In wenigen Schritten zum sicheren Passwort

Für Verfechter des Passwortschutzes war 2014 kein gutes Jahr. Viele Internet-Nutzer verzichten immer noch auf starke Passwörter, Identitätsdiebstahl und Datenklau tun ihr Übriges dazu. Was ist passiert? Wie ist das in Zeiten von Passwortmanagern überhaupt möglich? Und was macht ein wirklich sicheres Passwort aus?

Schon seit Anfang des Jahres machen Skandale rumd um unsichere und gestohlene Passwörter Schlagzeilen. Die Splashdata-Liste der „Schlimmsten Passwörter des Jahres 2013“ im Januar war der Beginn einer unheilvollen Serie. Die Liste wurde auf Basis von Millionen gestohlener Passwörter erstellt, die Internetuser im Jahr 2013 verwendet hatten

Ein kurzer Blick in die Top Drei der meistgenutzten Passwörter lässt Böses erahnen. Sie lauten „123456“, „password“ und „12345678“. Übrigens findet sich das Kennwort „password“ zum ersten Mal, seit Splashdata diese Liste veröffentlicht, nicht auf Platz eins. Viele große Firmen mit Internetpräsenz wurden kurz daraufhin von Dashlane, einem Anbieter für Passwort-Verwaltungssoftware, unter die Lupe genommen.

Insgesamt wurde die Passwort-Software von 100 Unternehmen auf 24 Kriterien überprüft. Das Ergebnis: Apple erzielte mit 100 von 100 möglichen Punkten ein Spitzenresultat. Die Firmen auf den Folgeplätzen (Microsoft, Newegg und Chegg) erhielten jedoch nur noch 65 Punkte. Über 55% der Firmen ließen ihren Online-Usern die haarsträubendsten Passwörter aus der Liste der „Schlimmsten Passwörter des Jahres“ zu.

Was Apple vielleicht zum ersten Platz der Firmen mit sicherem Passwort-Management verholfen hat, sind die höheren Sicherheitsanforderungen an ein Passwort: Ein Passwort für das Anlegen einer Apple ID muss neben Buchstaben eine Ziffer oder mehr enthalten, aus mindestens acht Zeichen sowie aus Groß- und Kleinbuchstaben bestehen.

Ebenfalls Anfang des Jahres wurde der Datenklau von 16 Millionen E-Mail-Adressen bekanntgegeben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ermöglichte es, die eigene E-Mail-Adresse mittels eines Sicherheitstests auf einen Identitätsdiebstahl hin zu überprüfen. Innerhalb weniger Tage gingen mehr als 22 Millionen E-Mail-Adressen beim BSI ein, rund 1,3 Millionen Accounts waren tatsächlich vom Datenklau betroffen. Ein ähnlicher Vorfall ereignete sich noch einmal im März.

Jüngst aber der Super-GAU: Mit „Heartbleed“ wurde womöglich eine neue Generation des Datenklaus eingeleitet. Die schwerwiegende Sicherheitslücke geht darauf zurück, dass sich Hacker Zugriff auf Webseiten und Portale verschaffen können, die die Verschlüsselungssoftware Open-SSL verwenden. Sie hinterlassen dabei keine Spuren; ein Angriff kann daher vollkommen unentdeckt bleiben.

Um auf Nummer sicher zu gehen, sollten daher die Passwörter bei den meisten E-Mail-Anbietern und Social Media Plattformen geändert werden. Da man über kurz oder lang nicht um einen Wechsel herumkommt, empfiehlt es sich, die gewöhnlichen Sicherheitsanforderungen an Passwörter zu überdenken.

Ein dreistelliges Passwort kann ein Hacker in weniger als zwei Minuten knacken. Die folgende Formel verdeutlicht dies: T=K/A. Dabei ist (T) die Zeit, (K) die nötigen Kombinationen und (A) die Anzahl der Kombinationen, die ein Hacker ausprobieren kann.

Bei einem dreistelligen Passwort, das die Zahlen eins bis drei umfasst, ist (K) = 27 (3³). Bei der Annahme, dass ein Mensch pro Minute 20 Kombinationen probieren kann, ergibt sich (A) = 20. Die Zeit (T), die bis zum Identitätsdiebstahl verstreicht, ist laut der Formel dann 27/20 Minuten, das entspricht 1 Minute und 21 Sekunden.

Ziel sollte es daher sein, die Anzahl der möglichen Kombinationen (A) zu erhöhen, sodass sich die Zeit (T) verlängert und den Angriff damit unrentabel macht. Mit den in der Bildergalerie hinterlegten Tipps ist der Weg zum sicheren Passwort ein leichter. Eine 100-prozentige Garantie, dass das Kennwort auch auf Dauer sicher bleibt, gibt es leider nie. Weitere konkrete Tipps zu einem sicheren Passwort finden Sie in der in diesem Artikel verknüpften Bildergalerie oder im Blog von The Safe Shop.