Erstellung und Benutzung eines sicheren Passworts

Es empfiehlt sich, für jede Anwendung ein anderes Passwort zu vergeben. Wird das Passwort einer Anwendung durch einen Angreifer ermittelt, bleibt für den Angreifer der Zugriff auf eine andere Anwendung weiterhin verwehrt.

Speziell gegen Phishing im Internet empfiehlt es sich, das Passwort als Hash-Wert aus einem Passwort, welches sich der Benutzer aussucht, sowie der Domain der Webseite zu bilden. Dies führt einerseits dazu, dass jede Webseite automatisch ein anderes Passwort bekommt, selbst wenn der Benutzer immer das gleiche Passwort eingeben sollte. Viele Phishingmethoden können auf diese Weise unterbunden werden. Gegen Keylogger hilft dies jedoch nur bedingt.

Viele Passwörter, wie 123456, können aufgrund ihrer Einfachheit von Angreifern leicht erraten werden. Da die meisten Passwörter von menschlichen Benutzern eingegeben werden (im Gegensatz zur Erzeugung durch Zufallsgeneratoren) und vor allem leicht einprägsam sein müssen, kommen häufig einfach zu erratende Passwörter zum Einsatz, wie z. B. der eigene Name oder der Name eines Familienmitgliedes, des Freundes oder Haustieres, sowie Geburtstage oder Adressen.

Das Passwort sollte lang genug sein, um nicht durch Ausprobieren (Brute-Force-Angriff) ermittelt werden zu können. Das System sollte außerdem einen ausreichend großen Zeichensatz verwenden, mit dem das Passwort gebildet wird. Die erforderliche Länge und Zusammensetzung hängt von mehreren Faktoren ab:
Welche Zeichen verwendet werden (Ziffern, Buchstaben, Sonderzeichen, geordnet nach Komplexität, da Ziffern nur zehn Variationen von 0–9, Buchstaben hingegen 26 oder mit Groß- bzw. Kleinschreibung sogar 52 Variationen pro Zeichen zulassen, welche einen Brute-Force-Angriff auf das Passwort deutlich erschweren).

Ein Passwort kann auch mithilfe von Zeichen sicherer gemacht werden, die es auf der Tastatur nicht gibt, z. B. „®,¤,©“. Diese Zeichen werden meist bei Brute-Force-Angriffen außer Acht gelassen. Zum Eintippen verwendet man unter Windows dann Alt + 0174, Alt + 0164 und Alt + 0169. Die Ziffern müssen bei eingeschaltetem Num-Lock auf dem Ziffernblock getippt werden. Diese Methode ist nicht auf allen Systemen anwendbar, da für das Kennwort entweder nur ein eingeschränkter Zeichensatz zulässig ist (z. B. einige Großrechner) oder eine Eingabe über eine physische Tastatur nicht möglich ist (z. B. bei Smartphones).

Ein Passwort sollte nicht mittels eines Wörterbuchangriffs gefunden werden können. Dies kann durch Kunstwörter ohne logischen Bezug, wie z. B. „Pfeifenleuchte“ oder „Vogeltastatur“ nicht ganz verhindert werden, da Wörterbuchangriffe auf Listen bekannter Passwörter und Begriffe zugreifen und komplexere Wörterbuchangriffe mit Hybrid-Funktion mehrere Wörterreihen kombinieren und so auch Kunstwörter brechen können. Durch die Kombination mehrerer Wörter erhöht sich die Anzahl der zu ratenden Kombinationen sehr schnell, so dass durch mehrere willkürlich ausgewählte Wörter durchaus starke Passwörter erzeugt werden können. Der Einsatz von Leetspeak kann dazu dienen, durch eingestreute Sonderzeichen einen Wörterbuchangriff zu erschweren und das Wort trotzdem lesbar zu halten.

(Auszug Wikipedia)