Mit der Anzahl an Mitgliedschaften, Sozialen Netzwerken, Chats und Konten, die wir online benutzen, steigt auch unsere Nutzung von Passwörtern. Da wir diese sehr häufig verwenden, neigen wir jedoch dazu, viel zu einfache Buchstabenkombinationen zu verwenden. Dass dies ein großes Sicherheitsrisiko darstellt, ignoriert man dabei nur allzu gerne. Wir zeigen ihnen an dieser Stelle, wie sich Passwörter sinnvoll einsetzen lassen.
Immer wieder wird bekannt, dass Online-Accounts wegen zu einfacher Passwörter gekapert werden. Dabei können persönliche Daten gestohlen werden, aber auch Kommentare in falschem Namen versendet werden. Und das sind noch harmlose Beispiels für die Folgen, die ein zu leichtes Passwort anrichten kann. Immerhin betrifft dies auch Zugangscodes für Wohnungen und Büroanlagen, für das eigene Smartphone oder eben auch die Bankkonten. Dass Hacker über äußerst effektive Tools verfügen, um Passwörter zu knacken, hat sich zwar wohl schon herumgesprochen – wirklich unternehmen tun jedoch viel zu wenige etwas dagegen. Das Problem dabei ist: So lange man nicht selbst betroffen ist, unterschätzt man die Gefahr meist – Und wenn man erst einmal Opfer ist, ist es bereits zu spät. Daher ist es äußerst wichtig, ein Bewusstsein dafür zu schaffen, wie wichtig die Verwendung sicherer Passwörter ist.
Die Möglichkeiten, sichere Passwörter zu verwenden, sind dabei recht vielfältig, und so manche Variante ist sogar relativ bequem. Hier geben wir einen Überblick, wie man die Passwörter, die man verwendet, möglichst sicher gestalten kann.
Strategien, die zu sicheren Passwörtern führen sollen, gibt es relativ viele, und es erscheint schwierig, die sich teilweise gegenseitig widersprechenden Maßnahmen gegeneinander Abzuwägen, und zu entscheiden, was denn nun wirklich die sichersten Methoden sind. Wir haben uns entschlossen, euch die Vorschläge des NIST Instituts ans Herz zu legen. Das National Institute of Standards and Technology, ein US-amerikanisches Institut, arbeitet seit Jahren Methoden aus, welche die Sicherheit der IT-Branche erhöhen sollen. So hat das NIST auch für die Verwendung von Passwörtern Empfehlungen abgegebenen, welche sich ursprünglich an Behörden gerichtet haben. Dich was für Behörden gut ist, kann sicher auch einem normalen Bürger helfen.
Varianten bei Phrasen, nicht bei Sonderzeichen
Viele Plattformen geben ihren Usern bei der Wahl ihres Passworts die Vorgabe, Sonderzeichen einzusetzen. Doch diese Vorgehensweise ist laut NIST nicht unbedingt effektiv. Denn Hacker haben sich längst auf diese eingestellt. Was User meist tun: Sie nehmen das Passwort, welches Sie üblicher Weise verwenden, und tauschen einige Buchstaben mit Sonderzeichen aus: das Passwort „Geburtsdatum“ wird so etwa zu „G3burt$d@tum“. Diese Methode mag auf erstem Blick raffiniert wirken. Hacker können diese Kombinationen durch Brutforce-Attacken jedoch in relativ kurzer Zeit knacken. Dabei nutzen diese Programme, welche die gängigsten Passwörter im Schnelldurchlauf durchprobieren, und dabei eben auch Sonderzeichen berücksichtigen.
Daher empfiehlt das NIST Institut, statt den besagten Sonderzeichen, lieber längere Phrasen zu verändern – also nicht immer dasselbe Wort, sondern immer wieder neue Wörter, und noch besser wird es, wenn man mehrere aneinander reiht.
Komplexität durch Länge
Je länger ein Passwort ist, umso schwieriger ist es zu knacken. Dabei nimmt die Komplexität mit jeder neuen Ziffer exponentiell zu. Auch wenn es also etwas länger dauert, ein Passwort einzugeben, sollte man hier nicht allzu bequem sein, und möglichst lange Passwärter einsetzen. Das NIST Institut empfiehlt mindestens 8 Wörter zu verwenden, wobei die Betonung auf Mindestens liegt. 12 Ziffern sind entsprechend sicherer, und bei 16 Ziffern werden Bruteforce-Attacken, sofern keine sehr gängigen Wörter verwendet werden, meist nicht mehr erfolgreich sein. Dies bedeutet übrigens nicht, dass ein langes Passwort durch eine solche Attacke nicht zu knacken ist. Der Grund, weshalb solche Passwörter sicherer sind, ist schlichtweg der, dass es für einen Hacker zu lange dauern würde, bis die Attacke erfolgreich ist. Betrüger wenden sich dann lieber solchen Konten zu, die weniger stark geschützt sind – und kommen rascher an ihr Ziel.
Passwort Manager – die Lösung für das Passwort-Problem?
Das Problem der meisten Passwörter ist, dass diese meist vielfach verwendet werden, und dies liegt einzig an der Bequemlichkeit ihrer Nutzer, die sich ganz einfach nicht mehrere Passwörter merken wollen. Umso gravierender ist dann das Problem, wenn ein Passwort erstmals geknackt wurde: Der Hacker hat somit Zugriff auf eine ganze Reihe von Konten, welcher den Nutzer verwendet.
Nun sind wir alle menschlich, und sind so wohl nicht dafür geschaffen, uns dutzende unterschiedliche Passwörter zu merken. Es gibt jedoch eine Lösung, die Abhilfe schafft: der Passwort-Manager. Dabei handelt es sich um eine Software, welche mithilfe eines zentralen Passworts erlaubt, sämtliche andere Passwörter, die man im Manager hinterlegt hat, automatisch abzurufen, wenn diese benötigt werden. Somit braucht man sich nur noch das Hauptpasswort merken, und kann dann alle anderen Passwörter getrost vergessen – der Passwort Manager erledigt die Eingabe automatisch.
Besonderes Feature dabei: Die Meisten Passwort Manager haben einen integrierten Passwort-Generator, welcher automatisch besonders sichere Passwörter generiert. Somit wird es noch schwieriger für Hacker, diese zu knacken. Denn die meisten Menschen verwenden Passwörter, die für Sie leicht zu merken sind – die etwa Geburtsdaten, oder Namen enger Verwandter enthalten. Automatisch generierte Passwörter haben keinen Zusammenhang zum Nutzer, und können somit auch nicht recherchiert werden.
Häufige Wechsel von Passwörtern sinnlos
Immer wieder bekommt man bei Online-Diensten die Aufforderung, sein Passwort zu ändern, sofern dies schon länger nicht getan wurde. Laut NIST ist dies jedoch keine wirklich wirksame Methode, um Nutzer von unerlaubten Zugriffen zu schützen. Denn die User verwenden zumeist wiederum sehr ähnliche, und zu kurze Passwörter, wie zuvor, wodurch es durch Bruteforce-Attacken für Kriminelle einfach bleibt, Zugang zu erlangen.
Authentifizierung als Ergänzung zum Passwort
Eine Methode, welche die Nutzung von Online-Diensten sicherer macht, ist zusätzlich zu Passwörtern auch Methoden der Authentifizierung zu verwenden. Hierzu gehört beispielsweise, dass man eine Frage beantworten muss – etwa: „Welche Marke war dein erstes Auto?“, oder „In welcher Stadt wurdest du geboren?“. Dies Maßnahmen bieten sehr wohl eine gewisse Sicherheit, da es sich um eine zusätzliche Sicherheitsmaßnahme handelt. Sie können jedoch zum Problem werden, wenn die Daten irgendwo online verfügbar sind. Und wer weiß schon so genau, welche dieser „Geheimnisse“ man schon in Sozialen Netzwerken bekannt gegeben hat?
Als sicherer kann man die 2-Faktor-Authentifizierung ansehen. Diese kann bei einigen Diensten, welche sensible Daten enthalten, als Service aktiviert werden. Man benötigt hierfür ein zusätzliches Gerät, wie etwa sein Smartphone, welches Codes empfangen kann. Diese Codes müssen Sie dann unmittelbar nach einem Login-Versuch innerhalb einer gewissen Zeitspanne angeben, um sich erfolgreiche einzuloggen. Dies bedeutet also, dass ein Hacker nicht nur ihr Passwort knacken muss, um an ihre Daten zu kommen, sondern auch physisch im Besitz ihres Smartphones sein muss. Wir empfehlen ihnen aus diesem Grund, eine 2-Faktor-Authentifizierung einzurichten, insbesondere bei Diensten, welche besonders wertvolle Services und sensible Daten beinhalten.