|

Die häufigste Schwachstelle eines Rechners ist das Passwort. Da kann der PC gleich einem Hochsicherheitsbunker noch so abgeschirmt sein: Wenn wichtige Passwörter dann lediglich mit Kombinationen wie "Happyness" oder "Holger1985" gesichert sind, spaziert jeder digitale Dieb mit Freuden ins System.

Um zu verstehen, worauf es ankommt, stellen wir kurz die gängigsten Methoden des Passwortklaus und die entsprechenden Gegenmaßnahmen vor. Durch sehr einfache Verhaltensmaßnahmen sorgt man beispielsweise für knacksichere Passwörter und erhöht damit den Schutz vor unerwünschten Schnüffelaktionen.

Brute-Force-Methode und Wörterbuch-Attacke

Die digitale Brechstange im Passwortklau besteht in der so genannten Brute-Force-Attacke. Hier probiert der digitale Angreifer einfach alle möglichen Kombinationen von Buchstaben und Zahlen aus, bis er das richtige Passwort findet.

Ein moderner durchschnittlicher Heimcomputer testet über 20 Millionen Kombinationen pro Sekunde aus. Da ist ein kurzes Login in Minuten entziffert. Hier gilt das Motto "je länger, desto besser".

Verwendet man allerdings nur Buchstaben und Zahlen, ist es sogar noch einfacher. Mit Hilfe einer so genannten Wörterbuch-Attacke fahndet der angreifende Rechner einfach nach existierenden Wörtern. Bei einem von Durchschnittmenschen bekannten oder benutzten Wortschatz von nur mehreren tausend Wörtern sind auch lange Passwörter wie "Helga1975Hamburg" ein sicherheitstechnischer Witz.

Einfache Sicherungsmöglichkeiten

Zusätzlich zu einer sinnfreien Kombination von Klein- und Großbuchstaben und Zahlen sollte man Sonderzeichen in das Passwort einfügen. Das ergibt dann Passwörter wie #)4erhaUInd)=*9x! oder ?r8@P!Ke4*/.ern. Hierfür benötigt ein Angreifer-PC mehr Jahre als man selbst noch an Lebenserwartung hat.

Gute Dienstleister von Software oder Webseiten beschränken die Anzahl der möglichen Falscheingaben. Das funktioniert dann ähnlich wie bei einem Geldautomaten, der nach drei Fehleingaben der PIN-Nummer die Karte einzieht. Das kann natürlich darauf hinauslaufen, dass man selbst gar nicht mehr hereinkommt, wenn man das Passwort vergisst.

Da dies im Falle eines wichtigen Dienstes ärgerlich und aufwändig ist, notieren sich viele Nutzer die Passwörter auf einem Zettel. Selbst in Unternehmen mit höchsten Sicherheitsansprüchen kommt das vor. So ein Verhalten wirft natürlich sämtliche Schutzmaßnahmen über den Haufen.

Um dem Leichtsinn vorzubeugen, empfiehlt es sich, das sinnfreie Passwort anhand von Eselsbrücken zu erstellen: Man wählt Buchstaben und Zeichenfolgen, die nur für den Besitzer einen Sinn ergeben und manipuliert sie dann nach einem bestimmten Prinzip. Also beispielsweise eine bekannte Nummer und ein bekanntes Wort, in denen man nach einem selbst gewählten Prinzip einzelne Buchstaben durch Sonderzeichen ersetzt. Somit kann man ein leicht zu merkendes Oma 06551/238714 zu einem starken Passwort wie 06%Om@51/"#87!~4 umfunktionieren.

Regeln zum Erstellen sicherer Passwörter

  • Mindestens 8 Zeichen Länge, idealerweise 14 oder mehr
  • Mischen von Buchstaben, Zahlen und Sonderzeichen (wird leider nicht von allen Anbietern unterstützt)
  • Passwörter nicht einfach auf einen Zettel an den PC heften! Wer sich das Passwort selbst bei Verwendung von Eselsbrücken nicht merken kann, speichert es als verschlüsselte Datei oder in einer nur für sich selbst verständlichen Nachricht versteckt.
  • Zeichenwiederholungen, reale Wörter und persönliche Informationen (Geburtsdatum, Telefonnummer) vermeiden
  • Passwörter nie online speichern und auch keine Passwörter im Browser speichern
  • Verschiedene Passwörter nutzen
  • Passwörter regelmäßig austauschen

Wem das alles zu aufwändig ist, der lässt sich von Passwortmanagern und Passwortgeneratoren aushelfen.

Online-Sicherheitschecks:

Im Netz gibt es zahlreiche Webangebote, auf denen man die Stärke des eigenen Passworts überprüfen kann. Größtenteils sind diese Angebote seriös. Es kann aber natürlich vorkommen, dass die Seite ein Köderangebot zum Sammeln schwieriger Passwörter oder eine gut gemachte Kopie ist.

Daher sollte man nur seriöse Onlineangebote aufsuchen. Darunter fallen in der Regel staatliche Informationsstellen und Webseiten von Universitäten oder vertrauenswürdigen Organisationen. Zur Sicherheit sollte man allerdings immer nur ein ähnliches, vergleichbares Passwort checken und das eigene für sich behalten.

Beispiele für solche Passwort-Checkdienste:

Der Datenschutzbeauftragte des Kantons Zürich

Microsoft Passwortchecker

Interessante Links

Empfehlungen des Bundesamtes für Informationssicherheit

Erläuterung zur Brute-Force-Angriffen und Passwortlänge

Chaos Computer Club

Microsofts Tipps

Wenn ich ein Hacker wäre, dann ....

Kommentare

  • Thema sichere Passwörter - Passwörtern, Internetnutzer, Onlinekonten, E-Mail-Acc |
    14/04/09
    Thema sichere Passwörter - Passwörtern, Internetnutzer, Onlinekonten, E-Mail-Acc

    [...] man es nun richtig macht kann man hier [...]

29/07/14
Ihr Avatar