Hallo, Passwort 12345: Sicher geht anders ...

Hunderte von Millionen Nutzerdaten wurden im vergangenen Jahr gehackt. Die bekannt gewordenen Datenlecks betrafen selbst große Unternehmen wie LinkedIn, Myspace und Yahoo. Umso erstaunlicher ist es, dass viele Nutzer immer noch schwache Passwörter wie „hallo“, „passwort“ oder „12345“ benutzen. Zahlenkombinationen und einfache Wörter sind die Renner, wenn es um die Sicherung von E-Mail-Konten und persönlichen Daten im Internet geht (siehe Kasten). „Vielen ist nicht bewusst, dass Kriminelle mit dem Handel gestohlener Identitäten sehr viel Geld verdienen und welcher Schaden ihnen entstehen kann“, erklärt Christoph Meinel, Direktor des Hasso-Plattner-Instituts für Softwaresystemtechnik GmbH an der Universität Potsdam (HPI). Meinel hat an einer HPI-Studie zur Mehrfachnutzung von Passwörtern mitgearbeitet. Dazu wertete sein Institut rund eine Milliarde Nutzerkonten aus, die aus 31 veröffentlichten Datenlecks in unterschiedlichen Bereichen stammen und im Internet frei verfügbar sind. „Es gibt keinen hundertprozentigen Schutz vor Identitätsdiebstahl“, resümiert Meinel, „aber wer sein Passwort auf dieser Liste entdeckt, sollte es schnellstmöglich ändern“.

Hitparade der zehn meist genutzten Passwörter

Zahlenkombinationen und einfachste Wörter überwiegen:

 

  1. 123456
  2. 123456789
  3. 12345
  4. hallo
  5. 1234
  6. passwort
  7. 12345678
  8. hallo123
  9. schalke04
  10. 1234567

Quelle: HPI

Passwortwechsel? Fehlanzeige!

Leider haben es die Deutschen nicht so mit dem Ändern ihrer Passwörter. Einer Umfrage des Digitalverbands Bitkom zufolge ändert ein Viertel von ihnen einmal im Jahr sein Passwort – ein weiteres Viertel nie. Ein grober Fehler, so Meinel, denn Hacker knacken diese mit links und erhalten so Zugriff auf persönliche Informationen und Accounts. Sie nutzen verschiedene Techniken, um an die Zugangsdaten zu gelangen. Die drei geläufigsten sind: Schadsoftware, Angriffe auf Internetseiten und Phishing, bei dem der Nutzer – unfreiwillig, aber fahrlässig – seine Daten preisgibt. Schadsoftware testet vollautomatisch alle möglichen Zahlen- und Buchstabenkombinationen aus und geht ganze Wörterbücher durch, bis der Code geknackt ist. Bei Kennwörtern mit vier bis fünf Zeichen dauert das nach Angaben des Sicherheitsexperten Kaspersky nur ein paar Sekunden. Jedes weitere Zeichen erhöht die benötigte Zeit um das Zehnfache. Wichtig für sichere Passwörter sind daher lange Codes von mindestens acht, besser noch zwölf Buchstaben-, Zahlen- und Zeichenkombinationen. Dabei sollten sie mindestens zwei Sonderzeichen, eine Zahl, einen Kleinbuchstaben und einen Großbuchstaben enthalten.

Sichere Passwörter per Passwort-Manager

Schön und gut, doch wie kann man sich diese Zahlen-Buchstaben-Sonderzeichen-Ungeheuer merken? „Für die Organisation vieler sicherer Passwörter kommen zwei Lösungen infrage: entweder eine Software oder die gute alte Eselsbrücke“, erklärt Marc Fliehe, Bereichsleiter IT-Sicherheit beim Digitalverband Bitkom. Die Eselsbrücke funktioniert so: „Ich kann die Anfangsbuchstaben ausgedachter Sätze aneinanderreihen“, so Fliehe. „Dann ersetzt man einzelne Buchstaben durch Zahlen oder Sonderzeichen.“ Beispiel: „Morgens stehe ich um sieben Uhr auf und putze mir meine Zähne zwei Minuten lang.“ Daraus wird: „Msiu7aupmmZdMl“. Aus „i“ und „l“ wird „1“, „&“ ersetzt „und“. Ergebnis: „Ms1a&pmmZ3M1“. Anschließend lassen sich noch für verschiedene Dienste Erweiterungen dranhängen.

Wem das zu kompliziert ist, dem helfen sogenannte Passwort-Manager oder -safes. Die Softwareprogramme gibt es für die meisten Betriebssysteme und Mobilgeräte. Der Vorteil: Der Nutzer muss sich nur noch ein Passwort merken, um an alle anderen zu gelangen. Umso wichtiger aber auch, dass dies besonders sicher ist.

Passwort Manager Per Passwort-Manager lassen sich zuverlässig sichere Passwörter generieren und verwalten. (© 2017 iStock)

Zwei-Faktor-Authentifizierung

Zahlungsdienste wie Paypal bieten die Zwei-Faktor-Authentifizierung an. Das bedeutet, der Nutzer loggt sich zunächst mit seiner Mail-Adresse und seinem Passwort ein, dann erhält er einen sechsstelligen Code auf ein anderes Gerät, etwa als SMS aufs Smartphone geschickt. Dieser Code ist fünf Minuten lang gültig und erst mit dessen Eingabe kann der Nutzer Zahlungen veranlassen. Auch Cloud-Lösungen, E-Mail-Systeme und Online-Dienste wie Amazon oder E-Bay lassen sich mit der Zwei-Faktor-Authentifizierung schützen.

Tipps für sichere Passwörter

Eselsbrücken bauen für mehr Sicherheit

Ein Dienst, ein Kennwort: Für jeden Dienst sollte ein eigenes Passwort genutzt werden. Eine Alternative ist es, ein „Grundpasswort“ zu nutzen und dieses für jeden Dienst anzupassen.

Wörterbücher links liegen lassen: Am sichersten sind Passwörter, die aus einer zufällig zusammengewürfelten Reihenfolge von Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen bestehen.

Mehr Zeichen bedeutet weniger Risiko: Nicht nur die Zusammensetzung des Passworts ist wichtig, sondern auch die Länge. Ein sicheres Passwort besteht aus mindestens acht Zeichen.

Eselsbrücken bauen: Um Passwörter zu erstellen, die aus einer unzusammenhängenden Anzahl von Buchstaben und Zahlen bestehen, können die Anfangsbuchstaben aus ausgedachten Sätzen genommen werden und einige von diesen durch Zahlen oder Sonderzeichen ersetzt werden.

Passwort-Manager als Alternative: Passwort-Manager erstellen auf dem Computer zufallsgenerierte Kennwörter und speichern sie in einer verschlüsselten Datenbank ab, die mit einem Master-Passwort gesichert wird. Anschließend wird nur noch das Master-Passwort benötigt. Für Smartphones und Tablet-Computer werden häufig passende Apps – teils sogar kostenlos – angeboten.

Quelle: Bitkom

Leichter als über die Eselsbrücke soll sicheres Einloggen mit Mustern funktionieren. Bei PINgrid gibt der Nutzer in einem Zahlenraster ein selbst gewähltes Muster ein, das über sechs Kästchen in einem Quadrat geht. Die Zahlen in den Kästchen ändern sich ständig, sodass sich auch der Code ständig ändert. Zum Login wählt der Nutzer einfach die in dem Moment unter seinem Muster liegenden Zufallszahlen. Großer Vorteil: Das Kennwort ist nur für ein Login gültig.

Auch sogenannte virtuelle Tokens, die etwa ins Smartphone integriert werden, bieten Experten zufolge einen besseren Schutz als das gute, alte Passwort. Möchte sich ein Nutzer anmelden, bekommt er ein temporäres, einzigartiges Bild auf seinen Bildschirm gesendet. Wird das Bild nun vor eine Webcam gehalten, hat sich der Nutzer authentifiziert. Diese Möglichkeit der Identifizierung bietet beispielsweise der sichere Messenger-Dienst Threema. Die neue Wearables-Technologie nutzt den individuellen Pulsschlag jedes Menschen zur Authentifizierung des Nutzers. Passwörter sollen dadurch schon bald komplett überflüssig werden.

Mehr Sicherheit durch biometrische Passwörter

Experten sehen biometrische Passwörter wie Fingerabdruck, Iris-, Venen- oder Gesichtsscan derzeit als mit das sicherste Login-Verfahren an. „Bei dieser Methode werden individuelle Merkmale von Menschen vermessen, über einen Algorithmus in einen Datensatz umgewandelt und digital gespeichert“, erklärt Marc Fliehe. Um eine Identität zu prüfen, werden die umgewandelten biometrischen Werte einer Person mit den gespeicherten Datensätzen verglichen. Der Venen-Scan etwa durchleuchtet die mit bloßem Auge unsichtbaren Handvenen tief unter der Haut per Infrarotlicht und vergleicht sie mit dem Referenzmuster.

Eigentlich unschlagbar, denn biometrische Passwörter können nicht vergessen werden. Oder verloren gehen.

Weiterführende Links zum Thema

Business Hacks: Besserer Warenkorb verhindert Kaufabbrüche

Bedrohung aus dem Netz

Gesetzes-Check: Payment Services Directive 2 (PSD2)