Wie erstellt man ein sicheres Passwort und wie oft sollte es geändert werden?

Ein sicheres password:
- Mindestens 8 stellig
- Davon mindestens 3 ciffern
- Mindestens 3 Buchstabe davon max 2 gross doch minimal 1 grossgeschrieben
- Mindestens 2 special characters die auf der Tastatur nicht neben einander liegen

Ihre Passwörter sollten nach aktuellem Stand der Technik mindestens 12 Zeichen lang sein (am besten gleich 16-20 Zeichen lang) und Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen enthalten. Kürzere Passwörter können teilweise innerhalb von Sekunden bis wenigen Stunden geknackt werden.

Dabei gilt zu beachten, dass ein Passwort umso sicherer ist, je mehr Zeichen es enthält und je stärker die Großbuchstaben, Zahlen und Sonderzeichen gemischt sind. Beispiel: ein Passwort, dass als erstes Zeichen einen Großbuchstaben enthält, dann Kleinbuchstaben und danach Zahlen und auf ein Sonderzeichen endet, ist dabei deutlich schneller zu knacken, als ein Passwort, wo die Sonderzeichen, Zahlen und Großbuchstaben gut verteilt in der Mitte des Passwortes enthalten sind. Letzteres erhöht den Aufwand zu Cracken der Passwörter enorm.

Ebenso sollten die Passwörter keinewegs aus Worten bestehen, die in Wörterbüchern enthalten sind, da sich solche Passwörter auch bei 20 oder mehr Zeichen innerhalb kürzester Zeit knacken lassen.

Als Idealer Kompromiss zwischen Sicherheit und der Merkbarkeit durch den Benutzer hat sich das folgende System etabliert: Nutzen Sie den Anfangsbuchstaben eines längeren Satzes, den Sie sich leicht merken können und mischen Sie dort Zahlen und Sonderzeichen hinein.

Eine andere Alternative wäre beispielsweise der Einsatz von Passwort-Safes. Diese speichern alle Ihre Passwörter (und können diese auch teilweise automatisch in den Login-Masken ausfüllen). Der Vorteil ist, Sie müssen sich dann nur noch ein kompliziertes Passwort für den Passwort-Safe merken. Beliebte Lösungen hier sind z.B. KeePass oder LastPass.

Wichtig ist, dass Sie für verschiedene Dienste und Anwendungen (und Webseiten) jeweils verschiedene Passworte verwenden. Denn wenn Sie sich mit Ihrer Emailadresse und ihrem persönlichen Standardpasswort an einer Webseite anmelden, kann sich ein Angreifer auch sofort in Ihr Emailpostfach einloggen und von dort aus die Passworte für sämtliche andere Webseiten wie Amazon, Paypal etc. zurücksetzen, sollte Ihr Standardpasswort dort nicht funktionieren.

Wenn Sie sehr komplexe Passworte haben, müssen Sie diese nicht so oft wechseln, als wenn Sie leicht zu knackende Passworte einsetzen. In vielen Unternehmen hat sich bewährt, die Passworte für wichtige Anwendungen alle 3-6 Monate zu ändern.

Für Rückfragen stehe ich Ihnen gerne zur Verfügung.

Für sicheres Passwort wird heutzutage meistens die Akronym-Methode empfohlen, ggfs. mit Individualisierung. Für Änderungsintervalle gibts unterschiedliche Empfehlungen, die von wöchtenlich bis zu mind. 1 mal/HJ gehen. Je folgenreicher ein gehacktes Passwort wäre, desto häufiger sollte man ändern ...

Beispiel Passwort nach Akronym-Methode. Es enthält wie oft gefordert je mind. 1 Klein-, Großbuchstaben, Ziffer, Sonderzeichen; ist mind. 8 Zeichen lang und steht in keinem Wörterbuch:

• man bilde einen gut merkbaren Quatschsatz. Z.B. „Lili und Meike raufen zusammen mit einer Fußball-Mannschaft“
• kürzt dies ab und ersetzt „und“ und „ohne“ entsprechend: L+Mrzm1F-M
• „L+Mrzm1F-M“ wäre jetzt das „Stammpasswort“. Das individualisiert man jetzt mit mind. 4 (oder mehr) Zeichen/Ziffern der jeweiligen Plattform, die man sich einfach herleiten bzw. nachgucken kann, z.B. erstes/letztes Zeichen des Firmennamens oder Ziffern der Hausnummer, PLZ oder UStID oder … (immer nach derselben Regel natürlich, die man sich merken kann)
• fertig ist das sichere, plattformspezifische und merkbare Passwort
• Auf Plattformen, wo man nach 90+ Tagen zum Wechsel aufgerufen wird (viele SAP-Systeme z.B.) kann man noch einen Jahres-/Quartalszähler einbauen
• Beispiel Brainguide-Seite mit Quartalszähler (2017, 3. Quartal) und erstem+letzten Zeichen der Firma (B, E) und erster/letzter Ziffer aus UStID (2,0): L+Mrzm1F-MBE207-3

Gemäß einer vorhandenen Passwortrichtlinie im Unternehmen.

Sollte diese nicht vorhanden sein, sollte das Passwort Komplex und nicht leicht zu erraten sein.
Eselsbrücken helfen dem Anwender sich an die Passworte zu erinnern.
Sie sollten auf keinen Fall Standardpassworte nutzen, Sonderzeichen ,Zahlen sowie Groß und Kleinschreibung beachten.
Regelmäßig sollten diese geändert werden, bitte KEIN Passwortrecycling- Gleiche Passworte für verschiedene Logins. Regelmäßig definiert die Richtlinie, oder der zuständige Admin mit den Nutzern, nur er kennt diese und weiß wie oft neue angefordert werden.
Im Rahmen eines Security Awareness Workshops werden die Teilnehmer auf die Wichtigkeit komplexer Passworte sowie deren regelmäßiger Änderung hingewiesen.
Bitte keine 'im Klartext vorhandenen' Passwortlisten pflegen.
Passwortmanager nur Lokal ohne Cloud Anbindung und Backdoor Funktionen.

Sichere Passwörter sind nach jüngsten Veröffentlichungen möglichst lang. Dabei soll es nicht mehr so sehr auf die Komplexität ankommen. Die Häufigkeit des Wechselns hängt in erster Linie von der Schutzkategorie der Daten ab. Darüber hinaus ist ein häufiger Passwortwechsel sicherer, aber wird auch weniger toleriert und erzeugt schließlich unsicherere Passwörter. Für normale Büroanwendungen ist eine Frequenz von 6 Monaten empfehlenswert.

Da sicherere, benutzerfreundlichere Alternativen noch nicht so ganz überzeugend sind, ist die Passworthandhabung für Ihre Sicherheit und Ihr Risiko nach wie vor von entscheidender Bedeutung! Sie können ihre Sicherheit beträchtlich erhöhen in dieser Frage, wenn Sie für diese Art von Authentifizierung (Echtheitsprüfung der Person) zusätzlich noch andere Faktoren einsetzen. Man spricht dann von einer Mehr-Faktoren-Authentifizierung MFA oder bei zwei Methoden von 2FA. Eine schöne Beschreibung zur 2FA finden Sie übrigens in Wikipedia unter dem Link: https://de.wikipedia.org/wiki/Zwei-Faktor-Authentifizierung

Prinzipiell gilt je länger die Passwörter sind umso sicherer werden Sie unknackbar. Mit jeder Zeichenstelle mehr wächst der Permutationsbaum nach und nach exponentiell. Was im logarithmischen Maßstab der Passwortentropie - in bits angegeben - sich in einem linearen Anstieg darstellt. Ein Beispiel: eine Entropie von 40 bits entspricht einem Permutationsbaum von 2 hoch 40 Elementen. Eine Entropie von 80 bits entspricht schon einem Permutationsbaum von 2 hoch 40 mal 2 hoch 40 Elementen! Legen Sie den alphabetischen Kleinbuchstabenzeichensatz zugrunde mit 25 Zeichen dann erhalten Sie 40 bits Entropie durch eine Zeichenlänge von aufgerundet 9 Stellen. Eine Entropie von 80 bits (und diese Entropie ist schon nicht schlecht!) erhalten Sie dann in etwa durch die doppelte Zeichenlänge von 18 Stellen. Sie sehen schon durch 18 Stellen von Kleinbuchstaben kann man schon eine ordentliche Entropie erzeugen.

Anwendung: Bilden Sie einen langen Merksatz. Verketten Sie alle Wörter in Kleinbuchstaben geschrieben hintereinander, Sie müssen dabei nicht einmal die Shift-Taste drücken;-). Bei einem ordentlich langen Merksatz sammeln Sie Zeichenstellen nur noch so dahin und Sie haben im Nu eine bombastische Passwortentropie!

Kleiner Tipp dazu: Setzen Sie einen Passwort-Safe oder -manager ein, damit Sie gut unterstützt für jeden Zugang - und das ist für Ihr Risiko wichtig! - tatsächlich ein eigenes Passwort definieren. Nehmen Sie zum Beispiel den kostenlosen Passwort-Safe 'KeePass' (beziehbar über den Link: https://keepass.info/ und das https ist für Ihre Sicherheit wichtig!). Der ist sogar für viele verschiedenartige Betriebssysteme erhältlich (Interoperabilität) und zeigt Ihnen gleich die Passwortentropie in bits angegeben mit an. Immerhin ist die Datenhaltung dieses Passwortmanagers ab Version 2 mit AES-258-bit verschlüsselt. Selbst Quantencomputer der chinesischen oder amerikanischen Dienste können da nicht ran:-) Kombinieren Sie das jetzt für die die Ablage mit einer abgesicherten Private-Cloud, haben Sie den sogar weltweit unter Anwendung einer verschlüsselten VPN-Verbindung sicher bei sich zur Verfügung! Ganz Mutige legen die Datenhaltung von KeePass gleich z.B. in DropBox ab.

Bei nach obigem Verfahren so leicht erzeugten großen Passwortlängen können Sie sich es leisten, den nervig häufigen gerade auch sehr mit Sicherheitsproblemen verbundenen Passwortwechsel zu sparen. Jährliche Perioden sind dann voll ausreichend, wenn Sie mehr Risikoappetit und Passwortentropien >= 128 bits haben, können Sie es riskieren es gleich ganz sein zu lassen. Sie tragen dann allerdings das Risiko einer unentdeckten Kompromittierung des Passworts, welches Sie durch die regelmäßigen Passwortwechsel als Gegenmaßnahme minimieren (mitigieren) oder noch besser durch eine Zwei-Faktoren-Authentifizierung (2FA), z.B. insbesondere für den Masterpasswortzugang eines Passwort-Safes, kompensieren. Wird ein Passwort "abgephisht" (leider nach wie vor eine weltweit erfolgreiche Methode!) oder das Passwort wird versehentlich, wenn nicht sogar absichtlich, oder durch die gelungene Platzierung eines Keyloggers zugänglich gemacht (Kompromittierung), dann müssen Sie so schnell wie möglich handeln und das Passwort auswechseln (so in etwa lautet auch die neueste Empfehlung der amerikanischen Standardorganisation NIST).

Besonderes Augenmerk gilt es den voreingestellten Passwörtern von Herstellern zu widmen. Den Hackern sind diese so gut wie alle bekannt! Hier gilt es unbedingt auf alle Fälle das voreingestellte Passwort durch ein eigen definiertes sicheres Passwort so rasch wie möglich auszutauschen. Sie glauben nicht, was diese Sicherheitslücke sogar bei größeren (oder gerade deswegen?) Unternehmen an enormen Schäden auslösen kann.

Um das Ganze noch näher zu beleuchten kann ich den Leitfaden des BSI empfehlen unter dem Link: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html

Vergessen Sie aber den Quatsch mit den vielen einzusetzenden Zeichenklassen. Das kommt noch aus den Zeiten als Passwörter höchstens 8 oder noch weniger Stellen aufweisen durften um damit noch einen Hauch von Entropie erzeugen zu können. Aber mit den obigen Ausführungen verstehen Sie das jetzt ja: Der bedeutend entscheidendere Treiber für Ihre Passwortsicherheit ist der Einsatz großer Passwortlängen.

Eine sehr gute Referenz zum Wissen über Passwörter finden Sie in Wikipedia unter dem Link:
https://de.wikipedia.org/wiki/Passwort

Dem gibt es dann nichts mehr an Wissen hinzuzufügen.