Die Wahl und Verwaltung von Passwörtern ist bereits seit vielen Jahren ein immer wieder erörtertes und umstrittenes Problem. Während die einfachen Nutzer von Netzwerken und Onlinediensten vom Thema Passwortschutz zumeist genervt – und ebenso oft überfordert – sind, versuchen Systemadministratoren Sicherheitslücken im Nutzerverhalten zu schließen – und werden doch immer wieder mit den Folgen eines zu sorglosen Umganges mit der Passwortsicherheit konfrontiert. Aber was genau ist ein sicheres Passwort? Um diese Frage besser beantworten zu können, sollte man zunächst einen Blick auf die Methoden werfen, mit denen sich Angreifer üblicherweise fremder Passwörter bemächtigen.
Rohe Gewalt und Wörterbücher: Passwortattacken
Die naheliegende Methode, ein Passwort zu erraten, ist zugleich auch die unwahrscheinlichere: Die wiederholte direkte Eingabe von Passwörtern ist, selbst wenn sie automatisiert geschieht, ineffizient und zeitraubend. Da der Server, der das Ziel des Angriffes darstellt, immer auch eine gewisse Zeit zum Prüfen des Passwortes und für seine Antwort benötigt, kann innerhalb eines gewissen Zeitraumes nur eine sehr begrenzte Anzahl an Versuchen unternommen werden. Auch würde nach kurzer Zeit der Angriff durch Administratoren bemerkt und unterbunden. Ein solches Vorgehen ist also am ehesten sinnvoll, wenn ein Passwort zuvor auf einem anderen Weg ausgespäht wurde (zum Beispiel durch Social Engineering) oder wenn es sich aus anderen Quellen leicht erraten lässt.
Wesentlich häufiger kommt es zu Attacken auf ganze Passwortdateien: Die meisten Serversysteme legen die Identitäten ihrer Benutzer samt der Passwörter in Passwortdateien ab. Dabei wird das Passwort durch eine Hashfunktion zu einer zufällig erscheinenden Folge von Zeichen verschlüsselt, aus der es sich umgekehrt nicht mehr ableiten lässt. Werden Angreifer einer solchen Passwortdatei habhaft, können sie in aller Ruhe Millionen von möglichen Passwörtern durch die Hashfunktion verschlüsseln und die Resultate mit den Einträgen in der Passwortdatei vergleichen. Jede Übereinstimmung entspricht dann einem „geknackten“ Passwort.
Zum Erraten der Passwörter kommen im Wesentlichen zwei Methoden in Frage. Die eine besteht im Durchprobieren jeder beliebigen Zeichenfolge unterhalb einer bestimmten Länge. Dieses Brute Force (englisch für „rohe Gewalt“) genannte Verfahren prüft lückenlos alle Zeichenkombinationen und ist daher vergleichsweise aufwendig. Ein eleganterer Ansatz ist die Wörterbuchattacke: Hierbei geht der Angreifer der Reihe nach Wortlisten mit möglichen Passwörtern durch. Solche Listen sind im Internet zu finden und über die Jahre auf viele Millionen Einträge gewachsen.
Das sichere Passwort?
Was macht also ein Passwort hoher Qualität aus? Jeder kennt die Hinweise, die dem Neuankömmling auf Internetseiten zur Wahl des Passwortes genannt werden: Mindestens 8 Zeichen sollte es haben und möglichst Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen enthalten. Dabei ist die Erstellung eines Passwortes auch immer eine Frage der Abwägung – Sicherheit gegen Vergesslichkeit, Passwortschutz gegen Bequemlichkeit. So wichtig Passwortsicherheit auch ist, ein Passwort, das immer wieder vergessen wird, ist nutzlos. Auch deswegen wird immer wieder eingewendet, dass es sinnvoller sei, lieber längere Passwörter zu erlauben (oder zu fordern). Also Passwörter aus mehreren leicht zu merkenden Worten, verbunden zum Beispiel durch Sonderzeichen, anstatt eines Zeichenwirrwarrs, den sein Besitzer viel zu schnell vergisst. Ein weiteres Problem ist der gestiegene Bedarf an Passwörtern pro Person. Wo früher eines reichte, um zum Beispiel E-Mails lesen zu können, loggen sich Menschen heute auf Dutzenden Internetseiten ein, die sensible Informationen enthalten: Arbeit, Bankgeschäfte, Shopping, Soziale Medien.
Es gibt also keinen Königsweg zum sicheren Passwort. Aber es gibt eine Reihe von Kriterien und Verhaltensregeln, die die Qualität von Passwörtern erhöhen, den Umgang mit ihnen sicherer machen und so sensible Informationen schützen.
Passwörter: Dos und Don’ts
- Wählen Sie für alle Zwecke unterschiedliche Passwörter.
- Benutzen Sie keine Passwörter, die sich aus Ihrem Leben und Umfeld leicht ableiten lassen. Keine Namen von Personen oder Haustieren, keine Geburtsdaten oder dergleichen.
- Wählen Sie ein langes Passwort, aber keines, das nur aus einem Wort besteht, das im Wörterbuch oder Lexikon zu finden ist. Faustregel: Wenn eine Suchmaschine Treffer zu Ihrem Passwort findet, sollten Sie ein anderes wählen.
- Wenn Sie sich das Passwort leichter merken wollen, wählen Sie eine Kette von mehreren einfachen Worten, die durch Ziffern oder Sonderzeichen verbunden sind. Das resultierende Passwort sollte dann aber sehr lang sein.
- Je mehr unterschiedliche Zeichenarten (große und kleine Buchstaben, Ziffern und Sonderzeichen) das Passwort enthält, desto besser.
Wenn Sie das Passwort aufschreiben wollen oder müssen, dann nur handschriftlich und möglichst nicht in der Nähe des Computers aufbewahrt. Keine Haftnotizen am Bildschirmrand! - Wenn der Browser Ihnen das Speichern eines Passwortes anbietet, überlegen Sie gut, wer Zugriff auf den Rechner hat. Im Zweifelsfalle ist es besser, auf das Speichern zu verzichten.
Bildnachweis: (C) notnixon, CC0 v1.0, Pixabay
[…] so leicht zu bekommen, doch die Täter sind so kreativ, sogar Drohnen und höchst spezialisierte Cyberattacken einzusetzen. Malware und Schadcodes werden auch in Anhängen und Links von unbedrohlich aussehenden […]