Passwortsicherheit

Die wichtigsten Tipps für ein sicheres Passwort

Sie nutzen täglich Passwörter, sei es für die TU-ID, zur Nutzung zentraler IT-Services an der TU Darmstadt, zum Entsperren von Smartphones oder als Login für E-Commerce-Plattformen oder Social-Media-Kanäle. Wer Ihre Zugangsdaten kennt, kann sie missbrauchen und zum Beispiel Ihre Mails lesen oder auf Ihre Kosten einkaufen. Wählen Sie deshalb sichere Passwörter und halten Sie diese geheim.

Wie sieht ein sicheres Passwort aus? Und wie merkt man sich ein gutes Passwort? Im Folgenden haben wir für Sie die wichtigsten Tipps zusammengefasst. Zum sicheren Umgang mit Passwörtern und für weitere Details beachten Sie die Passwortrichtlinie der Technischen Universität Darmstadt (wird in neuem Tab geöffnet) .

  • Mit der neuen Passwortrichtlinie ist es notwendig, dass Sie bis zum 30.04.2022 Ihr Passwort an den neuen Standard angepasst haben, ggf. müssen Sie dazu Ihr TU-ID Passwort entsprechend ändern. Das geschieht ganz einfach im IDM Portal über den „Passwort ändern“ Link.
  • Um die Passwortänderung so unproblematisch wie möglich zu machen, haben wir in dieser Handreichung (wird in neuem Tab geöffnet) eine Reihe hilfreicher Tipps und Hinweise für Sie zusammengestellt.

Auf einen Blick

Ein sicheres Passwort...

  • ist mindestens 12 Zeichen (20 bei administrativen Accounts) lang. Grundsätzlich gilt: Je länger, desto besser!
  • enthält möglichst Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen (?!%+…).
  • enthält keine persönlichen Daten wie der Name eines Familienmitglieds, des eigenen Haustieres usw.
  • kommt nicht im Wörterbuch vor.
  • ist kein simples Passwort mit einer einfachen Ziffer oder einem der üblichen Sonderzeichen ($, !, ?, #) am Anfang oder Ende des Wortes.

Aber wie merkt man sich ein solches Passwort?

Eine beliebte Methode funktioniert so: Denken Sie sich einen Satz aus und benutzen Sie von jedem Wort nur den 1. Buchstaben (oder nur den 2. oder letzten etc.). Anschließend verwandeln Sie bestimmte Buchstaben in Zahlen oder Sonderzeichen.

Ein Beispiel: „Morgens stehe ich früh auf und putze meine Zähne drei Minuten lang.“ Nur die ersten Buchstaben: „MsifaupmZdMl“. „i“ sieht aus wie „1“, “&“ ersetzt das „und“: „Ms1fa&pmZdMl“.

Natürlich gibt es viele andere Tricks und Methoden, die genauso gut funktionieren.

Ausführliche Informationen dazu finden Sie auf den Seiten des Bundesamtes für Sicherheit in der Informationstechnologie (BSI). Mehr erfahren

Tipp: Passwort-Manager einsetzen

Wer für jeden Service ein separates, sicheres Passwort wählt, muss sich einiges merken. Passwort-Manager unterstützen beim Merken und Erstellen sicherer Passwörter. Es gibt einige kostenlose und gute Exemplare. Lesen Sie mehr auf der Seite Passwort-Manager .

Weitere Tipps zum Umgang mit Passwörtern

Auch wenn es bei selten genutzten Zugangsdaten schwerfällt – grundsätzlich sollten Sie sich Passwörter nicht aufschreiben.

Lesen Sie auch die Empfehlung des BSI: Wie Passwort-Manager Daten schützen.

Problematisch ist die Gewohnheit, einheitliche Passwörter für viele verschiedene Zugänge (Accounts) zu verwenden. Denn gerät das Passwort in falsche Hände, haben Angreifer Zugriff viele Anwendungen. Sie brauchen nur automatisch zu testen, wo das Passwort noch verwendet wird. Das können zum Beispiel die Mailbox oder alle Informationen auf dem PC sein.

Bei vielen Softwareprodukten werden bei der Installation (bzw. im Auslieferungszustand) in den Accounts leere Passwörter oder allgemein bekannte Passwörter verwendet. Hacker wissen das: Bei einem Angriff probieren sie zunächst aus, ob vergessen wurde, diese Accounts mit neuen Passwörtern zu versehen. Deshalb ist es ratsam, in den Handbüchern nachzulesen, ob solche Accounts vorhanden sind und wenn ja, diese unbedingt mit individuellen Passwörtern abzusichern.

Bei den gängigen Betriebssystemen haben Sie die Möglichkeit, Tastatur und Bildschirm nach einer gewissen Wartezeit zu sperren. Die Entsperrung erfolgt erst nach Eingabe eines korrekten Passwortes. Nutzen Sie diese Möglichkeit! Ohne Passwortsicherung können unbefugte Dritte bei vorübergehender Abwesenheit Zugang zu Ihrem PC erlangen. Unsere Empfehlung: 5 Minuten nach der letzten Benutzereingabe. Zusätzlich gibt es die Möglichkeit, die Sperre im Bedarfsfall auch sofort zu aktivieren (zum Beispiel bei Windows-Betriebssystemen: „WINDOWS-Taste + L“ drücken).

Sie sollten ein Passwort ändern, wenn es den Verdacht gibt, dass es in fremde Hände gelangt ist. Das ist zum Beispiel gegeben, wenn Passwörter eines Dienstleisters, den Sie nutzen, gestohlen wurden. Auch eine Spam- oder Phishing-Mail, die Ihre persönlichen Daten enthält, kann bedeuten, dass jemand aus einem ihrer Accounts Daten abgegriffen hat.

Wenn Sie feststellen, dass Ihr Gerät mit einem Schadprogramm infiziert ist, ändern Sie ebenfalls Ihr Passwort – allerdings erst nach der Bereinigung des Geräts. Manche Schadprogramme zeichnen Zugangsdaten auf und übermitteln diese an Dritte.

Wenn Sie den Verdacht haben, dass das Passwort zu Ihrer TU-ID in fremde Hände gelangt ist oder Ihr Geräte mit Schadsoftware infiziert ist, melden Sie sich umgehend per E-Mail an .

Wie schnell lässt sich Ihr Passwort knacken?

Die Tabelle zeigt, wie lange Ihr Passwort einer Brute-Force-Attacke – also hartnäckigem Ausprobieren aller möglichen Kombinationen – widerstehen kann. Je mehr mehr Zeichen Sie verwenden desto mehr Möglichkeiten gibt es, diese Zeichen zu kombinieren. Und je mehr Kombinationen es gibt, desto mehr Zeit brauchen Kriminelle, um das Passwort zu knacken. Daher sollten sie lange Passwörter mit verschiedenen Zeichenarten (Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen) setzen.