Wer regelmäßig verschiedene Online-Dienste nutzt, kommt schnell auf eine große Zahl von Passwörtern, die er sich merken muss. Viele Nutzer greifen deshalb oft auf dieselben Wortkombinationen zurück, um ihre Accounts zu schützen. Doch das birgt Risiken. Wir verraten, wie sie sich vor Datenklau und unbefugten Zugriffen auf ihre Online-Konten schützen können.
An jeder Ecke des Internets benötigen Nutzer ein Passwort. Sei es nun für das Email-Konto, das Facebook-Profil oder den Account bei Amazon. Wer oft im Netz aktiv ist, kommt so schnell auf eine große Zahl von Kennwörtern, die er sich merken muss.
Dabei greifen viele oft auf sehr unsichere Passwörter zurück. Seit Jahren führen etwa "123456", "hallo" oder "passwort" die Rangliste der meist genutzten Passwörter in Deutschland an. Das zeigen regelmäßige Untersuchungen des Hasso-Plattner-Instituts der Universität Potsdam.
Weil solche Passwörter relativ schnell und einfach geknackt werden können, warnen Experten immer wieder vor ihnen. Wir klären auf, wo die Gefahren liegen und wie Sie sich am besten gegen das Knacken Ihres Passwortes schützen.
Gütekriterien eines Passwortes
Um ein fremdes Passwort zu entschlüsseln, können Hacker auf sogenannte Brute-Force-Angriffe zurückgreifen. Dazu werden Programme verwendet die mit "roher Gewalt" (brute force) solange verschieden Zeichenfolgen ausprobieren, bis sie das richtige Passwort herausgefunden haben.
Mit der Methode lässt sich prinzipiell jedes Kennwort knacken. Dabei variiert die Anzahl an möglichen Kombinationen die ein solches Programm in einer gewissen Zeit durchrechnen kann, abhängig von der Rechenleistung des verwendeten Computers.
Mit steigendem Komplexitätsgrad eines Passworts dauert dessen Ermittlung allerdings erheblich länger. Für den Sicherheitsgrad eines Kennworts sind deshalb grundsätzlich zwei Faktoren relevant. Erstens die Länge des Passworts und zweitens die Anzahl der Zeichen, die darin vorkommen können.
"Die Anzahl der Versuche, ein Passwort zu knacken, erhöht sich bei der Verwendung von Groß-, Kleinschreibung, Sonderzeichen und Ziffern mit jedem zusätzlichen Zeichen um den Faktor 95", erklärt Professor Christoph Meinel, Leiter des Hasso-Plattner-Instituts im Gespräch mit der Deutschen Presse-Agentur (dpa).
Bei einem fünf Zeichen langen Passwort entspricht das in etwa sieben Milliarden Versuchen, bei der empfohlenen Mindestlänge von acht Zeichen dagegen mehr als sechs Billiarden.
Ein Passwort sollte keine echten Wörter beinhalten
Meinel verweist allerdings darauf, dass das Passwort in keinem Wörterbuch stehen sollte. "Der Duden ist elektronisch verfügbar und kann leicht abgeglichen werden". Hacker können nämlich auch vordefinierte Passwort-Listen verwenden um sich Zugang zu einem Account zu verschaffen.
Solche Sammlungen können Wörter die in Lexika und dergleichen vorkommen, Sprichwörter, Namen und viele andere Begriffe beziehungsweise Kombinationen enthalten. Selbst leicht abgewandelte Wörter können von Hackern oft nahezu problemlos geknackt werden.
Deswegen ist es ratsam, mit Sonderzeichen durchsetzte, sinnfreie Kombinationen mit Zahlen, sowie groß und Kleinbuchstaben zu verwenden.
Expertentipp von Edward Snowden
Der bekannte Whistleblower und ehemalige CIA-Mitarbeiter
Snowden nannte als Beispiel den Satz "MargaretThatcheris110%SEXY". Neben Groß- und Kleinbuchstaben so wie Zahlen, lassen sich per Interpunktion auch Sonderzeichen in die Sinnlos-Sätze einbauen, was die Sicherheit erhöht. Zudem sind solche Kombinationen auch gut merkbar.
Auch das Bundesamt für Sicherheit in der Informationstechnologie (BSI) rät Nutzern zur Verwendung von Passphrasen. Allerdings ist diese Methode nicht unumstritten, da die dabei entstehenden Kombinationen nicht willkürlich genug sein können.
Das BSI hat aber noch einen weiteren Vorschlag, wie sich Passwörter sicherer machen lassen. So rät die Behörde dazu, Sätze durch gewisse Muster zu modifizieren.
Das lässt sich beispielsweise dadurch bewerkstelligen, dass man von jedem Wort den ersten Buchstaben nimmt und von den restlichen verbleibenden Lettern einige in Sonderzeichen umwandelt.
Aus "Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang" wird so etwa "Msia&pmmZ3Ml". Da das Passwort trotz der Umgestaltung einer inneren Logik folgt, ist aber auch diese Methode nicht völlig sicher.
Für normale Internetnutzer stellen die erwähnten Kritikpunkte aber oftmals kein großes Problem dar. Denn viele Webseiten erlauben nur eine begrenzte Zahl an Login-Versuchen, bevor sie das Konto sperren.
Praktisches und risikoreiches Tool: Passwortmanager
Egal wie gut ein Passwort auch ist: Wer überall den gleichen Code verwendet geht ein Risiko ein. Um bei der Vielzahl an Passwörtern, die sich schnell ansammelt, den Überblick zu behalten, können Passwortmanager hilfreich sein.
Die Programme dienen als Safe, in welchem Nutzer ihre Passwörter verschlüsselt speichern können. Gesichert werden die Zugangscodes wiederum über ein Masterpasswort.
Passwortmanager gibt es in zwei Varianten: offline und online. Bei Offline-Programmen - zum Beispiel Keepass - liegen die Daten auf dem Nutzerrechner, während Internet-Dienste - zum Beispiel Lastpass oder 1Password - die Datenbank mit den Passwörtern verschlüsselt auf einem Server speichern.
Mit den Online-Managern haben Nutzer recht einfach Zugriff von allen Geräten - ob Rechner, Tablet oder Smartphone. Offline muss der Nutzer die Passwortdatei von Hand hin und her kopieren: Zum Beispiel, um die Liste vom Rechner auf das Smartphone zu übertragen.
Die Programme bieten vor allem zwei große Vorteile. Erstens können durch sie komplexere Kombinationen für die einzelnen Logins gewählt werden. Zudem hat man mit ihnen alle seine Zugriffsdaten überall zur Hand.
Letzteres ist aber zugleich auch ein Sicherheitsrisiko. Denn wird das Masterpasswort geknackt, sind auch alle in dem Programm abgespeicherten Kennwörter ungeschützt.
Online-Account mit Zwei-Faktor-Authentifizierung schützen
Zusätzlichen Schutz für den Online-Account bietet die sogenannte Zwei-Faktor-Authentifizierung. Webseiten die auf das Verfahren zurückgreifen, verlangen neben dem Nutzernamen und dem Passwort noch einen zusätzlichen Sicherheitscode für den Login-Vorgang.
"Das ist wie ein zusätzliches Sicherheitsschloss an einer Tür zu verstehen", erklärt Chris Wojzechowski vom Institut für Internet-Sicherheit gegenüber der dpa.
Wie diese Sicherheitsmaßnahme genau aussieht, das variiert. So kann beispielsweise neben dem Passwort auch noch ein physischer Schlüssel in Form einer Chipkarte erforderlich sein, welche mit einem Lesegerät geprüft wird. Im Privatkunden-Bereich hat sich die Verwendung von einmaligen Codes durchgesetzt.
Beim Anmelden auf einer Seite oder zur Genehmigung einer Überweisung wird per SMS oder einer App ein Code verschickt, der zusätzlich eingegeben werden muss. Dieser Code kann nur einmal verwendet werden.
Viele Onlineanbieter wie Google, Facebook oder Amazon unterstützen solch einen Service über Smartphone-Apps wie den Google Authenticator, Authy, Lastpass oder den Microsoft Authenticator.
Unabhängig von der verwendeten Methode sind sich Experten einig, dass die Zwei-Faktor-Authentifizierung sicherer ist, als die bloße Passwortabfrage.
Wann immer ein Online-Dienst diesen Service anbietet, sollte man sie nutzen, rät zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik. Denn doppelt hält besser.
Verwendete Quellen:
- Wired.com: Snowden's Sexy Margaret Thatcher password isn't so secure
- Bundesamt für Sicherheit in der Informationstechnologie: Passwörter
- Bundesamt für Sicherheit in der Informationstechnologie: Umgang mit Passwörtern
- Deutsche Presse-Agentur
- Motherboard: Hacker erklärt: Wie du dir endlich ein bombensicheres Passwort baust.
- Security Insider: Was ist ein Brute-Force-Angriff
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.