# taz.de -- IT-Sicherheit für Einsteiger: Sesam öffne Dich
> In einer taz.de-Serie beschäftigen wir uns diese Woche täglich mit dem
> Thema IT-Sicherheit für Einsteiger. Heute Teil 4: Wie man sichere
> Passwörter wählt und sie bequem verwendet.
(IMG) Bild: Vorsicht! Ohne sicheres Passwort gibt es schnell ein böses Erwachen.
BERLIN taz | Eigentlich hängen all unsere Online-Leben an einem seidenen
Faden: Fast jeder Dienst im Netz wird allein durch eine Kombination aus
Zugangsnamen und Passwort geschützt. Wer eine der beiden Zeichenketten
kennt, kann vielleicht die andere erraten oder sich technischer
Möglichkeiten bedienen, um ihr auf die Schliche zu kommen - so genannte
"Brute Force"-Angriffe, die, wenn nötig, Millionen Passwortvarianten
durchgehen. Um so wichtiger ist es, möglichst gute Zugangsgeheimnisse zu
wählen und sich dabei an einige grundlegende Sicherheitsregeln zu halten.
Die wohl wichtigste: Niemals ein Passwort mehrmals verwenden. Selbst
mancher Online-Profi hält sich nicht an diese Vorgabe. Allerdings bedeutet
dies im schlimmsten Fall, dass ein Angreifer nicht nur ins eigene
E-Mail-Programm, sondern beispielsweise an den Facebook-Account, die
Amazon-Einkäufe oder die iTunes-Bibliothek gelang kann. Hinzu kommt die Art
des Passworts: Begriffe, die in einem Wörterbuch stehen, sollte man
vermeiden. Sie sind durch "Brute Force"- oder Lexikon-Attacken, bei denen
einfach alle Worte der deutschen oder englischen Sprache durchgegangen
werden, viel zu einfach zu brechen.
Stattdessen sind scheinbar sinnlose Ketten aus Groß- und Kleinbuchstaben,
Zahlen und zugelassenen Sonderzeichen - Punkt, Komma, Semikolon,
Fragezeichen, Ausrufezeichen Plus und Minus gehören meistens dazu -
angesagt. Wichtig ist die Passwortlänge: Acht Zeichen sind das Minimum,
zehn oder zwölf sind besser. Das macht es Angreifern deutlich schwerer.
Beim Merken hilft die altbewerte Eselsbrücke. So kann man sich
beispielsweise ein Sätzchen in Groß- und Kleinschreibung, mit Punkt, Komma
oder Ausrufezeichen zurechtlegen und davon dann nur die Anfangsbuchstaben
verwenden. Aus "Ich lese jeden Morgen fröhlich und heiter die taz!" wird
dann beispielsweise "IljMfuhdt!" - schon hat man ein Passwort, das schwer
zu brechen ist.
Allerdings löst sich so nicht das Problem, dass für jeden einzelnen
genutzten Dienst ein eigenes Passwort gewählt werden muss. So müsste man
sich dann eben 20 oder 30 Sätzchen merken - inklusive Nutzernamen, den man
ebenfalls regelmäßig aus Sicherheitsgründen variieren sollte. Als
Gedächtnisstütze bieten sich deshalb spezielle Programme an, so genannte
Passwortmanager. Jeder moderne Browser verfügt inzwischen über diese
Technik, egal ob Firefox, Safari oder Internet Explorer. Alle bieten dem
Nutzer an, sich Passwörter zu merken. Allerdings sind diese Mechanismen
nicht unbedingt gut geschützt: Man muss dann nicht einmal ein Passwort
eingeben, damit der Browser die gespeicherten Passwörter freigibt. Sollte
der eigene Rechner in fremde Hände geraten, kann der Angreifer die
Passwörter zwar nicht mehr sehen, weil sie hinter "****" versteckt sind,
funktionieren tun sie aber.
Aus diesem Grund bietet sich an, über die Anschaffung eines speziellen
Passwortmanagers nachzudenken. Diese Programme helfen bei der Erstellung
von Passwörtern, speichern sie gut geschützt und sind selbst wiederum nur
dann nutzbar, wenn man ein zentrales Passwort eintippt. Unter Windows
bietet sich dazu beispielsweise die Open-Source-Software "KeePass" an, die
auch einen eigenen Passwortgenerator enthält. Sie setzt dann sichere
Passwörter in ein Web-Formular ein und speichert sie sofort. Auf dem Mac
gilt die kostenpflichtige Lösung "1Password" als besonders beliebt. Auch
sie generiert sichere Passwörter, über einen im Mac-Betriebssystem
eingebauten Generator, der sogar die Auswahl zwischen verschiedenen
Passwortarten lässt und speichert sie in einer zentralen Datenbank.
Praktisch ist dabei auch das so genannte "Wallet"-Feature: Es generiert auf
Wunsch Profildaten für E-Commerce-Angebote, die man dann nicht mehr
eintippen muss. Sinnvoll ist ebenfalls, dass man mit Hilfe des
Passwort-Managers relativ einfach Änderungen vornehmen kann. Wer über Jahre
die gleichen Passwörter benutzt, geht ein unnötiges Risiko ein.
***
Dieser Text ist für Sie kostenlos verfügbar. Dennoch wurde er nicht ohne
Kosten hergestellt! Wenn Ihnen der Text gefallen hat, würden wir uns
freuen, wenn Sie der taz dafür einen kleinen Betrag bezahlen. Das können
wenige Cent sein - wir überlassen es Ihnen.
Für unabhängigen Journalismus: taz-Konto 39316106 | BLZ: 10010010 |
Postbank Berlin - Verwendungszweck "taz.de".
22 Apr 2010
## AUTOREN
(DIR) Ben Schwan
## ARTIKEL ZUM THEMA
(DIR) IT-Sicherheit für Einsteiger: Gut und sicher kommunizieren
In einer taz.de-Serie beschäftigen wir uns diese Woche täglich mit dem
Thema IT-Sicherheit für Einsteiger. Heute: Mail und andere
Kommunikationskanäle verstehen und schützen.
(DIR) IT-Sicherheit für Einsteiger: Online-Banking, aber sicher
In einer taz.de-Serie beschäftigen wir uns diese Woche täglich mit dem
Thema IT-Sicherheit für Einsteiger. Heute: Was man bei Bankgeschäften im
Netz beachten sollte.
(DIR) IT-Sicherheit für Einsteiger: Wie schütze ich meinen Rechner?
In einer taz.de-Serie beschäftigen wir uns diese Woche täglich mit dem
Thema IT-Sicherheit für Einsteiger. Teil 1: Wie man seinen PC absichert und
trotzdem Spaß im Netz hat.