Die Liste der schlechtesten Passwörter in Deutschland wird dominiert von den nicht gerade einfallsreichen Zahlenkombinationen 1234, 12345, 123456, 12345678, 696969 sowie den nicht minder schwer zu erratenden Wörtern passwort, geheim, keins, schatzi und qwertz. Das wurde mehrfach dadurch dokumentiert, dass Hacker Nutzerdaten bei Online-Diensten und Webshops gestohlen und sie dann im Internet veröffentlicht haben. Wenn auch Sie eines der genannten Passwörter verwenden, um etwa Ihren Ebay-Account oder Ihr Amazon-Konto zu schützen, dann sollten Sie unbedingt weiterlesen und die folgenden Hinweise zur Passwortsicherheit umsetzen.
Wie lange ein moderner PC braucht, um ihr Passwort zu knacken, zeigt die Webseite www.howsecureismypassword.net. Ein vermeintlich sicheres Passwort wie "g3h31m" ist mit entsprechenden Hilfsmitteln in rund einer halben Sekunde geknackt. Für "da515tg3h31m" braucht man hingegen 37 Jahre.
Unsichere Passwörter - so leicht werden sie geknackt
Die Dauer des Passwort-Knackens ist abhängig von der Komplexität und Länge des Passwortes und der vom Angreifer verwendeten hardware. In den meisten Fällen kommen die folgenden zwei Angriffsarten zum Einsatz:
Wörterbuchangriff: Eine Software probiert jedes Wort einer Passwortliste und/oder eines Wörterbuches aus. Selbst Standard-Computer benötigen für den kompletten Durchlauf mit einigen Dutzend Sprachen nur wenige Sekunden. Es existieren auch Zahlenlisten. Man verwendet diese Methode, wenn man davon ausgehen kann, dass das Passwort aus einer sinnvollen Zeichenkombination besteht. Dies ist erfahrungsgemäß in den meisten Fällen so.
Erfolg versprechend ist dieses Verfahren jedoch nur, wenn ein Angreifer möglichst viele Passwörter äußerst schnell hintereinander ausprobieren kann.
Brute-Force-Attacke: oft sind Passwörter mit hilfe von kryptographischen hash-Funktionen verschlüsselt. Eine direkte Berechnung des Passworts aus dem hashwert ist praktisch nicht möglich. Ein Angreifer kann jedoch die hash-Werte vieler Passwörter berechnen. Stimmt ein Wert mit dem Wert des hinterlegten Passwortes überein, hat er das (oder ein passendes) Passwort gefunden. Brute Force ("rohe Gewalt") bedeutet hier also simples Ausprobieren von möglichen Passwörtern. Vordefinierte hash-Listen häufig verwendeter Passwörter nennt man rainbow Table. Über mehr rechen-Power bei modernen Prozessoren und Grafikkarten freuen sich nicht nur die PC-nutzer, sondern auch die Passwortknacker. Je leistungsfähiger die rechner sind, desto schneller haben sie ein Passwort durch simples Ausprobieren der möglichen Zeichenkombinationen gefunden.
Diese Brute-Force-Methode funktioniert immer, bei längeren, komplizierteren Passwörtern dauert es aber auch eine Weile. Verkürzen lässt sich die Zeit mit noch mehr rechen-Power - und die ist für wenig Geld im Internet zum Beispiel beim Amazon EC2-Service zu mieten.
Das ist Gesetz: Passwort-Knacker sind verboten
Deutschland hat im August 2007 die EU-Vorgaben zur Bekämpfung von Computerkriminalität umgesetzt. Der Paragraf 202c des Strafgesetzbuches (StGB) hält unter "Vorbereiten des Ausspähens und Abfangens von Daten" fest: Wer eine Straftat nach § 202a (Ausspähen von Daten) oder § 202b (Abfangen von Daten) vorbereitet, indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit einer Geldstrafe bestraft.
Zugriffsschutzmethoden für Geräte, Dienste und Dokumente
PC, Smartphone und Tablet können mit einem Passwort vor einem unbefugten Zugriff geschützt werden. Mehr und mehr wird das Passwort aber durch neuere Methoden abgelöst: Am Smartphone gibt es etwa ein Entsperrmuster, bei dem maximal neun Punkte miteinander verbunden werden können. Das ergibt ganze 389.122 Kombinationsmöglichkeiten.
Das iPhone setzt auf Touch-ID für das Entsperren und Authentifizieren per Fingerabdruck. Im Home-Knopf ist ein Fingerabdruck- Sensor integriert, der den Finger schon beim Auflegen erkennt, nicht erst beim Drücken. Damit lässt sich das Smartphone potenziell besser schützen als durch eine PIN-Eingabe. Ein Security-Token nutzt Hardware zur Authentifizierung von Benutzern. Dazu erhält der Nutzer einen USB-Stick, eine Smartcard oder einen Chip, womit er sich am Computer oder bei bestimmten Diensten anmelden kann. Security-Tokens können personalisiert sein. Sie sind dann eindeutig einem bestimmten Benutzer zugeordnet. Zusätzlich können die Geräte mit einer PIN abgesichert sein. USB-Token haben im Gegensatz zu einer Smartcard den Vorteil, dass kein spezielles Kartenlesegerät am Computer notwendig ist.
Der Benutzer muss sich beim Security-Token nicht zwangsläufig ein Passwort merken. Viele Programme und Dienste bestehen nur darauf, dass der Token angeschlossen beziehungsweise eingesteckt ist. Bessere Sicherheit gibt es nur bei einer separaten Anmeldung. Security- Token sind etwa SIM-Karten im Handy und Zugangskarten zu Pay-TV-Angeboten. Auch der neue Personalausweis bietet eine Online-Funktion, bei der sich Nutzer über ein Kartenlesegerät ausweisen können. Leider greifen derzeit im Netz kaum Dienste darauf zurück.
Die Nachteile der Security-Token liegen klar auf der Hand: Verliert oder zerstört der Eigentümer die Hardware, schließt er sich selbst vom System aus. Kommt der Token in falsche Hände und ist nicht mit einen zusätzlichen Log-in-Schutz versehen, erhält ein möglicher Angreifer Zugriff auf Systeme oder Dienste.
Für Office-Dokumente gibt es eingebauten Passwortschutz
Es gibt verschiedene Motive, Dokumente mit einem Passwort zu schützen: So wollen Sie etwa nicht, dass Dritte Kenntnis vom Inhalt Ihrer Dateien erhalten und einsehen können, was Sie erstellt haben. Auch Veränderungsschutz ist ein häufiger Grund für die Verwendung eines Kennworts, etwa bei besonders wichtigen Dokumenten wie Vertragsentwürfen, Redevorlagen oder Produktinfos sowie Schriftstücken, die für einen gewissen Zeitraum einer Veröffentlichungssperre unterliegen. Nur Sie als Ersteller haben dank Passwortschutz die Möglichkeit, Teile des Dokuments oder das ganze Werk zu bearbeiten.
Die Verwendung von Passwörtern ist darüber hinaus beim gemeinsamen Zugriff auf Dateien und Ordner im Netzwerk mit Kollegen oder zu Hause mit anderen Familienmitgliedern ratsam. Insbesondere Kinder und Heranwachsende treibt eine natürliche Neugier häufig dazu, alle vorhandenen Laufwerke zu durchsuchen und Dateien mit interessant klingenden Namen zu öffnen. In Firmen kann zwar ein Mitarbeiter normalerweise nicht auf die Dokumente seiner Kollegen zugreifen, doch während einer Besprechung oder in Pausen steht der PC oftmals einem Fremdzugriff offen.
Auch passwortgeschützte Dienste stehen in der Pflicht
Das beste und sicherste Passwort nützt wenig, wenn Anbieter von passwortgeschützten Diensten schlampig mit der Sicherheit Ihrer Daten umgehen. So sollte es normalerweise Usus sein, Passwörter nicht im Klartext zu speichern. Stattdessen dürfen sie nur den Hash- Wert eines Passworts in ihrer Datenbank ablegen. Der Hash-Wert ist eine neue Zeichenkombination, die sich immer wieder aus dem Originalpasswort erzeugen lässt. Jedes Mal, wenn sich der Anwender bei dem Dienst mit seinem Passwort einloggen will, wird der Hash-Wert neu berechnet und mit dem gespeicherten Wert in der Datenbank verglichen. Umgekehrt funktioniert das jedoch nicht: Aus dem bekannten Hash-Wert lässt sich das Passwort nicht berechnen.
Wie Kreditkartenunternehmen die Nutzung einer Karte schon seit Langem analysieren und bei auffälligen Mustern Abbuchungen stoppen, sollten auch wichtige Diensteanbieter analysieren, mit welchem Gerät sich ein Kunde wann und wo anmeldet. Erscheint irgendetwas zweifelhaft, sollte der Dienst ein weiteres Passwort fordern. Dieses könnte der Anwender etwa bei der Anmeldung bekannt gegeben haben. Solche Zusatzpasswörter sind nicht unproblematisch. Im Zweifelsfall hat der Nutzer sie vergessen und keine Chance, das Konto wieder freizuschalten. Besser funktioniert da die Zwei-Faktoren-Authentifizierung.
Dabei meldet man sich bei einem Dienst mit etwas an, das man weiß (das Passwort) und mit etwas, das man hat (ein Hardware-Token oder Smartphone mit passender Code-App des Diensteanbieters).
Die Methode ist hinreichend effektiv, um Hackern den Zugang zu einem Konto zu erschweren. Denn selbst wenn sie Nutzernamen und Passwort stehlen konnten, sind sie zumeist nicht im Besitz des Hardware-Teils. Bisher bieten erst wenige Online-Dienste diese Methode an, etwa Paypal und Google. Das könnte sich bald ändern.
Die wichtigsten Grundsätze für sichere Passwörter
Das Bundesamt für Sicherheit in der Informationstechnik spricht Empfehlungen für sichere Kennwörter aus:
Passwörter sollten mindestens aus acht Zeichen bestehen. Eine Ausnahme bilden Verschlüsselungsverfahren wie die Absicherung der WLAN-Verbindung daheim. Hier sollte das Passwort mindestens 20 Zeichen lang sein. Denn dort sind, anders als bei Online-Konten, lang anhaltende Offlineattacken möglich. Nicht verwenden sollte man Namen von Familienmitgliedern, Haustieren, Freunden, Lieblingsstars oder deren Geburtsdaten. Ebenso ungeschickt sind Begriffe aus Wörterbüchern und gängigen Varianten und Wiederholungs- oder Tastaturmuster: also nicht "asdfgh" (Tastenfolge auf der Tastatur), "1234abcd" oder Ähnliches. Wenig Sinn hat auch das Anhängen einer Ziffer oder eines Sonderzeichens ans Ende eines im Übrigen unsicheren Kennwortes, also zum Beispiel "Schatzi4".
Umlaute in Passwörtern erhöhen die Sicherheit, können aber im Ausland häufig nicht einfach über die dort üblichen Tastaturen eingegeben werden. Noch besser als die Sonderzeichen auf der Tastatur sind Sonderzeichen, die nicht auf der Tastatur stehen, da sie bei Angriffen öfter unbeachtet bleiben. Beispielsweise kann das Zeichen ® nur über das Eintippen der Zahlen 0174 bei gedrückter ALT-Taste eingegeben werden (funktioniert nur über den Num-Block).
Passwörter darf man keinesfalls zugänglich aufschreiben oder unverschlüsselt auf dem PC speichern, sondern man muss sie sicher aufbewahren oder in einer verschlüsselten Datei ablegen. Zudem sollte man Passwörter regelmäßig ändern, spätestens alle paar Monate. Auf gar keinen Fall darf man einheitliche Passwörter verwenden. Wer für mehrere Online- Accounts die gleichen oder leicht abgewandelte Zugangscode verwendet, handelt leichtsinnig. Wird nämlich ein Zugang geknackt, sind auch die übrigen in Gefahr.
Ändern Sie voreingestellte Passwörter, denn viele Geräte "verschlüsseln" die Hersteller werkseitig mit einem Standard oder lassen die Absicherung gleich ganz weg. Der Bundesgerichtshof hat 2010 im Urteil zur Störerhaftung (Az. I ZR 121/08) ausdrücklich gefordert, dass Besitzer von WLAN-Routern den vom Hersteller voreingestellten Schutz durch einen individuellen abändern müssen.
Sichere Passwörter automatisch mit Tools und Diensten generieren
Nicht alle Anwender sind bei ihren Passwörtern besonders kreativ - sie verwenden leicht zu erratende Begriffe oder Wörterbucheinträge. Die sind mithilfe spezieller Tools leicht zu knacken und stellen für gewiefte Hacker keine wirkliche Hürde dar. Recht gut funktionieren sogenannte Phrasen, mit denen man sich komplizierte Passwörter ausdenken und vor allem auch merken kann: Beispielsweise wird aus "Max ist 10 Jahre alt und ein holländischer Schäferhund" das Passwort "Mi10JauehS".
Mit dem Gratisprogramm Password Generator, der unter www.gaijin.at/olspwgen.php auch in einer vereinfachten Online-Version zur Verfügung steht, lassen sich auf Knopfdruck sichere Passwörter erstellen. Sie wählen die Bestandteile des neuen Passworts aus, wobei sich unter anderem Klein- und Großbuchstaben, Ziffern, Sonderzeichen und Hex-Werte einbeziehen lassen. Durch die getrennte Verwendung von Vokalen und Konsonanten, sowie von einzelnen Wortsilben werden die Passwörter gut lesbar und sind einfach zu merken.
Auch das WLAN-Passwort sollte möglichst lang und komplex sein. Denkt man sich selbst ein Passwort aus, neigt man dazu, ein leicht zu merkendes und daher auch leicht knackbares zu wählen. Daher sollten Sie diese Aufgabe dem Tool RK-WLAN-Keygen übertragen. Wählen Sie aus dem Ausklappmenü unter "SSID/Schlüsseltyp" den Punkt "WPAPSK/ WPA2-PSK Passphrase ASCII 8-63 Zeichen". Im Abschnitt darunter legen Sie fest, welche Zeichentypen für die Generierung verwendet werden sollen. Die dritte Option "0-9, A-Z, a-z + erweiterte Sonderzeichen" ist dabei die sicherste. Allerdings können dann auch Umlaute dabei sein, die in der deutschen Tastenbelegung nicht enthalten sind. Ein guter Kompromiss ist daher die zweite Option "0-9, A-Z, a-z + Sonderzeichen". Als Nächstes gilt es noch, die gewünschte Passwortlänge zu wählen. Das Optimum sind 63 Zeichen. Klicken Sie auf "Schlüssel generieren".
Sicherheit am Smartphone
Ohne Zugangsschutz kann quasi jeder, der Ihr Smartphone findet oder entwendet, auf die Daten zugreifen, telefonieren und Mails in Ihrem Namen verschicken. Daher ist es unerlässlich, das Handy mit einer wirkungsvollen Sperre zu sichern.
Android: Das Google-Betriebssystem bietet einige eingebaute Optionen, die Ihnen die Wahl lassen, wie Sie Ihr Telefon sichern wollen. Von den angebotenen ist das Sperrmuster am einfachsten anzuwenden. Das Aktivieren des Sperrmusters funktioniert am Galaxy S4 wie folgt (und auf anderen Galaxys ähnlich): Öffnen Sie die "Einstellungen", und gehen über den Reiter "Mein Gerät" zu "Sperrbildschirm". Jetzt tippen Sie auf "Muster". Standardmäßig bietet das Sperrmuster neun Punkte, auf denen Sie mit dem Finger ein Muster malen. Ein Sperrmuster muss aus mindestens vier Punkten bestehen. Malen Sie ein möglichst kompliziertes Muster, aber eines, das Sie sich sicher merken können. Selbst das komplizierteste Muster ist in einer Sekunde gemalt. Zusätzlich müssen Sie eine Sicherungs-PIN festlegen, mit der Sie das Smartphone entsperren, falls Sie das Muster vergessen haben.
Apple iOS: Die altbekannte Code-Sperre spielt auch unter iOS eine große Rolle. Sie verhindert, dass jemand direkt Zugriff auf das iPhone bekommen kann. Die Code-Sperre sollte so eingerichtet sein, dass sie sofort aktiv ist und man jedes Mal den Code eingeben muss, wenn der Bildschirm entsperrt werden soll. noch viel sicherer ist ein längeres, kompliziertes Kennwort. Dazu deaktiviert man in den iOS-Einstellungen unter "Allgemein" und "Code-Sperre" den Menüpunkt "Einfacher Code". Mit jeder Zahlenstelle erhöht sich die Zeit, die ein Brute- Force-Angriff zum Knacken des Codes benötigt. Für eine sechsstellige Geheimzahl braucht man laut Apple bereits 22 Stunden, während eine neunstellige PIn erst in zweieinhalb Jahren zu knacken wäre. (PC-Welt)