Das perfekte Passwort
Viele Menschen ignorieren die Sicherheitsrisiken, die durch schwache, einfach zu erratene Passwörter entstehen. Wer komplexe Passwörter bewusst vermeidet und nur schwache Passwörter nutzt, gefährdet seine persönlichen Daten.
„Ein gutes Passwort ist einprägsam und schwer zu erraten“, erklärt Joseph Bonneau von der IT-Sicherheitsgruppe der Universität Cambridge. Zu den Fachgebieten des Kryptologen gehört die Computerauthentifizierung von Personen durch Passwörter und PINs.
Bonneau empfiehlt Merksätze als Ausgangsbasis für starke Passwörter:
„Der Anwender merkt sich einen einprägsamen Satz, zum Beispiel: `Freitags esse ich immer um 1 in der Sushi Bar?. Wenn ich jetzt nur die Anfangsbuchstaben nehme, erhalte ich das Passwort: `Feiiu1idSB?. Ein solches Passwort lässt sich nur schwer knacken.“
Schwache Passwörter sind meist vom Benutzernamen oder von der zugehörigen Website abgeleitet. Es empfiehlt sich nicht, für das eigene Facebook-Konto das Passwort `Facebook’ zu nehmen. Auch das Passwort `HansMustermann’ ist nicht empfehlenswert, wenn Sie die E-Mail-Adresse haben.
Eines der am häufigsten verwendeten Passwörter heißt: `Passwort’. Oft werden auch `123456’ und `qwertz’ (die ersten fünf Buchstaben in der oberen Tastaturreihe) verwendet.
„Amateurhacker probieren diese Passwörter bei zufällig ausgewählten Benutzerkonten aus, denn sie wissen, dass rund ein Prozent aller Benutzer solche Passwörter haben“, erklärt Bonneau.
Wer ein schwer zu erratenes Passwort braucht, sollte ein Wort übersetzen, die Übersetzung hinter das Ausgangswort schreiben und beide Wörter durch Ziffern verbinden, empfiehlt Ann Cavoukian.
„Ich stamme aus Armenien und nehme immer einen Begriff, den ich zusätzlich ins Armenische übersetze“, erklärt die Datenschutzbeauftragte der kanadischen Provinz Ontario. „Dann schreibe ich eine Zahl und ein Ausrufezeichen zwischen die beiden Begriffe und erhalte so ein sehr sicheres Passwort. Da das Passwort nicht in Wörterbüchern zu finden ist, ist es gegen die sogenannten Wörterbuchangriffe relativ immun.“
Bei einem Wörterbuchangriff probiert der Hacker nacheinander eine umfangreiche Liste bekannter Wörter aus. Solche Angriffe sind oft erfolgreich, da viele Anwender kurze Passwörter haben, die keine Ziffern enthalten und in Wörterbüchern aufgeführt sind.
Die Stärke eines Passworts kann auch davon abhängen, wofür es genutzt wird.
„Bei der Passwortvergabe sollte das Gesamtsystem berücksichtigt werden“, erklärt Cavoukian. So sind die PIN-Nummern auf Geldkarten zwar lediglich vierstellig, aber in den Geldautomaten gibt es Überwachungskameras und andere, zusätzliche Sicherheitsfunktionen. Außerdem wird die Karte nach der dritten falschen Eingabe gesperrt.
„Am heimischen Rechner oder am Arbeitsplatz stehen diese zusätzlichen Sicherheitsfunktionen oft nicht zur Verfügung“, erklärt sie. Die Anwender müssen sich also selbst Gedanken um die Sicherheit machen.
Bonneau empfiehlt, unterschiedliche Passwörter für unterschiedliche Einsatzzwecke zu verwenden. So kann es durchaus reichen, für ein Blog oder eine unwichtige Website ein einfaches, schwaches Passwort auszuwählen. Für das Onlinebanking und andere wichtige persönliche Daten sollte dagegen ein sehr starkes Passwort eingesetzt werden.
Die Gefahr droht jedoch nicht nur von leicht zu erratenen Passwörtern.
Bonneau erinnert an RockYou, eine populäre Spiele-Website, deren Datenbank mit 32 Millionen Passwörtern im Dezember 2009 gehackt wurde.
„Durch schlecht abgesicherte Websites können Passwörter leicht in unbefugte Hände gelangen“, sagt er. „Viele haben ein und dasselbe Passwort für die unterschiedlichsten Websites.“ Davon ist dringend abzuraten, denn wenn ein Hacker dieses Passwort knackt, kann er auch auf Ihre Daten auf den anderen Websites zugreifen.
„Allgemein gilt: Verwenden Sie Passwörter nur, wenn das absolut nötig ist“, rät Bonneau. „Wenn Sie eine Website nicht regelmäßig besuchen wollen, müssen Sie sich dort auch nicht mit einem Passwort eintragen.“
Auch die häufig auf Websites anzutreffende Option `Passwort rücksetzen’ kann ein Sicherheitsrisiko sein. Mit dieser Option können sich Benutzer, die ihr Passwort vergessen haben, eine Erinnerungsfrage schicken lassen, durch deren Beantwortung sie sich identifizieren. Wer eine einfache Frage mit einer leicht zu erratenen Antwort auswählt – zum Beispiel: `In welcher Straße wohnen Sie?’ – erleichtert anderen Benutzern den Zugriff auf seine persönlichen Daten.
Ein wichtiger Aspekt ist auch die sichere Aufbewahrung des Passworts.
Das sogenannte „Phishing“, bei dem Benutzer unter einem Vorwand aufgefordert werden, ihr Passwort einzugeben, ist nach wie vor die häufigste Angriffsart. Wir sollten daher immer darauf achten, auf welchen Websites wir unser Passwort eingeben. Von Microsoft gibt es Tipps, wie sich Phishing-Mails und Phishing-Links erkennen lassen.
Während ein Benutzer nur für seine eigenen Passwörter verantwortlich ist, müssen Unternehmen und Behörden dafür sorgen, dass die Passwörter aller Angestellten sicher sind.
„Das Management muss die Belegschaft regelmäßig darauf hinweisen, wie wichtig die Passwortsicherheit ist“, sagt Cavoukian. „Und der Systemadministrator des Unternehmens hat dafür Sorge zu tragen, dass die Passwortdatenbank zuverlässig gegen Angriffe geschützt ist.“
Dabei kann es allerdings zu Problemen kommen. Wenn die Mitarbeiter komplexe Passwörter verwenden müssen, könne dies sogar zu zusätzlichen Sicherheitsproblemen führen, erklärt Bonneau.
„Aus Untersuchungen wissen wir, dass praktisch immer, wenn der Einsatz stärkerer Passwörter verlangt wird – also wenn die Passwörter eine Mindestlänge haben oder regelmäßig geändert werden müssen – die Mitarbeiterinnen und Mitarbeiter die Passwörter einfach aufschreiben, da sie zu kompliziert werden“, sagt er. „Dadurch verschlechtert sich die Sicherheit.“
Auch Cavoukian weiß, dass bestimmte Sicherheitsmaßnahmen für die Benutzer einfach nur lästig sind. Die immer häufiger anzutreffenden Onlineprüfungen auf Websites, die schwache Passwörter ablehnen, verärgern viele Benutzer.
Letztlich würden die Benutzer aber, so Cavoukian, dankbar für die Maßnahmen zur Stärkung der Passwortsicherheit sein:
„Die Maßnahmen werden von einigen Anwendern zwar als überzogen betrachtet, aber unterm Strich sind sie sinnvoll und nützlich.“
Von Rachel Sa
* Pflichtfeld
Related images
