Tipps des BSI für Passwörter:

• Eine ausreichende Anzahl an Zeichen. Mindestens 8, empfohlen sind jedoch 12.
• Der Zeichenvorrat sollte ausreichend benutzt werden. Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. 
• Auf Zahlen am Ende des Passworts sollte verzichtet werden.
• Keine Wörter aus Wörterbüchern, Namen von Freunden/Familien oder Stars, deren Geburtsdatum sollten verwendet werden. Simple Zeichenersetzungen (bspw. "1" für "i", "3" für "e" etc.) in Wörtern reichen nicht.
• Keine Tastaturmuster verwenden ("qwertz", "asdf", "yaqxsw", usw).

Beispiele für gute Passwörter:

•  <Uxe;1m64{;k
•  r-i5o?-+>Y~-
•  0Add*E%>'bcG

Beispiele für schlechte Passwörter:

•  Pa$$w0rt:01/18 Wort aus dem Wörterbuch mit einfachen Ersetzungen, Nummerierung und Jahreszahl.
•  Hund3hü77e#1 Wort aus dem Wörterbuch mit einfachen Ersetzungen und Nummerierung.

Das amerikanische National Institute of Science and Technology (NIST) stellt die Nutzbarkeit in den Vordergrund. So setzt das NIST auf lange Passsätze, statt kurze und komplexe Passwörter.

•  mehrere aneinandergereihte Wörter
•  keine bekannten oder leicht zu erratenden Sätze

Beispiele für gute Passsätze:

•  distel ist landen kammer nutzen
•  intakt harz kleber salbte pferd

Beispiele für schlechte Passsätze:

•  mein auto ist grau
•  ich habe einen hund namens bello

Ein gutes und vor allem zufälliges Passwort selbst zu erstellen fällt vielen schwer.  Ein Computer erstellt in der Regel bessere Passwörter. Dabei sind Passwort-Generatoren eine nützliche Hilfe.  Sie können auch in großen Mengen pseudo-zufällige Passwörter automatisch in kurzer Zeit generieren.

Verwendet man Generatoren, so ist darauf zu achten, dass der Generator selbst vertrauenswürdig ist. Achten Sie vor allem bei online Generatoren darauf, dass die Seite keine Werbung enthält, keine Inhalte von Dritten (Google API, Google Analytics) nachlädt, keine Social Media Buttons enthält (Facebook like etc), und TSL verschlüsselt ist (achten Sie auf das grüne Schloss neben der Adresse). 

Bei Smartphone Apps achten Sie bitte unbedingt auf die Berechtingungen. Eine Passwort App, die Werbung einblendet und Internetzugang benötigt ist unter keinen Umständen vertrauenswürdig.

Auch viele Passwort-Manager bringen Generatoren mit. So können Passwörter einfach generiert und verwaltet werden (siehe Passwörter merken und verwalten).

BSI konforme Passwörter

Lokale Anwendungen:

• pwgen für Linux (bspw. "sudo apt install pwgen")
• pwgen-win für Windows
• pwgen für Mac
• genrand (bash script)

Online Generatoren:

• https://lastpass.com/generatepassword.php

NIST Passsätze

NIST konforme Passsätze können einfach durch Würfeln mit Wortlisten erstellt werden. Dieses Verfahren nennt man Diceware.

• http://world.std.com/~reinhold/diceware.html

Auch dafür gibt es online Generatoren:

•  https://www.rempe.us/diceware/#german

Passwortqualität prüfen

Wie gut ein Passwort ist, lässt sich tatsächlich nur schwer prüfen. Stichwort ist hier die Entropie eines Passworts, in diesem Kontext ein Maß dafür, wie viele Versuche man benötigt, um ein Passwort zu erraten. Dies basiert lediglich auf mathematischen Eigenschaften und ignoriert meist Muster in Passwörtern sowie Wissen über den Anwender. Professionelle Angreifer machen sich aber genau solche Dinge zu Nutzen. Leider können wir keine Online Passwortmeter/-checker empfehlen. Alle von uns geprüften haben Mängel bezüglich Privatsphäre und sollten daher nicht verwendet werden.

Sie sollten Ihr Passwort unbedingt gegen eine Liste der häufigsten Passwörter prüfen. Findet sich ihr Passwort auf solch einer Liste, ist es schneller geknackt, als Sie es eingeben können (Die 10.000 häufigsten Passwörter).

Für den normalen Nutzer ist es schwer, sich alle Passwörter zu merken. Ebenso wirken hohe Anforderungen auf die viele Nutzer lästig. Passwörter sollte man daher irgendwo sichern bzw. verwalten.

Das Abspeichern im Klartext auf dem Computer oder das Aufschreiben auf Notizzetteln ist selbstverständlich keine geeignete Lösung. Passwörter müssen stets verschlüsselt und vor Zugriff Fremder sicher gespeichert werden.

Die Verwendung sogenannter Passwortsafes/-manager, in denen die Zugangsdaten verschlüsselt abgelegt werden, kann bei geeigneter Wahl und sachgerechtem Umgang eine wesentliche Erleichterung darstellen. 

Passwortmanager gibt es in vielen verschiedenen Ausführungen und unterscheiden sich oft signifikant im Funktionsumfang. Betriebssysteme bringen oft einen Passwortmanager mit (Mac Schlüsselbund, Ubuntu Seahorse) und auch die gängigen Browser haben einen integrierten Passwortmanager ("Wollen Sie sich dieses Passwort merken?").

Funktional können manche Passwortmanager Passwörter

• direkt in Formularfeldern des Browsers eintragen lassen,
• zwischen Geräten synchronisieren,
• nach definierbaren Qualitätsmerkmalen generieren
• ein Ablaufdatum setzen, so dass der Bedarf nach einer Änderung optisch angezeigt wird.

Wenn ein Tool zur Speicherung von Passwörtern genutzt werden soll, sind die im Folgenden beschriebenen Anforderungen zu beachten:

• Es darf nicht möglich sein, sich ohne Eingabe eines Master-Passwortes anmelden zu können, bspw. sollte das Master-Passwort nicht "gemerkt" werden.
• Nach einem vorgegebenen Inaktivitäts-Zeitraum sollte der angemeldeten Nutzer automatisch abgemeldet werden.
• Für die Verschlüsselung muss ein geeignetes Verschlüsselungsverfahren mit ausreichender Schlüssellänge zum Einsatz kommen.
• Da der Zugriff auf den Passwort-Safe selbst sehr gut abgesichert sein muss, sollte der Zugang mit Zwei-Faktor-Authentifizierung möglich sein.
• Das Produkt sollte vertrauenswürdig sein. Idealerweise ist der Quellcode frei verfügbar, damit er von unabhängigen Experten untersucht werden kann. Sicherheitsrelevante Zertifizierungen sind empfehlenswert. Insbesondere webbasierte Dienste zur Passwort-Verwaltung sollten nur dann benutzt werden, wenn die Zuverlässigkeit des Dienstleisters in einem angemessenen Verhältnis zum Schutzbedarf der damit verwalteten Passwörter steht. 
• Passwortmanager dürfen nur auf vertrauenswürdigen IT-Systemen genutzt werden.
• Die Autofill-Funktion muss deaktiviert sein, da Skripte auf Websites die gespeicherten Zugangsdaten aus den Passwortmanager über versteckte Formularfelder einfach extrahieren und an entfernte Server schicken können, vgl. [1].

[1] heise-Artikel "Tracking-Skripte klauen E-Mail-Adressen aus Web-Browsern" (01/2018), online abrufbar unter: https://www.heise.de/security/meldung/Tracking-Skripte-klauen-E-Mail-Adressen-aus-Web-Browsern-3931772.html

Wie richtig anmelden

Lassen Sie sich bei der Eingabe von Passwörtern nicht über die Schulter schauen. Achten Sie auf Ihre Umgebung.

Prüfen Sie ihren Rechner regelmäßig auf Schadsoftware. Haben Sie den Verdacht, Ihr Computer könnte manipuliert worden sein, prüfen Sie, ob evtl. sog. Keylogger angebracht wurden. Dies sind kleine Geräte, die meist zwischen Tastatur und Computer oder in einem USB Port angebracht werden, und Tastatureingaben mitschneiden.

Wo richtig anmelden

Sie sollten Ihre Zugangsdaten nur an vertrauenwürdigen Geräten eingeben, niemals an öffentlichen, nicht kontrollierbaren Systemen, wie in Internet-Cafés oder Hotel-Lobbys.

Damit Authentifizierungsinformationen bei der Eingabe oder der Übermittlung an das Zielsystem nicht abgelauscht werden können, muss auf eine sichere Übertragung geachtet werden.

Insbesondere öffentliche WLAN-Netze bergen das Risiko, dass Angreifer den Netzwerkverkehr belauschen. Angreifer könnten auch selbst erstellte WLAN-Netze verwenden, um Benutzer fehlzuleiten und deren Daten mitzuschneiden und zu manipulieren ( Man-in-the-middle-Angriff). Geben Sie Ihre Benutzerdaten daher nur in vertrauenswürdigen Netzwerkumgebungen ein.

Bei Webdiensten muss der Login stehts verschlüsselt sein. Man erkennt dies an einem geschlossenen Schloß sowie dem Präfix "https://" in der Adress-Zeile des Browsers. Achten Sie bei der Eingabe der Adresse auch auf Schreibfehler. Angreifer verwenden oft Adressen mit typischen Schreibfehlern, um Nutzer auszuspionieren (bspw. yuotube.com).

Sitzung beenden

Die besten Passwörter nützen nichts, wenn Computer unachtsam verlassen und laufende Sitzungen ungeschützt offen bleiben.

Beenden Sie nach getaner Arbeit Ihre Sitzung (logout). Wenn Sie ihren Rechner / Arbeitsplatz verlassen, sperren Sie ihn, auch, wenn es sich nur um eine kurze Abwesenheit handelt. Die Sperre sollte so eingestellt sein, dass ein Entsperren die Eingabe des Passwortes erfordert.

Manche Webseiten arbeiten mit Sitzungs-Cookies, die eine bestimmte Laufzeit haben, in der man angemeldet bleibt. Können Sie sich auf einer Webseite nicht ausloggen, so müssen Sie den Browser komplett schließen, um die Sitzung zu beenden und sich effektiv auszuloggen.

Wenn Sie das Gefühl haben, sie wurden "gehackt", weil beispielsweise von Ihrem Konto unbekannte Mails geschrieben wurden, oder wenn jemand Ihr Passwort in Erfahrung bekommen hat, dann sollten Sie in jedem Fall Ihr Passwort wechseln.

Online-Dienste sind permanenten Angriffen ausgesetzt und immer wieder kommt es vor, dass dort sensible Informationen wie Namen und Passwörter von Nutzerkonten ergaunert werden. Solche Listen werden dann im Darknet zum Kauf angeboten. Sie können prüfen, ob sie auf solch einer Liste stehen.

https://haveibeenpwned.com/

Falls Sie wirklich auf einer der Listen stehen, sollten Sie umgehend Ihre Passwörter bei den aufgeführten Diensten wechseln. Sie sollten dieses Passwort niemals mehr bei irgendeinem Dienst verwenden.

Bei Fragen oder Problemen, zögern Sie nicht und wenden Sie sich an den Helpdesk des kiz.