Passwörter

Passwörter sind notwendig, aber lästig. Deshalb vergeben viele Anwender einfache Passwörter oder verwenden für alle Einsatzbereiche nur ein oder einige wenige Passwörter.

Auf diesen Seiten wird das erstellen komplexer und trotzdem "merkbarer" Passwörter beschrieben.

Schlechte Passwörter

Die beliebtesten und häufigsten Passwörter im Überblick:

12345
0000
qwertz im deutschsprachigen Raum, im anglo-amerikanischen Raum 'qwerty

Diese Passwörter sind leicht zu erraten und bieten daher keinerlei Schutz.

Ebenfalls beliebt sind der Name des Partners/Kindes/Haustiers/Lieblingsverein/Lieblingsmusiker. Diese Passwörter lassen sich jedoch leicht von Menschen erraten, die den Anwender kennen und bieten daher ebenfalls kaum Schutz. Durch Social Engineering ist es übrigens einfach, solche Passwörter durch einfache Fragen an Bekannte oder Kollegen herauszubekommen.

Ebenfalls schlechte Passwörter sind Begriffe, die sich in Wörterbüchern finden (Bücherwurm oder Tischkante) oder Namen (Anke oder Klaus). Diese Passwörter werden von entsprechenden Anwendungen systematisch ausprobiert, quasi das gesamte Wörterbuch. Diese Methode nennt sich Brute Force (Rohe Gewalt).

Auch kurze oder einfache Passwörter (abcde oder 123abc) werden durch Brute Force schnell geknackt.

Grundlagen für sichere Passwörter

Bei der Brute Force Methode nutzt man die Schnelligkeit moderner Computer. Daher ist es wichtig, das Passwörter lang und komplex sind.

Ein vierstelliges Passwort, welches nur aus Ziffern besteht, bietet 10*10*10*10, also 10.000 verschiedene Kombinationen. Ein moderner Computer kann pro Sekunde vier Milliarden Kalkulationen durchführen. Eine vierstellige Zahlenkombination ist also in wenigen Millisekunden gefunden.

Passwörter sollten nicht nur aus Ziffern bestehen und mehr als vier Stellen haben.

Der Zeichenvorrat, aus dem das Passwort besteht, sollte möglichst groß sein. Ein vierstelliges Passwort reicht nicht aus:

Mit Ziffern hat es 10*10*10*10, also 10.000 Kombinationen
Mit Kleinbuchstaben hat es 26*26*26*26, also 456.976 Kombinationen
Mit Ziffern, Groß-, Kleinbuchstaben und Sonderzeichen hat es 72*72*72*72, also 26.873.856 Kombinationen

Das reicht aber immer noch nicht. Auch ein solches Passwort würde in weniger als einer Sekunde geknackt. Probieren wir es mit einem zehnstelligen Passwort:

Mit Ziffern hat es 10.000.000.000 Kombinationen, der Computer knackt es in maximal 2,5 Sekunden.
Mit Kleinbuchstaben hat es 1.411.670.956.533.767 Kombinationen, der Computer knackt es in maximal 36 Sekunden.
Mit Ziffern, Groß-, Kleinbuchstaben und Sonderzeichen hat es 3.743.906.242.624.487.424 Kombinationen

In der maximalen Kombination benötigt der Computer maximal 30 Jahre. Dabei muss aber beachtet werden, dass bei einer inkrementellen Suche das Passwort 1111111111 trotzdem in Sekundenbruchteilen gefunden ist.

Das Passwort muss also aus allen Zeichenarten bestehen. Ein ideales Passwort lautet beispielsweise #8gK4%&Z2m. Das kann man sich aber nicht einfach merken. Und mit dem steigenden Schwierigkeitsgrad sinkt die Akzeptanz solcher Passwörter, insbesondere, wenn man sie auch noch regelmäßig ändern muss.

Leicht zu merkendes und trotzdem sicheres Passwort

Ein Kompromiss zwischen Komplexität und Praktikabilität sind Passwörter, die sich herleiten lassen. Man geht dabei folgendermaßen vor:

Man nimmt ein zusammengesetztes Wort, beispielsweise Schulbus
Man trennt das Wort und fügt vor den Wortbestandteilen, die alle mit Großbuchstaben beginnen, ein Sonderzeichen hinzu, beispielsweise #Schul%Bus
Man fügt nach jedem Wortbestandteilen eine Zahl ein, beispielsweise #Schul3%Bus5

Das Passwort hat im Beispiel sogar 12 Stellen, ist ausreichend komplex und trotzdem leicht zu merken: # Schul 3 % Bus 5'

Variationen:

Ersetzen von Buchstaben durch ähnlich aussehende Zahlen, also H4ll050mm3r, anstatt HalloSommer
Wechselweise Groß- und Kleinschreibung, also hALLosoMMer, anstatt HalloSommer

Auch hier müssen Sonderzeichen und Ziffern eingefügt werden. Ein Passwort mit Variationen wäre dann %h4LL0#s0MMer

Das Passwort hat im Beispiel sogar 13 Stellen.

Passwortdauer

Passwörter sollten im drei-Monats-Rythmus geändert werden.

Anmeldeversuche begrenzen

Um die Anzahl ungültiger Anmeldungen zu begrenzen und damit ein Erraten des Passworts durch das Ausprobieren zu verhindern, kann eine Sperre aktiviert werden, der die Anmeldung erst nach einer bestimmten Zeit wieder zulässt.

Um diese Sperre einzuschalten, benötigen Sie Windows Pro, mit der Home Edition ist die Nutzung nicht möglich.

Die Sperre wird über den Gruppenrichtlinieneditor eingeschaltet. Diesen Editor rufen Sie mit Windows + R und der Eingabe gpedit.msc auf.

Erstellen Sie nun die Kontensperrungsschwelle.

So wird’s gemacht:

Navigieren Sie nach „Richtlinien für Lokalen Computer“
Navigieren Sie nach „Windows-Einstellungen“
Navigieren Sie nach „Sicherheitseinstellungen“
Navigieren Sie nach „Kontorichtlinien“
Navigieren Sie nach „Kontosperrungsrichtlinien“
Rufen Sie mit einem Doppelklick die Option „Kontensperrungsschwelle“ auf.
Stellen Sie eine Sperre nach 10 ungültigen Anmeldeversuchen ein.

Das Betriebssystem empfiehlt dann die Kontosperrdauer und die Zurücksetzungsdauer des Kontosperrzählers auf 30 Minuten einzustellen.

Diese Vorgabewerte sollten Sie unbedingt übernehmen! Wenn Sie die Kontosperrdauer oder die Zurücksetzungsdauer des Kontosperrungszählers nicht einstellen, müssen Sie das Konto von einem Administrator entsperren lassen!

Nach dem Sichern der Einstellungen sind diese aktiv. Bei zehn fehlerhaften Passworteingaben wird das System für 30 Minuten gesperrt.

Windows-Passwort ändern

Das Passwort eines Windows-Benutzerkontos kann jederzeit geändert werden:

Strg + Alt + Entf drücken
Kennwort ändern auswählen
Das bisherige Passwort eingeben
Das neue Passwort zweimal eingeben und die Eingaben sichern.

Bei Netzwerkverbindungen muss das Passwort ggf. auch am Server oder dem Computer geändert werden, der die Netzwerkressource bereitstellt.

Beim Remote Desktop muss das Passwort im Remote Computer geändert werden und beim erneuten Anmelden benutzt werden.