Sichere Passworte

Wie ein sicheres Passwort auszusehen hat, kann man Heute an verschiedensten Orten nachlesen.

Die Passwort Richtlinien an der ETH sehen wie folgt aus:

  • mind. 8, max. 30 Zeichen Länge
  • erlaubte Zeichen (Buchstaben, Zahlen, Sonderzeichen): a-z A-Z 0-9 #,-./:=?@[ ]^{ }~
  • keine Umlaute, keine Leerzeichen
  • mindestens ein Spezialzeichen und eine Zahl (sofern weniger als 12 Zeichen)
  • darf kein Wort (4+ Buchstaben) aus dem Wörterbuch enthalten

Tipps:

  • Es sollte mindestens zwölf Zeichen lang sein.
  • Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…) bestehen.
  • Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten etc. sind Tabu.
  • Es soll nicht in Wörterbüchern vorkommen.
  • Tastaturmuster, also asdfgh oder 1234abcd und so weiter sind zu vermeiden.
  • Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? #, am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen ist nicht empfehlenswert. 
  • Meiden Sie online Passwortprüftools, diese würden z.B. Passwort_1 als sicher einstufen.

Achtung: Wenn Ihr System Umlaute (äöü) oder spezielle Sonderzeichen zulässt, bedenken Sie bei Reisen ins Ausland, dass auf anderen Tastaturen diese evtl. nicht eingegeben werden können.

Passwörter unverschlüsselt auf dem PC ablegen oder auf dem Notizzettel unter die Tastatur kleben sind schlechte Varianten um seine Passwörter aufzubewahren. Wenn Sie sich Ihre Passwörter notieren wollen, sollten diese stattdessen auf Papier unter Verschluss gehalten (z.B. in einem abschliessbaren Schrank) bzw. auf dem Rechner in einer verschlüsselten Datei abgelegt werden.

Wenn Sie viele Passwörter haben, empfiehlt sich ein Passwort-Verwaltungsprogramm wie zum Beispiel KeePass (sie finden es an der ETH z.B. im AppV-Kiosk unter Tools & Accessories). Diese Programme können neben der Passwort-Verwaltung auch starke Passwörter generieren. Der Vorteil von solchen Verwaltungsprogrammen ist, Sie müssen sich nur noch ein gutes Masterpasswort überlegen und merken.

Eine beliebte Methode funktioniert so:

Man denkt sich einen einfachen Satz aus und benutzt von jedem Wort nur den 1. Buchstaben (oder nur den zweiten oder letzten). Anschließend verwandelt man bestimmte Buchstaben in Zahlen oder Sonderzeichen. 

Hier ein Beispiel:

  • "Morgens stehe ich auf und putze mir meine Zähne drei Minuten 
    lang."
  • Nur die ersten Buchstaben: "MsiaupmmZdMl".
  • "i und l" sieht aus wie "1", "&" ersetzt das "und": "Ms1a&pmmZ3M1".


Auf diese Weise hat man sich eine gutes Passwort erarbeitet. Natürlich gibt es auch andere Tricks und Methoden, die genauso gut funktionieren.

Wichtig ist nur, dass Sie sich den Satz selbst ausgedacht haben (nicht aus Büchern, Gedichten, Liedern etc.).
Grundsätzlich ist es immer sinnvoll, einen Zufall in die Erfindung eines Passwortes zu integrieren. Zum Beispiel kann man durch den Wurf einer Münze entscheiden, ob ein "und" im Satz durch ein u oder durch & dargestellt wird.

Jedes Passwort sollte regelmässig geändert werden. Viele Programme erinnern Sie daran, wenn Sie das Passwort zum Beispiel schon ein halbes Jahr benutzen. Diese Aufforderung sollten Sie nicht gleich wegklicken – sondern ihr am besten gleich nachkommen! Natürlich macht es dies schwerer, sich alle Passwörter zu merken.  

Problematisch ist die Gewohnheit, Passwörter zu "recyceln". Das heisst für viele verschiedene Zwecke beziehungsweise Zugänge (Accounts) das selbe oder ein sehr ähnliches Passwort zu verwenden. Beispielsweise dasselbe Passwort für das Online-Banking und für soziale Netzwerke zu verwenden.

Denn wenn das Passwort einer einzelnen Anwendung in falsche Hände gerät, hat der Angreifer freie Bahn für Ihre übrigen Anwendungen. Das können zum Beispiel die Mailbox oder alle Informationen auf dem Computer sein.

Bei vielen Softwareprodukten und auch hier an der ETH werden für die Accounts vorgenerierte Passwörter oder allgemein bekannte Passwörter verwendet. 

Hacker wissen das:

Bei einem Angriff probieren sie zunächst aus, ob vergessen wurde, ein neues Passwort zu setzen.

Deshalb ist es ratsam, vorgenerierte Passwörter immer gleich als erstes zu ändern.

Dies gilt insbesondere auch für Ihren WLAN Router zu Hause.

In der Regel werden E-Mails unverschlüsselt verschickt. Unverschlüsselte E-Mails können von Dritten auf ihrem Weg durch das Internet mitgelesen werden. Zudem können E-Mails im Internet herausgefiltert werden oder verloren gehen.

Der Absender einer E-Mail hat daher keine Gewissheit, dass seine Nachricht den gewünschten Empfänger auch wirklich erreicht.

Wenn Sie ihre Passwörter an Andere weitergeben, verlieren Sie die Kontrolle darüber und Sie haben sich umsonst die Mühe für ein gutes Passwort gemacht.

Wichtig:

Mitarbeiter der ETH werden Sie nie nach Ihrem persönlichen Passwort fragen. Auch Servicetechniker vor Ort oder Mitarbeiter der ISG werden das nicht tun.

JavaScript wurde auf Ihrem Browser deaktiviert