Der 11. Januar 2017 ist der Tag der Passwort-Sicherheit. Das Mail-Portal WEB.DE weist an diesem Tag auf die Wichtigkeit eines sicheren Passworts hin, denn immer noch kursieren zahlreiche Mythen über einen sicheren Zugangscode - mit den wichtigsten räumen wir hier auf.
Mythos 1: Die Zeichenlänge bestimmt die Sicherheit eines Passwortes
Es gilt: Je länger ein Passwort ist, desto länger dauert die Entschlüsselung. Es kommt aber ebenfalls auf die Schreibweise und die Kombination der Buchstaben an. So lassen sich beispielsweise Worte, die in einem Wörterbuch gelistet sind, leichter knacken, als völlig unzusammenhängende Buchstabenkombinationen. Ein paar Beispiele zur Verdeutlichung: Das Passwort "galle" lässt sich in Abhängigkeit der Rechengeschwindigkeit in etwa zwei bis drei Sekunden entschlüsseln. Für "Scherzkeks" würden bereits 30 bis 40 Sekunden benötigt. Deswegen ist es sinnvoll, den Zeichensatz zu erweitern.
Mythos 2: Buchstaben und Ziffern reichen für ein sicheres Passwort vollkommen aus
Das Passwort sollte aus Klein-, Großbuchstaben, Sonderzeichen und Zahlen bestehen. Somit kann ein Angriff über eine Wortliste hier nichts ausrichten, denn es müssen die einzelnen Zeichen in der richtigen Reihenfolge aneinander gereiht werden – und das kann dauern: Selbst für eine so simple Kombination wie "xt5-" benötigt ein Hacker trotz nur vier Zeichen bereits 10 bis 15 Sekunden. Eine Kombination "Awg,dnw,diRSh" – in der beispielsweise keine Ziffern vorkommen – benötigt bereits mehrere Wochen, um geknackt zu werden.
Mythos 3: Hacker brauchen ausgefeilte Technik, um überhaupt ein Passwort zu knacken
Als Beispiel dient hier eine "Brute Force"-Attacke: Dabei werden beispielsweise auf einer Loginstrecke mit Hilfe von Passwortlisten oder Wörterbuchlisten so lange Kombinationen ausprobiert, bis eine passt. Für diesen Angriff wird viel Rechenleistung benötigt, denn je länger das Passwort ist, umso mehr muss auch auf den Login "geschossen" werden. Doch möglich ist das alles bereits mit dem heimischen PC, obwohl Hacker in der Regel über Cluster-Systeme mit höherer Rechenleistung verfügen. Zudem ist die angewendete Software zwar meist selbst geschrieben, aber nicht hochkompliziert und recht schlank. Die Zielsysteme sollen schließlich nicht bemerken, dass noch ein Programm läuft, das gerade versucht einzudringen.
Mythos 4: Ich als Einzelperson bin sowieso kein Ziel für einen Passwort-Angriff
Hier erzählen die vielen "Phishing"-Angriffe eine andere Geschichte: Dabei werden beispielsweise E-Mail-Kunden mit gefälschten Nachrichten geködert. Entweder wird man dazu aufgefordert einem Link in der Mail zu folgen und auf einer Webseite seine Daten, inklusive Passwort, einzugeben oder es wird verlangt einen Anhang zu öffnen – beides mit schlimmen Folgen. Die bereitgestellte Webseite gehört nämlich nicht dem angeblichen Unternehmen, beispielsweise einer Bank, sondern wird von Cyber-Kriminellen betrieben. Diese besitzen dann alle nötigen Daten, um beispielsweise auf das reale Konto zuzugreifen. Wird eine Datei geöffnet, installiert sich meist ein sogenannter Keylogger oder Sniffer. Dieser übermittelt alle Tastaturanschläge an die Kriminellen und so auch meist die Zugangsdaten zu Bankverbindung, E-Mail-Konto oder Kreditkartendaten. Deshalb gilt: Seriöse Unternehmen werden Sie nie bitten, Ihr Passwort preiszugeben. Außerdem sollten Sie nie Anhänge in E-Mails von unbekannten Absendern öffnen.
Mythos 5: Ein gutes Passwort muss immer möglichst kompliziert sein
Ein gutes Passwort muss nicht kompliziert zu merken sein, es sollte aber möglichst komplex sein. Am besten geeignet ist hier beispielsweise die sogenannte Satzmethode: Damit lassen sich einfach komplexe Passwörter generieren, die man sich trotzdem leicht merken kann. Ein Beispiel: Aus dem Satz "Ach wie gut, dass niemand weiß, dass ich Rumpelstilzchen heiß" wird so schnell das hochkomplexe Passwort "Awg,dnw,diRSh". Für dieses Passwort benötigen Hacker bereits mehrere Wochen, um es zu entschlüsseln. Fügt man in diese Kombination noch Zahlen ein, z.B. das Erscheinungsjahr des Buches, hat man ein Passwort, das kaum zu knacken ist.
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.