Schwache Passwörter sind oft der einfachste Weg, an private Daten heranzukommen. Zum einen hängen Methoden wie Geräteverschlüsselung sehr davon ab, mit guten Passwörtern gesichert zu sein. Schwache Passwörter können auch ein Einfallstor in Online-Accounts wie E-Mail-Postfächer, Clouds (Dropbox etc) oder Social Media Accounts darstellen. Es gibt auch gezielte Versuche, Aktivist:innen auf diese Weise zu doxxen.

In den meisten Fällen muss man davon ausgehen, dass eine Angreiferin unendlich viele Versuche hätte, um ein Passwort zu erraten. Sie könnte einen sehr leistungsfähigen Computer benutzen und diesen mit Wörterbüchern und Zeichen aus allen möglichen Sprachen füttern, und den Computer alle möglichen Kombinationen ausprobieren lassen. Dieses Vorgehen nennt man auch Brute Force, übersetzt rohe Gewalt. Ein solcher Computer könnte auch gezielt Kombinationen von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen ausprobieren.

Vor solchen Methoden sind von Menschen ausgedachte Passwörter in der Regel nicht sicher. Um sich Passwörter merken zu können, helfen vertraute Muster, Laute, Zeichenfolgen oder Wörter. Noch so spitzfindige Passwörter können durch sogenanntes Social Engineering geknackt werden: Durch Überwachung und gründliche Recherche ist es möglich, den Wortschatz und die Interessen einer Person herauszufinden, und daraus individualisierte Listen von Wörtern und Zeichen zusammenzustellen.

Hinzu kommt, dass sich die meisten Menschen nur eine begrenze Anzahl zufälliger Zeichenketten merken können. Das führt dazu, dass Menschen oft den Fehler machen dieselben Passwörter für verschiedene Webseiten benutzen. Nicht selten gelingt es Hacker:innen die User-Datenbanken größerer Online-Dienste zu erbeuten. Die miteinander verknüpfen Mail-Addressen und Passwörter probieren sie dann direkt bei anderen Seiten aus, die zwar nicht vom eigentlichen Hack betroffen sind, wo die Anmeldedaten für viele User:innen aber dieselben sind.

Wirklich sicher sind nur reinen Zufall generierte Passwörter, die man nicht wiederverwendet. Diese vielen zufälligen Passwörter braucht man sich aber nicht selbst zu merken. Du kannst einen Passwort-Manager benutzen, um für dich zufällige Passwörter zu generieren und diese in einer verschlüsselten Datenbank abzuspeichern. Diese Datenbank wird mit einem Master-Passwort gesichert, sodass du dir nur ein einziges Passwort merken muss - dass aber dafür sehr kompliziert sein kann. Eine gute Wahl KeePassXC, ein unkommerzielles Projekt das von der Open Source Community entwickelt wird und auf Windows, Mac und Linux läuft.

Ein zufällig generiertes Passwort muss nicht immer schwer zu merken sein. Diese beiden Passwörter beispielsweise sind etwa ähnlich „stark“:

• KU6D7caw74B4pe7FLXLU
• balsamic trailside frantic photo unexposed cloning mutable filler

Das erste ist eine zufällige Kombination von Buchstaben und Zahlen. Das zweite ist eine zufällige Aneinanderreihung von 8 Wörtern die aus einer Liste von knapp 8000 Wörtern ausgewürfelt wurde, auch Diceware-Passphrase genannt.

Die Wahrscheinlichkeit, auf ausgerechnet diese Kombination von Wörtern zu kommen: 1 in 13.367.494.538.843.734.067.838.845.976.576 Versuchen. Eine Angreiferin, die es mit einem „Wörterbuch-Angriff“ versucht, würde selbst mit dem leistungsstärksten Rechner viele Millionen Jahre warten müssen, bis sie alle Kombinationen ausprobiert hat.

Diceware-Passphrases sind besonders nützlich für Festplatten-Verschlüsselung oder als Master-Passwort für Passwort-Datenbanken, also immer man keinen Passwort-Manager zur Hand hat. Der eingebaute Passwort-Generator von KeePassXC kann auch Diceware-Passphrases erstellen. Falls es dich interessiert, kannst du hier weiterlesen wie Diceware funktioniert und wieso sie so heißt.