Eine erschreckende Nachricht: Das deutsche Bundeskriminalamt verkündete Anfang Juli 2017, dass ungefähr 500 Millionen E-Mail-Adressen samt dazugehörigen Passwörtern im Darknet gefunden wurden. Hacker haben diese Daten über einen längeren Zeitraum hinweg gesammelt und zum Handel auf einer Untergrund-Plattform im Internet freigegeben.
Der Rat von Sicherheitsexperten: Nutzer sollen überprüfen, ob ihre Daten betroffen sind und ob allenfalls ein Passwortwechsel nötig ist. Eigentlich weiss es jeder: Im Zeitalter des Online-Banking und -Shopping muss man seine persönlichen Daten durch gute Passwörter sichern.
Welches ist aber das weltweit beliebteste Passwort?
Welches ist aber das weltweit beliebteste Passwort? Schlicht und ergreifend: «123456». Nicht zu glauben, aber wahr, dieses «Passwort» ist der Zugang zu Millionen Kreditkarten, E-Mail-Accounts, intimsten Dokumenten.
Das hat Computerexperte Joseph Bonneau von der Universität Cambridge (GB) herausgefunden. Fahrlässig sind aber keineswegs nur Menschen wie du und ich. Das beliebteste Passwort bei Konzernen und Behörden: «password1», vor «welcome», «password01» und «password2».
Dass ein Passwort erraten wird, liegt oftmals an der eigenen Bequemlichkeit – aber auch an Halbwahrheiten aus dem Internet, die sich hartnäckig in den Hinterköpfen der Nutzer halten. Diese Fehler sind immer wieder zu beobachten:
1. Ein Passwort für alles
Was analog gilt, sollte auch für die digitale Welt beherzigt werden. Oder würden Sie nur einen Schlüssel verwenden, um Wohnungstüren, Veloschlösser oder den privaten Safe aufzuschliessen? Wird der Schlüssel gestohlen, wäre wohl das gesamte Hab und Gut verloren. Als erstes Gebot für sichere Passwörter gilt deshalb: Für jeden Webdienst ein anderes Kennwort! Mit einem Passwort-Manager müssen Nutzer zudem keine Gedächtniskünstler sein.
2. Zu einfache Passwörter
«Passwort», «12345» oder eine Aneinanderreihung von nebeneinanderliegenden Computertasten (zum Beispiel «qwertz») ist selbst für einen dilettantischen Hacker ein gefundenes Fressen. Auch Begriffe aus Wörterbüchern werden bei einer sogenannten Brute-Force-Attacke schnell geknackt. Dabei testet eine Software verschiedene Zeichenkombinationen durch und beginnt zuerst mit den abgegriffensten Passwort-Varianten. Weil ein solches Hacking-Verfahren Millionen von Möglichkeiten pro Sekunde systematisch abfragt, haben einfache Wörter meistens keine Chance zu bestehen.
3. Zu persönliche Passwörter
Kennwörter, die relativ leicht Rückschlüsse auf die Person erlauben, gelten ebenfalls als wenig sicher. Dazu zählen etwa das Geburts- oder Hochzeitsdatum, der Name des Haustiers oder das erste eigene Automodell. Dies umso mehr, wenn man in den sozialen Medien häufig persönliche Informationen preisgibt. Ein Beispiel: Wenn allgemein bekannt ist, wofür Ihr Herz schlägt, sollten Sie Passwörter wie «IloveStarWars» oder «HoppFCBasel» am besten vermeiden. Hobby-Hacker machen es sich zum Sport, genau solche Fan-Informationen, die öffentlich im Netz vorhanden sind, einzuholen.
4. Grundlos das Passwort wechseln
Die Aufforderung von IT-Abteilungen, die Passwörter regelmässig zu ändern, nützt in den meisten Fällen wenig. Grund dafür ist die menschliche Natur: Wozu sich ein kompliziertes Passwort ausdenken, wenn bald wieder die nächste Änderung ansteht?
Forscher aus Nordamerika haben nachgewiesen, dass Firmenmitarbeiter in der Regel nur ein leicht abgeändertes Passwort verwenden. Aus «Passwort» wird dann einfach «Passw0rt» – eine Kombination, die ein Hackerprogramm im Standard-Repertoire beherrscht. Wirklich sinnvoll ist ein Wechsel deshalb erst dann, wenn der Verdacht auf einen Missbrauch gegeben ist.
5. Passwort aufschreiben
Den wohl schwerwiegendsten Fehler begeht ein Nutzer, wenn das Passwort auf ein Post-it geschrieben und am Computerbildschirm oder auf die Rückseite eines Smartphones geklebt wird. Besonders bei Grossraumbüros, in denen sich viele Personen bewegen, ist dringend davon abzuraten.
Auch eine elektronische Passwortliste auf dem Rechner ist nicht viel besser – es sei denn, man hat das Dokument mit einer genügend starken Verschlüsselung abgelegt.
6. Keine Zwei-Faktor-Authentifizierung
Um Geld am Automaten abzuheben, benötigt man eine Karte und die PIN-Nummer. Das erhöht die Sicherheit, weil ein Dieb für einen Zugriff beides braucht. Ein ähnlicher Schutz wird erreicht, wenn ein Webdienst zusätzlich eine Handynummer verlangt. Mit einem SMS, das einen Code mitliefert, kann nur der Besitzer bestätigen, dass er gerade auf ein Konto zugreift – und nicht ein Hacker, der zu einem fremden Passwort gekommen ist. Diese Zwei-Faktor-Authentifizierung ist zwar umständlich, doch man sollte sie nutzen, wenn dieser Service schon angeboten wird.
7. Möglichst viele Sonderzeichen verwenden
Ein Kennwort mit vielen Sonderzeichen wie «P@$$w0rt!» ist zwar sicherer als ein normal Geschriebenes – nach neusten Erkenntnissen aber trotzdem nicht zu empfehlen. Das National Institute of Standards and Technology (NIST), eine US-Behörde, die Empfehlungen bezüglich Technologiestandards an Unternehmen und Private herausgibt, rät in einem aktuellen Bericht davon ab. Der Grund: Algorithmen von Hackerprogrammen können neben den oben erwähnten Beispielen auch Sonderzeichen durchtesten und bedienen sich gängiger Variationen.
Zudem sind wahllos gesetzte Sonderzeichen auch für den Nutzer meistens zu kompliziert, um sich daran erinnern zu können. Das NIST hält nicht viel von solchen Vorgaben. Es bringe für die Sicherheit nicht mehr, wenn Betreiber von Websites mindestens einen Buchstaben, eine Zahl sowie ein Sonderzeichen verlangen. Um einiges besser seien unterschiedliche und möglichst lange Phrasen.
Auf die Länge kommt es an
Je länger, je sicherer: Für das NIST wären sogar bis zu 64 Zeichen sinnvoll, um längere Phrasen bilden zu können. Ein Kennwort wie «Fussball» mit acht Zeichen – das absolute Minimum für ein Passwort – knackt ein Programm unmittelbar. Bei «Fussballgott» mit zwölf Zeichen ist eine Maschine immerhin schon vier Wochen beschäftigt – ein viel grösserer Aufwand, der sich weniger lohnen dürfte.
Doch Vorsicht: Abgedroschene Phrasen oder berühmte Zitate wie «Du kommst hier nicht rein» oder «Sein oder Nichtsein, das ist hier die Frage» kennt auch eine halbwegs intelligente Hacking-Software. Auch gleiche Buchstaben, die einfach zu «aaabbbccc» aneinandergereiht werden, sind für Hacker eine leichte Beute.
Passwort-Generatoren und Passwort-Manager
Wem kein gutes Kennwort einfällt, kann online auf Passwort-Generatoren wie passwort-generator.org oder von Norton Identity Safe zurückgreifen. Diese würfeln zufällig Buchstaben, Zahlen und Sonderzeichen zusammen. Der Nachteil: Solche Passwörter sind schwer zu merken, weil der Nutzer keinen Bezug herstellen kann.
Eine gute Unterstützung, um sich unterschiedliche und längere Passwörter für E-Mail, Amazon, Facebook und die Kreditkartenfirma merken zu können, sind sogenannte Passwort-Manager. Mit Lastpass, Dashlane, 1Password oder Enpass legt man einmalig ein Master-Passwort fest und kann so im verschlüsselten Programm-Modus auf die restlichen Kennwörter zugreifen, ohne diese auswendig lernen zu müssen. Die Anwendung ist in Kombination als Browser-Erweiterung, als Software auf dem Desktop oder über eine mobile App nutzbar und läuft synchron auf mehreren Geräten. Dank moderner Verschlüsselungsmethoden sehen bei den Passwort-Managern selbst zwei identische Kennwörter in chiffrierter Form völlig anders aus, was das Entziffern für Hacker äusserst schwierig macht. Auf diese Weise kann man sich die grösstmögliche Sicherheit schaffen.
Nur die Anfangsbuchstaben als Merkhilfe verwenden
Wer nicht auf die meist kostenpflichtigen Passwort-Manager zurückgreifen möchte, kann anderweitig in die Trickkiste greifen. Als sehr effektiv erweisen sich etwa Passwörter, die nur aus den Anfangsbuchstaben eines Merksatzes bestehen. Aus «Im Winter bauen Tina und Lukas zusammen mit Papa und Mama einen grossen Schneemann» wird «IWbTuLzmPuMegS». Sonderzeichen müssen in diesem Passwort nicht vorkommen, wenn es lang genug ist.
Wie sicher ist mein Passwort?
Wer auf Nummer sicher gehen will, checkt die Stärke des Passworts online, um zu erfahren, wie schwer das eigene Kennwort zu knacken ist.