Foto: zentilia - Fotolia.com
Passwörter sind quasi überall. Wer nicht bereits beim Hochfahren des Computers nach einem gefragt wird und auch den Anmeldebildschirm von Windows mit keinem versehen hat, stößt doch spätestens beim Checken seiner E-Mails darauf. Auch Social Networks wie Xing, Online-Banking, Messenger wie ICQ oder der CIO-Netzwerk-Account auf CIO.de verlangen nach einem Passwort. Wer soll sich die alle merken können? Lesen Sie hier, warum es zu unsicher ist, immer das gleiche Kennwort zu benutzen oder es zu speichern.
In einer Umfrage wollte das Sicherheitsunternehmen McAfee die gebräuchlichsten Passwörter der Europäer wissen. Finden Sie Ihr Passwort in der Top-10 wieder? Alle der folgenden Kennwörter machen mindestens einen gravierenden Fehler. Lesen Sie weiter, wie das Passwort lautete, ob Ihnen das auch passieren könnte und welche Passwort-Stolpersteine vielen sonst noch zum Verhängnis werden.
Fehler Nummer 1: Zu einfaches Passwort
Im Fall Twitter wurde einmal das Passwort "Happiness" geknackt. Da bei Twitter beliebig viele Anmeldeversuche zugelassen waren, konnte das Kennwort durch einen sogenannten Wörterbuchangriff ausgelesen werden. Eine Software probiert jedes Wort einer Passwortliste und/oder eines Wörterbuches aus. Erschreckend: Selbst Standard-PCs benötigen für den kompletten Durchlauf mit einigen Dutzend Sprachen nur wenige Sekunden. Da auch Zahlenlisten existieren, sind auch Geburtsdaten als Passwort nicht empfehlenswert.
Ein gutes Passwort, das garantiert auf keiner Liste steht, sollte sowohl Buchstaben (Groß- und Kleinschreibung), Sonderzeichen und Zahlen enthalten und - wichtig - sinnfrei sein.
Ebenfalls zu einfach sind Passwörter, die einem bestimmten Muster folgen. Vermeiden Sie also "12345" oder "qwert" (werfen Sie mal einen Blick auf die Tastatur), aber auch "abcdef". Solche Kennwörter können mit einem Blick über die Schulter relativ leicht erspäht und durch bestimmte Software schnell geknackt werden (siehe Fehler Nummer 2, Stichwort: Brute-Force).
Tipp: Wenn Sie das Passwort auch im Ausland benutzen wollen, sollten Sie entweder auf Sonderzeichen verzichten oder sich vorab informieren über welche Tastenkombination das gewünschte Sonderzeichen auf ausländischen Tastaturen zu erreichen ist.
Tipp: Noch besser als die Sonderzeichen auf der Tastatur sind Sonderzeichen, die nicht auf der Tastatur stehen, da sie bei Angriffen öfter unbeachtet bleiben. Beispielsweise kann ® nur über das Eintippen der Zahlen 0174 bei gedrückter ALT-Taste eingegeben werden (funktioniert nur über den Num-Block).
Fehler Nummer 2: Zu kurzes Passwort
Oft sind verwendete Passwörter zu kurz, da sie dann leichter zu merken sind. Jedoch geht das Plus an Bequemlichkeit deutlich zu Lasten der Sicherheit. Ein einfaches Rechenbeispiel zeigt, wie lange zu kurze Passwörter einer sogenannten Brute-Force-Attacke standhalten. Als Brute-Force-Methode bezeichnet man das Ausprobieren aller möglichen Zeichenkombinationen mittels einer Software, bis das Passwort gefunden ist. Sie ähnelt dem Wörterbuchangriff, testet aber auch sinnfreie Kombinationen.
Gehen wir davon aus, dass Ihr Passwort die durchschnittliche Länge von 6 Zeichen hat und - wie oft der Fall - nur aus Kleinbuchstaben besteht. Das bedeutet, es kann aus 26 verschiedenen Zeichen bestehen, was bei 6 Zeichen Passwortlänge insgesamt 308.915.776 (also fast 309 Millionen) Kombinationen zulässt. Das hört sich zunächst nach sehr viel an, doch sind beispielsweise mit dem handelsüblichen Core 2 Quad Q6600, der auf 3 GHz übertaktet wurde, 45.423.600 Tastenanschläge pro Sekunde möglich. Schwächere CPUs mit weniger Kernen erreichen leicht immerhin die Hälfte davon. Schockierend: Für das 6 Zeichen lange Kennwort benötigt die Quad-CPU lediglich 6,8 Sekunden.
Besteht Ihr Kennwort aber aus Klein- und Großbuchstaben und Zahlen (siehe Fehler Nummer 1), gibt es bei 6 Zeichen schon 56.800.235.584 Kombinationsmöglichkeiten. Um das Passwort zu knacken rechnet die Quad-CPU rund 21 Minuten - braucht also über 180mal so lange, ist aber immer noch viel zu schnell. Fügen Sie aber auch nur ein Zeichen hinzu, handelt es sich also um ein 7-stelliges Passwort, werden aus den 21 Minuten fast 22 Stunden. Die Länge ist also entscheidend für ein sicheres Kennwort. Passwörter sollten mindestens 8 Zeichen lang sein - unsere Quad-CPU würde dafür fast 2 Monate brauchen. Schon bei 2 Zeichen mehr würde die Test-CPU fast 600 Jahre benötigen. Sonderzeichen und jede weitere Stelle verlängern die Berechnung um ein Vielfaches.
Zwei Fakten sorgen allerdings für Ernüchterung: Erstens werden Rechner immer schneller und außerdem geht der Trend hin zu Grafikkarten, die diese Aufgabe noch schneller erledigen können. Zweitens stellt unsere Rechnung nur die maximale Berechnungsdauer dar, wenn also die gesuchte Kombination zufällig die letzte aller berechneten Möglichkeiten ist. Der Zufall könnte bereits die erste berechnete Kombination zum Volltreffer werden lassen, was allerdings extrem unwahrscheinlich ist. Um dem Zufall nicht auch noch zuzuspielen, ist es also umso wichtiger, typische Passwort-Fehltritte zu vermeiden.
Fehler Nummer 3: Speichern von Passwörtern
Selbst das sicherste Passwort kann schnell wertlos sein, wenn es gespeichert wird. Besonders Leichtsinnige speichern Ihre Passwörter in Excel-Tabellen auf der Festplatte, wo sie von Trojanern oder anderen PC-Benutzern ausgespäht werden können. Besser, aber auch nicht optimal, ist das Notieren mit Stift und Papier, da es auch von anderen gelesen werden kann.
Am besten ist es, sich sämtliche Passwörter zu merken. Zieht man das Speichern vor, weil es etwa zu viele sind, empfiehlt sich ein Passwort-Safe, der gewöhnlich mit einem Master-Passwort versehen ist. Da dieses die einzige Hürde für neugierige Blicke auf sämtliche Passwörter ist, sollte das Master-Passwort sehr sicher sein und auf keinen Fall notiert oder gespeichert werden (Vergessen wäre natürlich ebenfalls fatal). Für ein sicheres Passwort vermeiden Sie einfach die hier genannten Fehler.
Kostenloser Download: Password Safe
Fehler Nummer 4: Gleiche Passwörter
E-Mail-Adressen, Windows, Zip-Archive, Facebook, Foren, ICQ - schnell kommt ein ganzer Haufen an Passwörtern zusammen. Ein beliebter Fehler ist das Verwenden von nur einem Passwort für alle Anwendungen. Das ist bequem, denn man muss sich nur eines merken. Doch ist das eine Passwort erst einmal gestohlen oder geknackt, dann ist der Schaden schier unermesslich, da der Eindringling mit einem Schlag Zugriff auf alle Dienste, die Sie nutzen, hat.
Auch wenn es mühsam ist, verwenden Sie nie das gleiche Passwort zweimal! Speichern Sie die verschiedenen Passwörter entweder in einem Safe (siehe Fehler Nummer 3) oder beziehen Sie die verschiedenen Anwendungen in das Passwort mit ein. Ihr ICQ-Passwort könnte dementsprechend mit einem I beginnen und mit einem Q enden.
Vor rund acht Jahren wurden tausenden von MySpace-Nutzern in den USA per Phishing die Passwörter gestohlen und später veröffentlicht. Hier sehen Sie die Top 20 der verwendeten Passwörter.
Fehler Nummer 5: Seit Jahren das gleiche Passwort
Es gibt User, die seit Jahren das gleiche Passwort verwenden. Dummerweise bekommt es das Opfer in vielen Fällen gar nicht mit, wenn es ausgespäht wird. Ein Hacker hat im Idealfall also zeitlich unbegrenzten Zugang und kann so beispielsweise den E-Mail-Verkehr über Monate oder Jahre mitlesen.
Um das zu vermeiden, sollten Sie Ihre Passwörter regelmäßig ändern. Bei sehr vielen Passwörtern ist dann aber ein hohes Maß an Kreativität gefragt und die Verwechslungsgefahr von alten und neuen Kennwörtern steigt rapide an. Ist Ihnen der Aufwand zu groß, sollten Sie sich zumindest auf die wichtigsten Passwörter beschränken. Ihr Zugang zu einem kostenlosen Browsergame wird Ihnen wahrscheinlich weniger wichtig sein als Ihr Bankkonto.
Fazit: Ein sicheres Passwort
Wie wir aus Fehler Nummer 1 gelernt haben, sollte ein möglichst sicheres Passwort Klein- und Großbuchstaben, Zahlen und Sonderzeichen enthalten. Es darf kein Muster irgendeiner Art ergeben und sollte sinnfrei sein. Theoretisch würde also "1bjTP©W3.d" sicher sein. Sie meinen, das kann sich keiner merken? Dahinter verbirgt sich ein Merksatz: "Ich besuche jeden Tag PC Welt. de". Zur Erhöhung der Sicherheit wurde das I von Ich mit der ähnlich aussehenden 1 ausgetauscht, ebenso C durch das Copyright-C und das e in Welt durch die 3.
Noch ein Tipp: Wählen Sie als Merksatz nicht unbedingt Ihr Motto, das vielen bekannt ist.
Auch Fehler Nummer 2 wird vermieden, 10 Zeichen (inklusive Sonderzeichen) dürften nicht innerhalb eines Menschenlebens geknackt werden können. Solange Sie das Passwort nicht ungeschützt speichern, notieren oder gar weitersagen, ist auch Fehler Nummer 3 abgehakt. Um den Fehler Nummer 4 zu vermeiden, empfiehlt es sich, sich neue Merksätze auszudenken oder das vorhandene Passwort (möglichst stark) zu variieren. Den letzten häufig begangenen Fehler vermeiden Sie durch regelmäßiges Abändern des Passwortes. (PC-WELT)