobieren. Je mehr Möglichkeiten er durchprobieren muss, um so länger dauert das. Bei fünf- oder sechsstelligen Passwörter ist er in weniger als einer Sekunde fertig. Bei zehnstelligen geht der Aufwand schon in die Jahre und mit jeder weiteren Stelle nimmt der Aufwand exponentiell zu. Wenn man auch Großbuchstaben, Ziffern und Sonderzeichen verwendet, erhöht das die Zahl der Möglichkeiten noch mehr, aber den größten Einfluss hat die Länge. (Beispiel: 11 Kleinbuchstaben sind etwa so gut wie 9 Groß- und Kleinbuchstaben oder 8 Zeichen, die auch noch Ziffern und Sonderzeichen enthalten.)
Heutige Passwort-Cracker probieren aber nicht blind alle Möglichkeiten durch. Sie probieren zuerst die Passwörter, die anderswo schon mal als Passwort benutzt wurden. Deshalb sind auch Passwörter wie „Passwort“, „Schalke04“ oder „Schnuckilein“ schnell geknackt. Man soll überhaupt keine Wörter nehmen, die in Wörterbüchern vorkommen, auch übliche Abwandlungen („P@ssw0rt“) werden schnell erkannt. Das gleiche gilt für Geburtsdaten, Namen von Familienmitgliedern und Haustieren, Adressen oder ähnliche persönliche Informationen.
Anders wird das, wenn man mehrere, unzusammenhängende Wörter kombiniert, sodass ein langes Passwort oder gar ein Pass-Satz entsteht, und die vielleicht noch etwas abwandelt: „Eigelb.Th0mask1rche.FünfWolke“ sollte noch längere Zeit einem Passwort-Cracker widerstehen (wenn ich es hier nicht veröffentlicht hätte) und ist trotzdem leicht zu merken.
Nicht alle Serverbetreiber gehen sorgfältig mit den Passwörtern ihrer Nutzer um. Immer wieder werden Server gehackt und die Nutzerdaten mit Passwörtern gestohlen. Wenn einem Hacker aber solche Daten in die Hände fallen, wird er vielleicht die Benutzernamen und Passwörtern auch mal bei anderen Diensten durchprobieren, weil bekannt ist, das viele Menschen das gleiche Passwort für viele Dienste benutzen. So bekommen sie nicht nur zu dem gehackten Server Zugang, sondern evtl. zu vielen anderen Diensten der gleichen Nutzer auch.
Die Lehre, die wir daraus ziehen sollten, ist, dass man Passwörter nicht wiederverwenden sollte. Jeder Dienst (der mir etwas wert ist, s.o.) bekommt sein eigenes Passwort. Aber wie soll ich mir die alle merken? Dazu gibt es im Prinzip zwei Wege, einen komplizierten und einen guten.
Zuerst der Komplizierte: Manche bauen sich ihre Passwörter nach einem Standardschema aus einem Rumpfpasswort und dem Namen des Dienstes, für den das Passwort gelten soll.
Beispielschema: „<Anzahl der Buchstaben>“ + „<Rumpfpasswort>“ + „<erster Vokal>“ + „<letzte zwei Konsonanten>“. Wenn das Rumpfpasswort z.B. „i2q.fet“ wäre, kommt dann für „Google“ „6“ + „i2q.fet“ + „o“ + „gl“ = „6i2q.fetogl“ und für „Autoscout24“ „11“ + „i2q.fet“ + „A“ + „ct“ = „11i2q.fetAct“ heraus. Kompliziert wie gesagt, aber es funktioniert.
Der andere Weg ist ein Passwortmanager. Ich verzichte darauf, mir das alles zu merken und speichere die Passwörter in einem spezialisierten Programm. Diese Programme speichern die Passwörter verschlüsselt ab und geben sie erst wieder her, wenn man sie mit einem Masterpasswort „aufgeschlossen“ hat. In der Regel haben sie auch nette kleine Hilfsfunktionen, die für uns die Passwörter in die richtigen Felder eintragen.
Das hat für mich das Passwortproblem weitgehend gelöst, so kann ich für jeden Dienst ein eigenes Passwort vergeben, das problemlos auch wie „OuCSYgFPOQpY“ oder „uLY44O75wphuEI1U“ oder auch „NExkc7OgG6+|’cmr[3+bd4c4“ aussehen kann. Diese Zeichenanhäufungen lasse ich mir natürlich vom Passwortgenerator erstellen.
Es gibt mehrere gute Passwortmanager, KeePass (Open-Source), 1Password und LastPass sind die am häufigsten genannten. Die meisten sind auch für Android und iOS verfügbar, was ich selbst nicht nutze — ich halte Smartphones für eine unsichere Umgebung, Android noch mehr als iOS, der ich meine wertvollen Passwörter nicht anvertrauen würde.
Es spricht nichts Grundsätzliches dagegen, sich wichtige Passwörter aufzuschreiben. Auf Papier sind sie vor Schadsoftware, Festplattencrash, Stromausfall und Gedächtnisverlust sicher. Man sollte den Zettel natürlich nicht gerade an den Monitor kleben oder unter der Tastatur verstecken. Gerade Passwörter, die man selten braucht (z.B. Routerpasswort), würde ich immer aufschreiben, zwei Jahre später hat man sie sonst sicher vergessen. Ich selbst habe an sicherer Stelle einige Passwörter und andere wichtige Angaben deponiert, damit meine Familie diese Informationen hat, wenn mir etwas zustoßen sollte.
Eine Zeit lang galt es als notwendig für gute Sicherheit, dass man sein Passwort regelmäßig ändert. Davon ist die Sicherheitscommunity großenteils wieder abgerückt, in Hochsicherheitsumgebungen könnte es sinnvoll sein, ich selbst tue das nicht (wo ich nicht dazu gezwungen werde). Aber bei dem leisesten Zweifel darüber, ob das Passwort jemandem bekannt geworden ist, würde ich es ändern.
Wenn man einen Router oder ein anderes Gerät mit Internetverbindung kauft, ist dies in der Regel schon mit einem Passwort abgesichert. Dieses Passwort sollte man immer ändern. Allzuoft sind die Passwörter für alle Geräte der Baureihe gleich und damit kein wirklicher Schutz. Und auch wenn das Passwort individuell aussieht — nur ein Passwort, was ich selbst vergeben habe, ist wirklich geheim.