Ich nehme mal an, der Autor wollte "nun nicht mehr ganz so
UNsichere Passwort" schreiben.
Leider habe ich eine schlechte Nachricht an alle, die sich ein vermeintlich sicheres Passwort so oder so ähnlich erstellt haben:
Ein solches Passwort ist zwar tatsächlich "123456" um Welten überlegen, aber beileibe nicht wirklich sicher. Professionellen Passwortknackern wiedersteht so ein Passwort nicht, weil die heute eine Kombination aus datenbankbasierten Regeln und Bruteforce verwenden. Das geht dann weitaus schneller als Bruteforce allein.
Stark vereinfacht gesagt geht das so: Passwortknacker pflegen Datenbanken, in denen Regeln hinterlegt werden, die Menschen sich zum besseren Merken von Passwörtern ausgedacht haben. Diese Datenbanken werden mit jedem neuen, durch Bruteforce geknackten oder geleakten Passwort größer. Wenn nun ein neues Passwort per Bruteforce geknackt werden soll, wird das Verfahren nicht mehr auf jede mögliche Zeichenkombination angewandt, sonder zunächst getestet, ob bei dem Passwort eine Merkregel aus der Datenbank verwendet wurde. Das reduziert die Anzahl möglicher Zeichenkombinationen massiv. Weil dieser Ansatz schon einige Jahre verfolgt wird, ist die zugehörige Datenbank mittlerweile so umfangreich geworden, dass selbst lange, komplizierte Passwörter, die auf einer Merkregel basieren, in Minuten geknackt werden können.
Ein sehr simples Beispiel für so eine Regel ist, dass viele Passwörter mit einem Großbuchstaben beginnen, weil die dahinter stehenden Merksätze mit einem Großbuchstaben anfangen. Das sieht man ja schön an "PCGHra2018!" Das Bruteforce-Programm wird also zunächst Passwortkombinationen versuchen, die mit einem Großbuchstaben anfangen.
Die Quintessenz daraus ist leider, dass man für ein wirklich sicheres Passwort nicht darum herum kommt, ein echtes Zufallspasswort zu verwenden, hinter dem keine Merkregel stecken darf. Die gute Nachricht ist, dass das gar nicht so schlimm ist, wie es klingt. Ein echtes Zufallspasswort merken sich in kürzester Zeit nämlich die Finger, wenn man es häufig verwendet. Ich brauchte keine Woche, bis ich meines fehlerfrei eingeben konnte.
Dann nehme man einen Passwortmanager, generiere ein wirklich zufälliges, langes Passwort und verwende es als Hauptschlüssel für den Passwortmanager. Mit diesem erstellt man dann für jeden im Internet genutzten Dienst ein separates, zufälliges Passwort. Das Masterpasswort sichert man auf einem Medium, das vor Hackern hundertprozentig geschützt ist, falls man es doch einmal vergessen sollte. Man nennt so ein absolut nicht zu hackendes Speichermedium übrigens Zettel.
So, jetzt bin ich mal gespannt, wie viele Leute mir jetzt erzählen werden, dass so eine Herangehensweise viel zu viel Mühe macht. Ich antworte schonmal jetzt darauf: ihr müsst euch eben entscheiden, ob ihr maximale Bequemlichkeit oder maximale Sicherheit bevorzugt. Für ersteres nehmt ruhig weiter qwertz, aber heult dann nicht rum, wenn euer Steam-Account gehackt wird.
Munter bleiben!