Was seit etwa 15 Jahren als Grundregel für die Auswahl von sicheren Passworten gehalten wurde, ist nun endlich überarbeitet worden: möglichst Sonderzeichen, gemischte Groß- und Kleinschreibung sowie Zahlen sollte man verwenden, das Passwort möglichst alle 90 Tage ändern – so stand es in einer Richtline des National Institute of Standards and Technology (NIST). Bill Burr, der Erfinder dieser Richtlinien hat sich letztens dafür entschuldigt. Die Regeln des NIST (PDF) wurden letztens grundlegend überarbeitet. Keine Rede mehr von Sonderzeichen: längere, leicht zu merkende Phrasen sind offenbar sicherer, am besten mehrere Worte, die im normalen Sprachgebrauch nicht gemeinsam verwendet werden.

Der Grund: nach heutigem Stand der Technik kann ein Passwort mit 7 Stellen wie cFgHzTs in maximal etwa 8 Minuten erraten werden (und keine Sau kann sich das sinnvoll merken!) – bei WordPressIstFlauschig dauert das 16.044.779.517.127.800.000 Jahre(!) und Du hast es dir bereits gemerkt ;-)
Drüben bei 1pw.de gibts eine vollständige Zusammenstellung über den Zusammenhang zwischen Passwortlänge und maximal benötigter Zeit, die ein aktueller PC braucht, um das Passwort zu erraten.

Weiterhin sollte man allerdings nicht dasselbe Passwort für verschiedene Dienste verwenden(!!!) – wenn das Passwort in falsche Hände gerät oder die Datenbank EINES Anbieters gehackt wird, hat man sonst ein massives Problem! Um sich die verschiedenen Passworte zu merken, ist ein Passwortmanager sehr empfehlenswert. Ich verwende seit Jahren Lastpass und bin sehr zufrieden damit!

Dieser xkcd-Comic hat diese „neue“ Erkenntnis schon vor einigen Jahren thematisiert – „wir haben uns 20 Jahre lang angewöhnt, Passworte zu verwenden, die für Menschen schwer zu merken, aber für Computer einfach zu knacken sind“:

Update mit Hintergrundinformation: in diesem Video wird sehr gut erklärt und eindrucksvoll demonstriert, wie Passworte aus einer gehackten Datenbank ausgelesen werden können, obwohl sie dort üblicherweise verschlüsselt gespeichert sind – und wie das für das Knacken weiterer Datenbanken helfen kann (danke an Franz Strohmeier für den Hinweis!):

Du kannst dich noch auf Facebook einloggen?

1. Logge dich in dein Facebook-Konto ein.
2. Klicke auf diesen Facebook-Link, um dein Konto abzusichern und dein Passwort zu ändern. Das neue Passwort sollte Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie ! oder # enthalten. Passworte wie hansi123 oder der Name deiner Katze sind völlig ungeeignet!!! Lies zuerst nach, wie man ein sicheres Passwort wählt!
3. Klicke oben links auf „Profil bearbeiten“, dann auf „Kontaktinfos und allgemeine Infos“ und neben „E-Mail-Adresse“ auf „Bearbeiten“ (Screenshot) Prüfe, ob dort tatsächlich nur Mailadressen eingetragen sind, die dir gehören. Entferne alle fremden Adressen (durch Klick auf „E-Mail-Adressen hinzufügen/entfernen“).
4. Dasselbe machst du bei den eingetragenen Handynummern („Profil bearbeiten“, dann auf „Kontaktinfos und allgemeine Infos“, „Mobiltelefone“)
5. Danach Sicherheitseinstellungen anpassen: rechts oben auf das kleine Dreieck klicken (Screenshot), auf „Einstellungen“, dort links oben auf „Sicherheit“ (oder direkt mit diesem Link). Dort lässt sich z.b. unter „Anmeldungswarnungen“ einstellen, dass du verständigt wirst, wenn jemand sich mit einem neuen Gerät in dein Konto einloggt oder unter „Anmeldebestätigungen“ dass du dein Telefon als zusätzliche Sicherheitsschranke verwenden willst – vor jedem Einloggen kommt dann ein SMS mit einem Code auf dein Handy, der auf Facebook einzugeben ist. Es nutzt einem Angreifer also nicht einmal etwas, wenn der deinen Benutzernamen und dein Kennwort weiß. Ich empfehle beides zu aktivieren! Es finden sich dort noch eine Menge anderer schlauer Tuningmöglichkeiten für die Sicherheit deines Kontos (etwa „Zuverlässige Kontakte“, die man um Hilfe bitten kann, wenn man sich ausgesperrt hat oder wer im Falle deines Todes dein Facebook-Konto weiterverwalten darf)
6. Ebenfalls in den Sicherheitseinstellungen zu finden: „Deine Browser und Apps“ – hier wird verwaltet, welche Geräte und Browser als vertrauenswürdig gelten, du dich also nicht neu anmelden musst, wenn du sie verwendest. Hier empfehle ich, alle zu entfernen – du wirst dich lediglich am Handy und auf deinem Browser neu einloggen müssen und ggf. den eingerichteten Sicherheitscode eingeben müssen.
7. Zu guter Letzt: verdächtigen Apps die Zugriffsberechtigungen entziehen („Einstellungen“ -> „Sicherheit“ -> „Apps“ oder direkt mit diesem Link). Dort auf „Mit Facebook angemeldet“ und auf „Alle anzeigen“ klicken (Screenshot). Bei verdächtigen Postings am eigenen Profil steht meist dabei, welche App dieses Posting verfasst hat – diese auf jeden Fall entfernen – mit dem Mauszeiger über die betreffende App und auf das X klicken (Screenshot – und alle von der App geposteten Beiträge ebenfalls, man wird das im nächsten Schritt gefragt). Bei dieser Gelegenheit kann man gleich entrümpeln: alle Apps, die man z.B. ohnehin nicht mehr nutzt oder die suspekt erscheinen – weg damit!
8. Bonus: auch über Browser-Addons kann Spam auf ein Facebook-Konto geschleust werden. Diese sollte man also ebenfalls prüfen und verdächtige AddOns ggf. deinstallieren. Mehr Info dazu gibts drüben bei mimikama.at

Du kannst dich nicht mehr in Facebook einloggen und/oder hast keinen Zugriff mehr auf dein Mailkonto?

1. Wenn du noch Zugriff auf das Mailkonto hast, das mit Facebook verbunden ist: prüfen, ob eine Mail über eine Passwortänderung dort eingetroffen ist. Das Mail enthält einen Link, um das Passwort erneut zurückzusetzen.
2. Um das Passwort zu ändern, gibts einen entsprechenden Link auf der Facebook-Loginseite („Passwort vergessen“ bzw. „Konto vergessen“).
3. Wenn du keinen Zugriff mehr auf das Mailkonto hast, das mit Facebook verknüpft ist: dann ebenfalls auf „Passwort vergessen“ bzw. „Konto vergessen“ klicken und Benutzername bzw. Mailadresse eingeben. Im nächsten Schritt gibt es einen entsprechenden Link, wenn man keinen Zugriff mehr auf seine Mailadresse hat. Dann den Anweisungen folgen.

Es hat alles nicht funktioniert? An Facebook wenden!

Facebook bietet für diese Fälle unter www.facebook.com/hacked/ die Möglichkeit, ein gehacktes Konto wiederherzustellen – dort kann man sich auch mit altem Passwort einloggen und die Wiederherstellung des Kontos anfordern.

Zum Abschluss auf jeden Fall den Rechner mit einem aktuellen Antivirus-Programm prüfen (ich persönlich empfehle Avira).

Du hast Anmerkungen oder Ergänzungen dazu? Ab damit in die Kommentare!

/* Erster Schritt: Der Auszug des Beitrags wird auf Übersichtsseiten angezeigt */
function egm_excerpt_protected( $excerpt ) {
if ( post_password_required() )
{
$post = get_post();
$excerpt=$post->post_excerpt;
}
return $excerpt;
}
add_filter( 'the_excerpt', 'egm_excerpt_protected' );

/* Zweiter Schritt: eingeloggte User kriegen den Inhalt auch ohne Passwort zu sehen */
function egm_protected_posts_for_loggedin_users( $content ) {	
if ( post_password_required() && is_single() && is_user_logged_in ()) {
	$post = get_post();
	$content = wpautop($post->post_content);
    return do_shortcode($content);
}
else return $content;
}
add_filter( 'the_content', 'egm_protected_posts_for_loggedin_users', 10 );

111111, 11111111, 112233, 121212, 123123, 123456, 1234567, 12345678, 131313, 232323, 654321, 666666, 696969, 777777, 7777777, 8675309, 987654, aaaaaa, abc123, abc123, abcdef, abgrtyu, access, access14, action, albert, alexis, amanda, amateur, andrea, andrew, angela, angels, animal, anthony, apollo, apples, arsenal, arthur, asdfgh, asdfgh, ashley, asshole, august, austin, badboy, bailey, banana, barney, baseball, batman, beaver, beavis, bigcock, bigdaddy, bigdick, bigdog, bigtits, birdie, bitches, biteme, blazer, blonde, blondes, blowjob, blowme, bond007, bonnie, booboo, booger, boomer, boston, brandon, brandy, braves, brazil, bronco, broncos, bulldog, buster, butter, butthead, calvin, camaro, cameron, canada, captain, carlos, carter, casper, charles, charlie, cheese, chelsea, chester, chicago, chicken, cocacola, coffee, college, compaq, computer, cookie, cooper, corvette, cowboy, cowboys, crystal, cumming, cumshot, dakota, dallas, daniel, danielle, debbie, dennis, diablo, diamond, doctor, doggie, dolphin, dolphins, donald, dragon, dreams, driver, eagle1, eagles, edward, einstein, erotic, extreme, falcon, fender, ferrari, firebird, fishing, florida, flower, flyers, football, forever, freddy, freedom, fucked, fucker, fucking, fuckme, fuckyou, gandalf, gateway, gators, gemini, george, giants, ginger, golden, golfer, gordon, gregory, guitar, gunner, hammer, hannah, hardcore, harley, heather, helpme, hentai, hockey, hooters, horney, hotdog, hunter, hunting, iceman, iloveyou, internet, iwantu, jackie, jackson, jaguar, jasmine, jasper, jennifer, jeremy, jessica, johnny, johnson, jordan, joseph, joshua, junior, justin, killer, knight, ladies, lakers, lauren, leather, legend, letmein, letmein, little, london, lovers, maddog, madison, maggie, magnum, marine, marlboro, martin, marvin, master, matrix, matthew, maverick, maxwell, melissa, member, mercedes, merlin, michael, michelle, mickey, midnight, miller, mistress, monica, monkey, monkey, monster, morgan, mother, mountain, muffin, murphy, mustang, naked, nascar, nathan, naughty, ncc1701, newyork, nicholas, nicole, nipple, nipples, oliver, orange, packers, panther, panties, parker, password, password, password1, password12, password123, patrick, peaches, peanut, pepper, phantom, phoenix, player, please, pookie, porsche, prince, princess, private, purple, pussies, qazwsx, qwerty, qwertyui, rabbit, rachel, racing, raiders, rainbow, ranger, rangers, rebecca, redskins, redsox, redwings, richard, robert, rocket, rosebud, runner, rush2112, russia, samantha, sammy, samson, sandra, saturn, scooby, scooter, scorpio, scorpion, secret, sexsex, shadow, shannon, shaved, sierra, silver, skippy, slayer, smokey, snoopy, soccer, sophie, spanky, sparky, spider, squirt, srinivas, startrek, starwars, steelers, steven, sticky, stupid, success, suckit, summer, sunshine, superman, surfer, swimming, sydney, taylor, tennis, teresa, tester, testing, theman, thomas, thunder, thx1138, tiffany, tigers, tigger, tomcat, topgun, toyota, travis, trouble, trustno1, tucker, turtle, twitter, united, vagina, victor, victoria, viking, voodoo, voyager, walter, warrior, welcome, whatever, william, willie, wilson, winner, winston, winter, wizard, xavier, xxxxxx, xxxxxxxx, yamaha, yankee, yankees, yellow, zxcvbn, zxcvbnm, zzzzzz

Leicht zu überprüfen: einfach Twitter-Anmeldeseite aufrufen, Seitenquelltext anzeigen lassen und nach twttr.BANNED_PASSWORDS suchen, steht ziemlich weit unten. Dort stehen all diese (derzeit) 386 Stück, die nicht erlaubt sind. Und die meisten davon sind sicherheitstechnisch eh sowas von ungeeignet, daß man Worte aus dieser Liste auch woanders nicht unbedingt als Passwort verwenden sollte.
(gefunden bei Techcrunch)