Online-Accounts:Sicher durch den Passwort-Buchstabensalat
Passwort-Dieben die Arbeit erschweren
Bild: picture alliance/Oliver Berg/dpa
Ein sicheres Passwort sieht ungefähr so
aus: "wEjfn30w9ei#6Kdn§f?$Ö". Nicht gerade einfach zu merken. Kein
Wunder, dass viele Nutzerinnen und Nutzer Kennwörter wählen, die so
einprägsam wie unsicher sind. Besonders beliebt ist seit vielen
Jahren die Ziffernfolge "123456".
Mehr als 50 Millionen Menschen nutzen diese Kombination, hat das Hasso-Plattner-Institut herausgefunden, das jährlich die beliebtesten - und auch unsichersten - Passwörter veröffentlicht. In den Top 10 des Jahres 2019 finden sich etwa auch "abc123" oder "password".
In Windeseile geknackt
Passwort-Dieben die Arbeit erschweren
Bild: picture alliance/Oliver Berg/dpa
Wer so ein Kennwort benutzt, muss damit rechnen, dass Hacker den
Zugang in Windeseile knacken, weiß Jennifer Kaiser, Expertin für
Digitales bei der Verbraucherzentrale Rheinland-Pfalz. Oft haben die
Diebe durch ein Datenleck E-Mail-Adressen erbeutet. Damit haben sie
schon die Hälfte des Schlüssels zu einem Benutzerkonto.
Computerprogramme probieren dann alle möglichen Kombinationen durch, um den Zugang zu knacken. "Beliebte Abfolgen und Passwörter probieren die Programme zuerst. Die Hacker wissen zum Beispiel, dass viele Internetnutzer in Wörtern den Buchstaben S lediglich durch ein $ ersetzen", erklärt Kaiser.
Wörterbuch-Angriffe sind Standard
Zum Standardprogramm der Hacker gehört außerdem die Wörterbuchsuche, sagt Prof. Christoph Meinel, Direktor des Hasso-Plattner-Instituts. "Computer rasen heute in großer Geschwindigkeit durch Wörterbücher durch. Wer also lediglich ein Wort benutzt, das dort vorkommt, ist aufgeschmissen." Auch einfach Zahlen oder Zeichen an ein Wort zu hängen, ist nicht sicher.
In Zeiten von sozialen Netzwerken ist es für Computerspezialisten außerdem keine große Herausforderung, die Lieblingsband, den Hochzeitstag oder die Namen der Kinder herauszufinden. Wörter mit persönlichem Bezug sollten Nutzer deshalb ebenfalls vermeiden.
Kniffliger wird es für Datendiebe, wenn die Programme einzelne Buchstabenkombinationen durchprobieren müssen. "Hat das Passwort Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, dauert es umso länger, alle durchzuprobieren", sagt Meinel.
Passwortstärke-Ampeln sind trügerisch
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt mindestens acht Zeichen. Aber grundsätzlich gilt je länger, desto besser. Beim Erstellen eines Accounts helfen die Anbieter oft mit einer kleinen Ampel weiter, die die Passwortstärke farblich visualisiert. Die soll zeigen, wie sicher das gewählte Passwort ist.
Doch: "Darauf kann man sich nicht unbedingt verlassen", sagt Verbraucherschützerin Kaiser. In einem Marktcheck habe ihre Verbraucherzentrale unter anderem solche Ampel-Einschätzungen unter die Lupe genommen. "Manche Anbieter haben hohe Anforderungen an Kennwörter, andere eher nicht. Mitunter galt schon das Passwort "qwertz" als mittelsicher. Die Buchstabenfolge der Tastatur gehört aber zum Standardrepertoire der Hacker." Kryptisches Passwort per Merksatz behalten Lieber also ein möglichst langes und kryptisches Passwort ausdenken. Um sich so ein Kennwort zu merken, rät Prof. Meinel zu einer Eselsbrücke. "Mit einem ganzen Passwortsatz ist das recht einfach. Von den Wörtern aus dem Satz nimmt man die Anfangs- oder Endbuchstaben, auch Satzzeichen und Zahlen."
Aus dem Satz "Am liebsten esse ich Pizza mit vier Zutaten und extra Käse!" wird das Kennwort "AleiPm4Z+eK!". Vorsicht allerdings bei Umlauten. Auf ausländischen Tastaturen gibt es die nicht. Im Urlaub kann das Einloggen dann schwierig bis unmöglich werden.
"Auf keinen Fall sollten Nutzer bei mehreren Diensten das gleiche Passwort verwenden", warnt Meinel. "Haben die Hacker einen Zugang geknackt, kommen sie dann gleich in mehrere Accounts hinein." Und auch davon, ein Kennwort für verschiedene Konten leicht abzuändern hält er wenig. "Die verschiedenen Varianten müssen leicht zu merken sein. Dadurch entstehen dann wieder Schwachstellen."
Passwortmanager sind empfehlenswert
Wer sich mehrere komplizierte und einzigartige Passwörter weder merken kann noch möchte, sollte lieber einen Passwortmanager nutzen - etwa das Open-Source-Programm Keepass, zu dem es auch Apps gibt.
"Der funktioniert wie eine Truhe", erklärt Jennifer Kaiser die Funktionsweise von Passwortmanagern. Darin lägen die Zugangsdaten für alle Dienste. Und Kennwörter erstelle der Manager nach Zufallsprinzip: "Der Nutzer muss sich dann nur noch einen Zugang merken: den für den Passwortmanager." Dieses Masterpasswort müsse dann aber auch besonders sicher sein.
Sind meine Zugangsdaten gestohlen worden?
Lange Zeit rieten Computerexperten, Kennwörter regelmäßig zu ändern. Das gilt heute als überholt, verleitet es doch dazu dazu, möglichst einfache Kennwörter zu wählen. Allerdings sollten Internetnutzer regelmäßig prüfen, ob ihre Daten im Netz gestohlen wurden. Das ist möglich bei verschiedenen Datenbanken. Und sie sollten bei Diensten die Zweifaktor-Authentifizierung aktivieren, wo immer das möglich ist.
Etwa beim Identity Leak Checker des Hasso-Plattner-Instituts oder auf Haveibeenpwned.com. "Die Datenbanken prüfen, ob die E-Mail-Adresse in den Listen mit geklauten Daten vorkommt", erklärt Jennifer Kaiser von der Verbraucherzentrale Rheinland-Pfalz. Ist das der Fall, sollte der Nutzer direkt alle Zugänge ändern, die diese E-Mail-Adresse nutzen.