Auch passwortgeschützte Dienste stehen in der Pflicht

Das beste und sicherste Passwort nützt wenig, wenn Anbieter von passwortgeschützten Diensten schlampig mit der Sicherheit Ihrer Daten umgehen. So sollte es normalerweise Usus sein, Passwörter nicht im Klartext zu speichern. Stattdessen dürfen sie nur den Hash- Wert eines Passworts in ihrer Datenbank ablegen. Der Hash-Wert ist eine neue Zeichenkombination, die sich immer wieder aus dem Originalpasswort erzeugen lässt. Jedes Mal, wenn sich der Anwender bei dem Dienst mit seinem Passwort einloggen will, wird der Hash-Wert neu berechnet und mit dem gespeicherten Wert in der Datenbank verglichen. Umgekehrt funktioniert das jedoch nicht: Aus dem bekannten Hash-Wert lässt sich das Passwort nicht berechnen.

Wie Kreditkartenunternehmen die Nutzung einer Karte schon seit Langem analysieren und bei auffälligen Mustern Abbuchungen stoppen, sollten auch wichtige Diensteanbieter analysieren, mit welchem Gerät sich ein Kunde wann und wo anmeldet. Erscheint irgendetwas zweifelhaft, sollte der Dienst ein weiteres Passwort fordern. Dieses könnte der Anwender etwa bei der Anmeldung bekannt gegeben haben. Solche Zusatzpasswörter sind nicht unproblematisch. Im Zweifelsfall hat der Nutzer sie vergessen und keine Chance, das Konto wieder freizuschalten. Besser funktioniert da die Zwei-Faktoren-Authentifizierung.

Dabei meldet man sich bei einem Dienst mit etwas an, das man weiß (das Passwort) und mit etwas, das man hat (ein Hardware-Token oder Smartphone mit passender Code-App des Diensteanbieters).

Die Methode ist hinreichend effektiv, um Hackern den Zugang zu einem Konto zu erschweren. Denn selbst wenn sie Nutzernamen und Passwort stehlen konnten, sind sie zumeist nicht im Besitz des Hardware-Teils. Bisher bieten erst wenige Online-Dienste diese Methode an, etwa Paypal und Google. Das könnte sich bald ändern.

Die wichtigsten Grundsätze für sichere Passwörter

Das Bundesamt für Sicherheit in der Informationstechnik spricht Empfehlungen für sichere Kennwörter aus:

Passwörter sollten mindestens aus acht Zeichen bestehen. Eine Ausnahme bilden Verschlüsselungsverfahren wie die Absicherung der WLAN-Verbindung daheim. Hier sollte das Passwort mindestens 20 Zeichen lang sein. Denn dort sind, anders als bei Online-Konten, lang anhaltende Offlineattacken möglich. Nicht verwenden sollte man Namen von Familienmitgliedern, Haustieren, Freunden, Lieblingsstars oder deren Geburtsdaten. Ebenso ungeschickt sind Begriffe aus Wörterbüchern und gängigen Varianten und Wiederholungs- oder Tastaturmuster: also nicht "asdfgh" (Tastenfolge auf der Tastatur), "1234abcd" oder Ähnliches. Wenig Sinn hat auch das Anhängen einer Ziffer oder eines Sonderzeichens ans Ende eines im Übrigen unsicheren Kennwortes, also zum Beispiel "Schatzi4".

Umlaute in Passwörtern erhöhen die Sicherheit, können aber im Ausland häufig nicht einfach über die dort üblichen Tastaturen eingegeben werden. Noch besser als die Sonderzeichen auf der Tastatur sind Sonderzeichen, die nicht auf der Tastatur stehen, da sie bei Angriffen öfter unbeachtet bleiben. Beispielsweise kann das Zeichen ® nur über das Eintippen der Zahlen 0174 bei gedrückter ALT-Taste eingegeben werden (funktioniert nur über den Num-Block).

Passwörter darf man keinesfalls zugänglich aufschreiben oder unverschlüsselt auf dem PC speichern, sondern man muss sie sicher aufbewahren oder in einer verschlüsselten Datei ablegen. Zudem sollte man Passwörter regelmäßig ändern, spätestens alle paar Monate. Auf gar keinen Fall darf man einheitliche Passwörter verwenden. Wer für mehrere Online- Accounts die gleichen oder leicht abgewandelte Zugangscode verwendet, handelt leichtsinnig. Wird nämlich ein Zugang geknackt, sind auch die übrigen in Gefahr.

Ändern Sie voreingestellte Passwörter, denn viele Geräte "verschlüsseln" die Hersteller werkseitig mit einem Standard oder lassen die Absicherung gleich ganz weg. Der Bundesgerichtshof hat 2010 im Urteil zur Störerhaftung (Az. I ZR 121/08) ausdrücklich gefordert, dass Besitzer von WLAN-Routern den vom Hersteller voreingestellten Schutz durch einen individuellen abändern müssen.

Sichere Passwörter automatisch mit Tools und Diensten generieren

Nicht alle Anwender sind bei ihren Passwörtern besonders kreativ - sie verwenden leicht zu erratende Begriffe oder Wörterbucheinträge. Die sind mithilfe spezieller Tools leicht zu knacken und stellen für gewiefte Hacker keine wirkliche Hürde dar. Recht gut funktionieren sogenannte Phrasen, mit denen man sich komplizierte Passwörter ausdenken und vor allem auch merken kann: Beispielsweise wird aus "Max ist 10 Jahre alt und ein holländischer Schäferhund" das Passwort "Mi10JauehS".

Mit dem Gratisprogramm Password Generator, der unter www.gaijin.at/olspwgen.php auch in einer vereinfachten Online-Version zur Verfügung steht, lassen sich auf Knopfdruck sichere Passwörter erstellen. Sie wählen die Bestandteile des neuen Passworts aus, wobei sich unter anderem Klein- und Großbuchstaben, Ziffern, Sonderzeichen und Hex-Werte einbeziehen lassen. Durch die getrennte Verwendung von Vokalen und Konsonanten, sowie von einzelnen Wortsilben werden die Passwörter gut lesbar und sind einfach zu merken.

Auch das WLAN-Passwort sollte möglichst lang und komplex sein. Denkt man sich selbst ein Passwort aus, neigt man dazu, ein leicht zu merkendes und daher auch leicht knackbares zu wählen. Daher sollten Sie diese Aufgabe dem Tool RK-WLAN-Keygen übertragen. Wählen Sie aus dem Ausklappmenü unter "SSID/Schlüsseltyp" den Punkt "WPAPSK/ WPA2-PSK Passphrase ASCII 8-63 Zeichen". Im Abschnitt darunter legen Sie fest, welche Zeichentypen für die Generierung verwendet werden sollen. Die dritte Option "0-9, A-Z, a-z + erweiterte Sonderzeichen" ist dabei die sicherste. Allerdings können dann auch Umlaute dabei sein, die in der deutschen Tastenbelegung nicht enthalten sind. Ein guter Kompromiss ist daher die zweite Option "0-9, A-Z, a-z + Sonderzeichen". Als Nächstes gilt es noch, die gewünschte Passwortlänge zu wählen. Das Optimum sind 63 Zeichen. Klicken Sie auf "Schlüssel generieren".

Sicherheit am Smartphone

Ohne Zugangsschutz kann quasi jeder, der Ihr Smartphone findet oder entwendet, auf die Daten zugreifen, telefonieren und Mails in Ihrem Namen verschicken. Daher ist es unerlässlich, das Handy mit einer wirkungsvollen Sperre zu sichern.

Android: Das Google-Betriebssystem bietet einige eingebaute Optionen, die Ihnen die Wahl lassen, wie Sie Ihr Telefon sichern wollen. Von den angebotenen ist das Sperrmuster am einfachsten anzuwenden. Das Aktivieren des Sperrmusters funktioniert am Galaxy S4 wie folgt (und auf anderen Galaxys ähnlich): Öffnen Sie die "Einstellungen", und gehen über den Reiter "Mein Gerät" zu "Sperrbildschirm". Jetzt tippen Sie auf "Muster". Standardmäßig bietet das Sperrmuster neun Punkte, auf denen Sie mit dem Finger ein Muster malen. Ein Sperrmuster muss aus mindestens vier Punkten bestehen. Malen Sie ein möglichst kompliziertes Muster, aber eines, das Sie sich sicher merken können. Selbst das komplizierteste Muster ist in einer Sekunde gemalt. Zusätzlich müssen Sie eine Sicherungs-PIN festlegen, mit der Sie das Smartphone entsperren, falls Sie das Muster vergessen haben.

Apple iOS: Die altbekannte Code-Sperre spielt auch unter iOS eine große Rolle. Sie verhindert, dass jemand direkt Zugriff auf das iPhone bekommen kann. Die Code-Sperre sollte so eingerichtet sein, dass sie sofort aktiv ist und man jedes Mal den Code eingeben muss, wenn der Bildschirm entsperrt werden soll. noch viel sicherer ist ein längeres, kompliziertes Kennwort. Dazu deaktiviert man in den iOS-Einstellungen unter "Allgemein" und "Code-Sperre" den Menüpunkt "Einfacher Code". Mit jeder Zahlenstelle erhöht sich die Zeit, die ein Brute- Force-Angriff zum Knacken des Codes benötigt. Für eine sechsstellige Geheimzahl braucht man laut Apple bereits 22 Stunden, während eine neunstellige PIn erst in zweieinhalb Jahren zu knacken wäre. (PC-Welt)