IT-Sicherheit

Sichere Kennwörter

Immer öfter sehen wir uns mit persönlichen Anmeldungen im Web konfrontiert, um z.B. zu mehr Diensten oder sonstigem Nutzen (Mehrwert) zu gelangen, Mitglied zu werden, Informationen zu erhalten, usw.. Diese sogenannten Anmelde- oder Zugangsdaten (meist Benutzername und Kennwort) begleiten uns fast täglich.

Hinweis: Es hat sich zwar der Begriff "Passwort" als neudeutscher Begriff etabliert, wir verwenden jedoch entweder die deutsche oder englische Bezeichnung, demnach entweder "Kennwort" oder "Password".

Kennwort-Strategie

Grundregeln für sichere Kennwörter:

  • Mindestens acht, besser 10-12 Zeichen lang
  • Bestehend aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen
  • Niemals das selbe Kennwort für zwei verschiedene Zwecke verwenden!
  • Kennwörter niemals notieren!

Zugegeben, all die im Laufe der Jahre angesammelten, verschiedenen Anmeldedaten im Kopf zu behalten, vermögen wohl nur die wenigsten von uns - den Autor dieser Seite miteingeschlossen.

Deshalb sollten Sie sich eine eigene Kennwort-Strategie überlegen, nach deren Muster Ihre Kennwörter immer aufgebaut sind, dennoch ausreichende Komplexität bieten und auch leicht zu merken sind. Eine dieser Strategien möchten wir Ihnen nachstehend gerne vorstellen. Eigene Abänderungen dieser Beispiel-Strategie durchaus empfohlen!

Haben Sie Ihre eigene Kennwort-Strategie beschlossen, sollten Sie daran gehen, Ihre derzeit bestehenden Kennwörter entsprechend abzuändern. Denn die Strategie alleine hilft im Falle eines Hacker-Angriffs leider nicht!

Kennwörter für das Web (Beispiel)

Für Webseiten-Anmeldungen gleichermaßen verwendbar wie für Kennwörter für E-Mail-Adressen ist die hier vorgestellte Kennwort-Strategie, die aus einem Haupt-Kennwort und einem anwendungsspezifischen Kennwortteil besteht. Das Haupt-Kennwort mit seiner Komplexität bleibt immer gleich, es ändert sich nur der anwendungsspezifische Teil. Das ist auch jener, den Sie sich entweder merken oder den Sie sogar (natürlich ohne Haupt-Kennwort) aufschreiben dürfen. Das Haupt-Kennwort niemals notieren!

  • 1.) Haupt-Kennwort
    Dieses besteht aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen und bringt damit die erforderliche Komplexität mit. Dieser Teil bleibt bei all Ihren Kennwörtern gleich und könnte z.B. so aussehen: "Xyz25${___}", wobei hier "___" für den anwendungsspezifischen Kennwortteil reserviert ist.

    Betrachten wir unser Beispiel-Kennwort im Einzelnen:
    • Xyz -- 3-4 Zeichen, Groß- und/oder Klein-Buchstaben (eigene Strategie)
      Es sollten jedenfalls nicht Ihre Initialen sein. Es könnte die Abkürzung Ihrer Firma sein oder sonst ein Begriff oder Abkürzung, zu dem/der Sie einen Bezug haben und sich leicht merken.
    • 25 -- 2-3 Ziffern
      Dies sollte nicht Ihr Geburtsdatum oder -jahr sein. Es könnte das Gründungsjahr Ihrer Firma sein, oder der Beginn einer Telefonnummer, die Körpergröße vom Chef in [cm], usw.
    • $ -- Ein beliebiges Sonderzeichen. Sind Sie in einem Handelsbetrieb, dann wählen Sie vielleicht das Zeichen "%", Rechtsanwalts-Kanzleien eventuell ein "§"-Zeichen.
    • {} -- Ein zweites beliebiges Sonderzeichen (oder auch -paar), das den anwendungsspezifischen Kennwortteil einschließt.
  • 2.) Anwendungsspezifisches Kennwort
    Dieser Kennwortteil ist der einzige, den Sie sich merken müssen bzw. auch aufschreiben dürfen. Ebenfalls in Groß- und/oder Klein-Buchstaben verfasst (eigene Strategie). Dieser Kennwortteil sollte einen für Sie sprechenden Bezug zur jeweiligen Anwendung (Webseiten, E-Mail, Software-Logins, ...) haben und niemals gleich lauten.

    Vollständige Beispiele könnten demnach sein:
    • Xyz25${wiki} -- Für ein Benutzerkonto bei Wikipedia
    • Xyz25${dudenshop} -- Für ein Shop-Konto bei Duden
    • Xyz25${dudennews} -- Für die Newsletter-Anmedlung bei Duden
    • Xyz25${firewall} -- Um Ihre Firewall im Büro von aussen warten zu können
    • Xyz25${fernwtg} -- Für die Fernwartung von PCs in Ihrem Büro von aussen

    So haben Sie für jede Anwendung ein eigenes und sicheres Kennwort, das Sie sich auch leicht merken können, zur Verfügung. Deshalb benötigen Sie dazu auch keine zusätzliche Software wie z.B. Password Manager zur Kennwort-Verwaltung; Ihr Kopf verwaltet alle!

Sicherheitsfragen zur Kennwort-Wiederherstellung

Oft wird man bei Neuanlage eines Webseiten-Kontos zur späteren Wiederherstellung Ihres Kennwortes (im Falle des Vergessens) zur Beantwortung einer Sicherheitsfrage aufgefordert. Diese Sicherheitsfragen sind meist vorgegeben, in wenigen Fällen kann man auch die Frage selbst frei definieren.

Wenden Sie bei der Beanwortung Ihrer Sicherheitsfrage die selbe Komplexität an, die Ihrer gewählten Kennwort-Strategie entspricht. Ist "Ihre Lieblingsfarbe?" z.B. "rot", dann nehmen Sie als Antwort nach unserem Beispiel (oben) "Xyz25${rot}". Beherrschen Sie zwei Fremdsprachen, können Sie die Sicherheitsfrage stets auch in der zweiten Sprache beantworten, also z.B.: "Xyz25${rosso}".

Kennwörter im eigenen Netzwerk

Kennwörter, die nur im eigenen Netzwerk Verwendung finden und auch von ausserhalb Ihres Büros (externer Zugriff) nicht eingegeben werden müssen, können in Ihrer Komplexität etwas einfacher gestaltet werden. Hier könnte man z.B. auf das zweite Sonderzeichen-Paar im Haupt-Kennwort (oben) verzichten.

Weitere Empfehlungen

Kennwort speichern?
Verwenden Sie niemals die oft angebotene Möglichkeit auf Webseiten (oder auch in Ihrem Betriebssystem am PC), Ihr Kennwort zu speichern. Geben Sie es immer neu ein; auf Grund Ihrer gewählten Strategie merken Sie sich es ja jetzt ganz leicht.

Password Manager
Verwenden Sie keine sogenannten "Password Manager", die konzentriert all Ihre Kennwörter speichern. Mit obiger Strategie haben Sie Ihre Kennwörter künftig immer parat und laufen nicht Gefahr, dass all Ihre Kennwörter unbemerkt (und illegal) im Hintergrund Ihr Büro "verlassen".

Weitere Informationen

  • How Secure Is My Password?
    Prüfen Sie hier, wie lange ein Desktop-PC brauchen würde, um Ihr Kennwort zu knacken. Verwenden Sie hier aber nicht Ihr wirkliches Kennwort, sondern ändern Sie Buchstaben und Ziffern (gleiche Anzahl), belassen Sie aber Ihre Sonderzeichen. Wenn Ihr Kennwort ein Ergebnis von mehr als "50 thousand years" zeigt, können Sie Ihr Kennwort als (heute) sicher ansehen, denn es gibt auch schnellere Computer als Desktop-PCs. Testen Sie unsere Beispiel-Kennwörter oben durch Kopieren/Einfügen.