Für Verfechter des Passwortschutzes war 2014 kein gutes Jahr. Viele Internet-Nutzer verzichten immer noch auf starke Passwörter, Identitätsdiebstahl und Datenklau tun ihr Übriges dazu. Was ist passiert? Wie ist das in Zeiten von Passwortmanagern überhaupt möglich? Und was macht ein wirklich sicheres Passwort aus?
Die Hacking-Anfälligkeit von Passwörtern lässt sich in wenigen Schritten minimieren.
(Bild: The Safe Shop)
Schon seit Anfang des Jahres machen Skandale rumd um unsichere und gestohlene Passwörter Schlagzeilen. Die Splashdata-Liste der „Schlimmsten Passwörter des Jahres 2013“ im Januar war der Beginn einer unheilvollen Serie. Die Liste wurde auf Basis von Millionen gestohlener Passwörter erstellt, die Internetuser im Jahr 2013 verwendet hatten
Ein kurzer Blick in die Top Drei der meistgenutzten Passwörter lässt Böses erahnen. Sie lauten „123456“, „password“ und „12345678“. Übrigens findet sich das Kennwort „password“ zum ersten Mal, seit Splashdata diese Liste veröffentlicht, nicht auf Platz eins. Viele große Firmen mit Internetpräsenz wurden kurz daraufhin von Dashlane, einem Anbieter für Passwort-Verwaltungssoftware, unter die Lupe genommen.
Das Unternehmen Dashlane hat verschiedene Portale auf deren Passwortrichtlinien hin geprüft.
(Bild: Dashlane)
Insgesamt wurde die Passwort-Software von 100 Unternehmen auf 24 Kriterien überprüft. Das Ergebnis: Apple erzielte mit 100 von 100 möglichen Punkten ein Spitzenresultat. Die Firmen auf den Folgeplätzen (Microsoft, Newegg und Chegg) erhielten jedoch nur noch 65 Punkte. Über 55% der Firmen ließen ihren Online-Usern die haarsträubendsten Passwörter aus der Liste der „Schlimmsten Passwörter des Jahres“ zu.
Was Apple vielleicht zum ersten Platz der Firmen mit sicherem Passwort-Management verholfen hat, sind die höheren Sicherheitsanforderungen an ein Passwort: Ein Passwort für das Anlegen einer Apple ID muss neben Buchstaben eine Ziffer oder mehr enthalten, aus mindestens acht Zeichen sowie aus Groß- und Kleinbuchstaben bestehen.
Ebenfalls Anfang des Jahres wurde der Datenklau von 16 Millionen E-Mail-Adressen bekanntgegeben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ermöglichte es, die eigene E-Mail-Adresse mittels eines Sicherheitstests auf einen Identitätsdiebstahl hin zu überprüfen. Innerhalb weniger Tage gingen mehr als 22 Millionen E-Mail-Adressen beim BSI ein, rund 1,3 Millionen Accounts waren tatsächlich vom Datenklau betroffen. Ein ähnlicher Vorfall ereignete sich noch einmal im März.
Jüngst aber der Super-GAU: Mit „Heartbleed“ wurde womöglich eine neue Generation des Datenklaus eingeleitet. Die schwerwiegende Sicherheitslücke geht darauf zurück, dass sich Hacker Zugriff auf Webseiten und Portale verschaffen können, die die Verschlüsselungssoftware Open-SSL verwenden. Sie hinterlassen dabei keine Spuren; ein Angriff kann daher vollkommen unentdeckt bleiben.
Um auf Nummer sicher zu gehen, sollten daher die Passwörter bei den meisten E-Mail-Anbietern und Social Media Plattformen geändert werden. Da man über kurz oder lang nicht um einen Wechsel herumkommt, empfiehlt es sich, die gewöhnlichen Sicherheitsanforderungen an Passwörter zu überdenken.
Ein dreistelliges Passwort kann ein Hacker in weniger als zwei Minuten knacken. Die folgende Formel verdeutlicht dies: T=K/A. Dabei ist (T) die Zeit, (K) die nötigen Kombinationen und (A) die Anzahl der Kombinationen, die ein Hacker ausprobieren kann.
Bei einem dreistelligen Passwort, das die Zahlen eins bis drei beinhaltet, ergeben sich 27 mögliche Kombinationen.
(Bild: The Safe Shop)
Bei einem dreistelligen Passwort, das die Zahlen eins bis drei umfasst, ist (K) = 27 (3³). Bei der Annahme, dass ein Mensch pro Minute 20 Kombinationen probieren kann, ergibt sich (A) = 20. Die Zeit (T), die bis zum Identitätsdiebstahl verstreicht, ist laut der Formel dann 27/20 Minuten, das entspricht 1 Minute und 21 Sekunden.
Ziel sollte es daher sein, die Anzahl der möglichen Kombinationen (A) zu erhöhen, sodass sich die Zeit (T) verlängert und den Angriff damit unrentabel macht. Mit den in der Bildergalerie hinterlegten Tipps ist der Weg zum sicheren Passwort ein leichter. Eine 100-prozentige Garantie, dass das Kennwort auch auf Dauer sicher bleibt, gibt es leider nie. Weitere konkrete Tipps zu einem sicheren Passwort finden Sie in der in diesem Artikel verknüpften Bildergalerie oder im Blog von The Safe Shop.
Kennwörter bequemer und sicherer verwalten mit einem Passwortmanager
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.