Eigentlich sollte heutzutage jeder Internetnutzer über die Gefahren bei der Verwendung von Passwörtern aufgeklärt sein. Aufgrund der aktuellen Aktivitäten und scheinbarer Erfolge von Gruppierungen wie LulzSec oder Anonymous möchte ich aber hier noch einmal auf ein paar wichtige Regeln bei der Verwendung von Passwörtern hinweisen. Diese sind für alle Onlinedienste mit Login gültig, nicht nur für WordPress.
1. Verwende niemals das gleiche Passwort für verschiedene Accounts.
Dass eine Website geknackt wird und Logindaten entwendet werden, kann man als Nutzer nicht verhindern. Man kann jedoch den Schaden für sich selbst begrenzen, wenn man ein Passwort immer nur auf einer Website benutzt und Kriminellen nicht die Möglichkeit gibt, mit dem erbeuteten Passwort auf weiteren Websites Unfug zu treiben.
2. Verwende keine leicht zu erratenden Wörter in deinem Passwort, wie deinen Namen, eine einfache Zeichenkette auf der Tastatur oder gar den Namen des Dienstes, bei dem du dich anmeldest.
Die am häufigsten verwendeten Passwörter sind „123456“, „password“ und „12345678“. Das sagt wohl alles! Also: Eigennamen, Geburtsort oder -jahr, Name der Katze, „qwertz“ oder Ähnliches sind verboten! Am Besten verwendest du nur Zeichenfolgen, die nicht im Wörterbuch stehen. Als Merkhilfe kannst du dir z.B. Sätze merken und aus den Anfangsbuchstaben der Wörter ein Passwort bilden. Da wird z.B. aus „Ich wohne in der schönen Karlsruher Oststadt“ –> „IwidsKO“.
3. Verwende Passwörter, die Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten und 10-16 Zeichen lang sind.
Um Brute-Force-Angriffe (Erraten von Zeichenketten) zu erschweren, sollte ein Passwort möglichst komplex sein. Während ein Passwort, das nur aus Zahlen besteht, nur 10 Variationen pro Zeichen hat, bietet Buchstaben bereits 26 und bei Groß- und Kleinschreibung 52 Variationen pro Zeichen. Die zusätzliche Verwendung von Sonderzeichen wie „_!$%()=+-“ und die Kombination von Buchstaben, Zahlen und Sonderzeichen erhöhen die Komplexität erheblich. Ein sehr sicheres Passwort wäre z.B. „729_IwidsKO.45Ba“. Beachte jedoch, dass nicht jeder Diensteanbieter alle Sonderzeichen in Passwörtern erlaubt.
4. Verwende einen Passwort-Manager
Möchte man für alle Dienste ein sehr sicheres Passwort wie „hj76Vy5_314TgQAt“ verwenden, dürfte es nur wenigen, sehr begabten Menschen gelingen, sich diese Passwörter ohne Hilfe zu merken. Daher gibt es mittlerweile eine ganze Reihe guter Passwort-Manager, die sich die Passwörter für dich merken. Das Prinzip ist immer das gleiche: das Programm speichert alle Passwörter in einer Datenbank und gibt sie nur nach Eingabe eines Master-Passwortes frei. So muss man sich nur 1 Passwort (das Master-Passwort) merken. Dieses sollte jedoch dann auch sehr sicher sein!! Gute Passwort-Manager können in Browser integriert werden und füllen auf Wunsch Login-Formulare mit Benutzername und Passwort aus, helfen bei der Wahl neuer Passwörter und lassen sich über mehrere Geräte synchronisieren (PC, Mac, Notebook, iPhone, iPad etc.). Nennenswerte Programme sind KeePass, Roboform oder 1Password für den Mac. Wer nur mit dem Firefox arbeitet, kann auch den integrierten Passwort-Manager verwenden. Dieser ist jedoch sehr einfach und gibt keine Hilfestellung bei der Wahl sicherer Passwörter.
Extra-Tipp für WordPress-Admins
Um das Loginformular einer WordPress-Website zusätzlich gegen Einbruchsversuche abzusichern, empfehle ich die Verwendung von Plugins wie Login Lockdown oder Limit Login Attempts. Mit beiden Plugins kann man die Anzahl von fehlerhaften Loginversuchen begrenzen und die IP-Adresse des Angreifers für eine bestimmte Zeit sperren. Letzteres hat Kollege Perun vor kurzem in seinem Artikel WordPress absichern mit Limit Login Attempts vorgestellt.
Nachtrag:
Auf http://www.1pw.de/brute-force.html erklärt Heiko Schröder mit verständlichen Rechenbeispielen den Zusammenhang von Brute-Force-Attacken und der Passwortlänge. Mein oben als Beispiel genanntes Passwort „729_IwidsKO.45Ba“ hat 72 verschiedene Variationen pro Zeichen: 52 Groß- und Kleinbuchstaben, die Zahlen 0-9 und ca. 10 Sonderzeichen (und das ist nur eine kleine Auswahl!). Ein handelsüblicher PC würde ca. 7,9 Mio. Jahre für das Erraten benötigen (bei maximaler Sicherheit, d.h. wenn das Passwort der letzte erratene Wert ist). Berücksichtige ich noch einen Sicherheitsfaktor von 1.000, sind wir immer noch bei 7.900 Jahren. 😀
Das meiste davon war mir schon bekannt, allerdings kann es nie schaden, wenn mehr Menschen sichere Passwörter benutzen. Was hälst du denn vom regelmäßigen Wechsel, so alle 4 Monate sein Passwort zu ändern?
Nicht viel. Wenn man sichere Passwörter verwendet, bringt eine regelmäßige Änderung keinen zusätzlichen Sicherheitsgewinn.
@ Matthias: Klasse Artikel! Danke auch für den Hinweis mit WordPress 😉
Habe diese Woche speziell zum Thema “sicheres Passwort” auch einen Artikel geschrieben und weitere Punkte aufgedeckt, auf die jeder von uns achten sollte, damit sein/ihr Passwort von wem auch immer nicht so schnell geknackt wird … denn aus meiner Sicht ist kein Passwort der Welt auf immer und ewig sicher, wenn man die grundlegenden Prinzipien außer Acht lässt … vielleicht kann das eine oder andere als Ergänzung zu deinem Artikel dienen … http://www.businesslifehack.de/warum-dein-kollege-ganz-genau-weiss-wie-viel-geld-du-auf-deinem-bankkonto-hast/
Aus aktuellem Anlass stimme ich hier voll und ganz zu und werde mein Passwort und mein Passwortwechselverhalten wohl überdenken und konsequenter verfolgen müssen.
Als KeePass (Windows) und KeePassX (MacOS X) Nutzer habe ich ja eigentlich bereits ein Werkzeug dafür. Leider gibt es dafür keine iPhone/iPad App. Aber hoffentlich ändert sich das noch. Denn blöd ist wenn ein sicheres Passwort mich unterwegs unter Umständen vor mir selbst schützt. 😉
u.