Go to Top

Trügerische Sicherheit

Sicheres Passwort

Gehören Sie auch zu den Menschen, die sich wenig Gedanken über die Stärke Ihrer im Netz benutzten Passwörter machen? Die für viele Dienste dieselbe Kombination aus Login und Passwort benutzen? Und diese so gut wie nie ändern?

Dann haben Sie möglicherweise ein Problem, von dem Sie noch gar nichts wissen. Der kalifornische Datenspeicherdienst Dropbox beispielsweise hat kürzlich eingestanden, dass bei ihm knapp 70 Millionen Nutzerpasswörter gestohlen wurden. Allerdings nicht im Jahr 2016, sondern schon 2012. Zwar seien betroffene Nutzer informiert und deren Passwörter zurückgesetzt worden, doch das könnte für viele schon zu spät gewesen sein – wenn sie ihre Passwort-Kombination auch für andere Dienste benutzt haben. Hacker versuchen natürlich, bei allen möglichen Webdiensten mit den erbeuteten Kombinationen Einlass zu bekommen – mit einfachen Programmen geht das automatisch und wieselflink.

Allerdings ist Dropbox nicht der einzige große Dienst, der Probleme mit geklauten Passwörtern hat. Im Mai 2014 wurden bei ebay 145 Millionen Zugangsdaten gestohlen. 2016 wurden im Darknet 117 Millionen Passwörter des Karrierenetzwerkes LinkedIn und 427 Millionen Passwörter von MySpace angeboten – geklaut zwischen 2007 und 2013. Die Liste ließe sich nach Belieben verlängern, aktuell wurden von Twitter 33 Millionen Kundendaten veröffentlicht, auch T-Online-Passwörter waren dieses Jahr schon im Angeot. Aus einer gestohlenen und ins Netz gestellten Liste konnte man aber auch ersehen, dass viele Passwörter extrem einfach sind. „123456“ beispielsweise wird sehr gerne benutzt.

Durch die stark gestiegenen Zahlen gelungener Hacks auf Datenbanken wurde von IT-Spezialisten empfohlen, seine Passwörter öfters – manche meinten sogar wöchentlich – zu ändern. Das hatte aber zur Folge, dass sich die Nutzer mit einfachen Passwörtern begnügten, die sich merken konnten – mit der Konsequenz, dass diese Sicherheitsempfehlung den gegenteiligen Effekt hatte, für Hacker wurde das Spiel einfacher.

Die heutige Empfehlung lautet: Ein Passwort muss möglichst lang sein, Buchstaben in Groß- und Kleinschreibung sowie Zahlen und Sonderzeichen wie Raute #, Prozent % oder das berühmte at @ enthalten. Es gibt eine Menge Tipps, wie man sich komplexe Passwörter merken kann. Auch wir haben einen.

Nehmen wir an, Ihr Name sei Daniel Meier. Wenn Sie den Namen zusammenschreiben und den Buchstaben „i“ mit der Zahl „1“ vertauschen erhalten Sie Dan1elMe1er. Daran angehängt kommen die Anfangsbuchstaben des Dienstes, für den das Passwort gilt (eingerahmt von Sonderzeichen), woraus sich für paypal beispielsweise „Dan1elMe1er#Pay#“ ergibt, für Google wäre es Dan1elMe1er#Goo#. Das sieht schon ganz gut aus, genügt aber noch nicht. Mit einer Eine Brut-Force-Attacke, bei der ein Hochleistungsrechner in rasender Geschwindigkeit eine Unmenge von Zeichenkombinationen ausprobiert, ist das Passwort in wenigen Stunden geknackt, ein normaler Desktop-PC braucht dagegen schon ein paar Jahre. Hängt man noch die Jahreszahl in verdrehter Form und ein weiteres Sonderzeichen an – „Dan1elMe1er#Pay#1620#“ – ist man aber recht gut gewappnet. Einmal gemerkt lässt sich ein solches Passwort für (fast) alle Dienste abändern und kann jedes Jahr neu eingegeben werden. Ihre Daten bleiben so auch in Zukunft nur für Sie abrufbar.

Der Sicherheitsspezialist Kaspersky hat auf der Seite password.kaspersky.com einen Test eingerichtet, mit dem Sie die Stärke Ihres Passwortes eruieren können.

Bildquelle: Maklay62 / pixabay