Kassel/Ulm (dpa/gms) - Nur ein Passwort für sämtliche Internetaktivitäten zu haben ist bequem und ziemlich leichtsinnig. «Ein gutes Passwort sieht aus, als hätten Sie ihren Kopf über die Tastatur gerollt», sagt der IT-Techniker Holger Rickert aus Kassel.

Es soll so wirken, als habe der Benutzer wahllos irgendwelche Tasten gedrückt. Wer sich bei einem Internetanbieter mit dem Vornamen der Ehefrau oder einer Zahlenreihe wie 12345 anmeldet, riskiert, dass jemand anderes sich in den eigenen Account einloggt.

Ist das Passwort einmal geknackt, kann der Angreifer versuchen, sich mit den gleichen Daten auch bei anderen Diensten anzumelden. Ein eigenes Passwort für jeden Internetdienst zu haben, ist daher sinnvoll. Wer Schwierigkeiten hat, sich Passwörter zu merken, kann auf entsprechende Software zurückgreifen. Rickert empfiehlt zum Beispiel das kostenlose Programm KeePass, das unter http://keepass.info/ heruntergeladen werden kann.

Auch am Fraunhofer-Institut für Sichere Informationstechnologie in Darmstadt wurde ein Programm entwickelt, das Benutzern hilft, sich einfach und sicher einzuloggen. Das Programm erzeugt für jeden Internetdienst ein anderes Passwort, das jedes Mal neu generiert wird. Informationen dazu gibt es unter http://www.passwortsitter.de.

In seinem Weblog gibt der Internetexperte Mathias Bank aus Ulm unter http://forenblogger.de/2006/08/15/wohlklingende-passworter/ Beispiele für gute und schlechte Passwörter. Ein gutes Passwort kann laut Bank eine Aneinanderreihung von Buchstaben sein, die sich gut aussprechen lässt, aber trotzdem keinen Sinn ergibt.

Wer für jeden Internetdienst ein anderes Passwort verwenden will, kann einen Merksatz auf den jeweiligen Anbieter beziehen und jeweils den ersten Buchstaben angeben. Statt dem Anfangsbuchstaben können auch jeweils die ersten beiden Buchstaben verwendet werden, schlägt die Informatikprofessorin Claudia Eckert aus Darmstadt vor.

«Der Merksatz "Meine Mails lese ich jeden Tag" würde dann zum Beispiel MeMaleicjeTa ergeben», so die Leiterin des Fraunhofer-Instituts für Sichere Informationstechnologie. Auch hier gilt, dass das Passwort noch mit Ziffern und Sonderzeichen gespickt werden muss.

«Jedes Passwort kann geknackt werden. Die Frage ist nur, wie lange es dauert», sagt Mathias Bank. Wer es einem Angreifer schwer machen will, müsse seine Passwörter etwa alle 30 Tage ändern. Norbert Pohlmann, Informatikprofessor am Institut für Internetsicherheit in Gelsenkirchen, hält einen Passwort-Wechsel alle zwei bis drei Monate für ausreichend.

Nach Pohlmanns Ansicht ist die Anmeldung mit Benutzername und Passwort grundsätzlich unsicher. «Passwörter sind das älteste und simpelste Verfahren um sich zu authentifizieren und auch das schlechteste.» Als Alternativen schlägt er Smartcards vor, also Plastikkarten mit integriertem Chip, oder auch digitale Signaturen. Beide könnten als eine Art Schlüssel fungieren: digitale Signaturen gelten unter Experten als fälschungssicher.