Wie erzeuge ich ein sicheres Passwort, das ich mir merken kann? Spoiler: Es ist möglich

Heutzutage brauchen wir ständig und für alles ein Passwort, daher sollte es ein sicheres sein. Dennoch kommt zum Ende eines Jahres immer eine Statistik, die die am häufigsten verwendeten Kennwörter auflistet und der Inhalt sieht grauenhaft aus. Hier die Liste aus 2018. Sie ist erschreckend.

Top 10 deutscher Passwörter 2018

  1. 123456
  2. 12345
  3. 123456789
  4. ficken
  5. 12345678
  6. hallo123
  7. hallo
  8. 123
  9. passwort
  10. master

Quelle: t3n – Die 10 meistgenutzten Passwörter 2018

Nachdem wir einen Blick auf die Top 10 der meistverwendeten Passwörter von 2018 geworfen haben, sehen wir uns an, wie man ein tatsächlich sicheres Passwort erzeugt, ohne sich einen Wust von Sonderzeichen merken zu müssen.

Woran liegt das?

Die Gründe dafür, dass viele Menschen simple Zahlenfolgen als Kennwörter verwenden, liegt darin, dass sie zum einen den Sinn eines sicheren Passworts ignorieren und zum anderen darin, dass sie dazu angehalten werden, fortwährend Kennwörter zu verwenden. Wenn man das Gefühl hat, so ein Passwort hält einen von der wirklichen Arbeit ab, dann wird man nachvollziehbarer Weise nachlässig mit der Qualität der Kennwörter.

Das geht besser

Da sieht die Variante „P@ssw0rt!“ auf dem ersten Blick wie eine sehr gute Idee aus, denn es sind neun Zeichen mit Groß- und Kleinschreibung, Sonderzeichen und eine Ziffer ist sogar auch schon drin. Allerdings ist das Verfahren, ein „o“ mit einer Null, ein „a“ mit einem „@“ und beispielsweise ein „e“ mit einer „3“ auszutauschen ein so alter Hut, dass jedes Billo-Kennwort-Knackprogramm damit keine Schwierigkeiten hat.

Die Empfehlung, ein Kennwort so kryptisch wie nur irgend möglich zu gestalten, stammt von Bill Burr, einem ehemaligen Mitarbeiter des National Institute of Standards and Technology (NIST). Seine 2003 erschienene Schrift bildet den derzeitigen Standard der angeblich sicheren Passwortgenerierung. Eben jener Burr bereut seine Empfehlung sehr, wie er dem Wall Street Journal gestand. Er hat sein Papier damals geschrieben auf Basis einer Studie aus den 1980er Jahren geschrieben. Zwar ist seine Empfehlung nicht total verkehrt, sie geht aber inzwischen völlig an der Computer-Realität und am Anwender vorbei.

Mit Burrs in „NIST Special Publication 800-63. Appendix A.“ festgehaltenem Vorgehen erzeugen wir heutzutage Kennwörter, die Computer vergleichsweise einfach knacken, die sich Menschen aber nur schwer merken können. Umgekehrt wäre es besser.

Passwortmanager zur Hilfe

Hier lassen sich Passwortmanager wie beispielsweise 1Password, Dashlane, KeePass, LastPass und andere verwenden. Mit dieser gesicherten Software können wir Anwenderinnen und Anwender es uns sparen, die ganzen Kennwörter im Gedächtnis zu behalten. Diese Art Software generiert und merkt sich für uns unterschiedliche Passwörter für die vielen verschiedenen Dienste. Heutzutage gleichen die Passwortmanager die gespeicherten Daten über mehrere Plattformen ab, so dass die Kennwörter nicht nur auf dem MacBook, sondern auf Wunsch auch auf dem iPhone, unter Android und auch am Windows-PC verfügbar sind.

Nur … wie ist so ein Passwortmanager gesichert? Richtig, mit einem Passwort. Also brauchen wir dennoch ein sicheres Kennwort, das wir uns merken können, das nicht so trivial sein darf und schwer von Maschinen zu entschlüsseln.

Die Länge ist entscheidend

So kurz, so langweilig: Die Länge eines Passworts ist entscheidend und nicht die darin enthaltenen Sonderzeichen und Ziffern. Die Arbeit, ein Kennwort zu entschlüsseln, erhöht sich mit jedem Zeichen stark und darum ist ein Kennwort wie „Gelbe Kakteen flattern im Morgenwind“ – 36 Zeichen – um ein Vielfaches sicherer als etwas im Stil von „L;c3zXjqacixg“ – 13 Zeichen.

Wichtig ist nur, dass es sich bei einem langen, vergleichsweise einfach zu merkenden Passwort um kein Sprichwort oder Zitat aus einem Buch handelt, denn derlei bekannte und öffentliche Wortfolgen lassen sich ebenfalls einfach aus entsprechenden Datenbanken ableiten und so automatisch von Algorithmen ausprobieren.

So richtig, richtig zufällig

Es gibt einen Ansatz, ein relativ einfach zu merkendes Passwort zu erzeugen, dass aus zufälligen Wortfolgen besteht: die Würfelmethode – auf Englisch Diceware.

Du brauchst einen klassischen sechsseitigen Würfel und eine Diceware-Wortliste hierfür. Es gibt die Wortlisten in verschiedenen Sprachen wie etwa Englisch (PDF) oder auch Deutsch (PDF). Nun würfelst du fünf Mal und schreibst dir jedes Mal auf, welche Zahl auf, die du gewürfelt hast. Jetzt hast du zum Beispiel „36412“ gewürfelt. Diese Zahl guckst du in der Wortliste nach und das ist dein zufällig erwürfeltes Wort: „kuweit“. Nun wiederholst du das Ganze für das zweite Wort. Je mehr Wörter du deiner Passphrase hinzufügst, desto sicherer wird diese. Fünf Runden genügen und am Ende hast du vielleicht so etwas wie „kuweit welk anfang ig feiner“.

Wie sicher ist diese Methode?

Es gibt 2,788607963438242e19 Möglichkeiten, eine Passphrase zu erstellen, wenn du mit einer 7746 Einträge starken Wortliste fünf Runden drehst, um deine Passphrase zu erstellen: 7746 x 7746 x 7746 x 7746 x 7746

Das ist eine sehr starke Passphrase. Nun ist es nicht gerade leicht, sich „kuweit welk anfang ig feiner“ zu merken, aber es ist einfacher als „L;c3zXjqacixg“ und um ein zigfaches sicherer.

Verwendest du eine auf diese Weise erstellte Passphrase für deinen Passwortmanager, dann bist du gut aufgestellt. Im Passwortmanager kannst du weiterhin auf den Automatismus des Managers zurückgreifen und diesen die Kennwörter erstellen und speichern lassen.

Zu guter Letzt: kompromittierte Accounts finden

Bei einigen großen Hacks von Anbietern wurden Daten von Accounts – zum Teil mit Passwörtern – veröffentlicht. Bei diesen folgenden beiden vertrauenswürdigen Anbietern lässt sich prüfen, ob deine E-Mail-Adressen dazugehören:

Have I been pwned
Hasso Plattner Institut