Wie wähle ich für alle Zugänge das perfekte Passwort aus, das ich mir leicht merken kann? Alles zum Thema Passwortsicherheit leicht erklärt auf einen Blick.
Im privaten wie beruflichen Umfeld ist es extrem wichtig, für jede Anwendung ein eigenes und zudem sicheres Passwort zu benutzen. Ist es aber zu kompliziert, kann ich es mir nicht merken und komme dann schwer bis gar nicht mehr an meine Daten heran. Wie also gelingt die Mischung aus möglichst sicheren und leicht zu merkenden Passwörtern?
Social Engineering
Wer die Accounts eines Mitarbeiters übernehmen will, versucht zunächst, so viele Informationen wie möglich über die Zielperson zu erfahren. In Hackerkreisen spricht man vom Social Engineering. Cyberkriminelle legen sich dafür gerne ein seriös aussehendes Profil bei Xing, Linked In oder Facebook an, das auf den ersten Blick unauffällig erscheint.
Wer hat nicht schon einmal eine Kontaktanfrage bei einem sozialen Netzwerk positiv beantwortet, obwohl man sich an die Person nicht erinnern konnte? Das macht eigentlich jeder. Ziel der Kontaktaufnahme ist es, beispielsweise das Geburtsdatum, den Namen der Ehefrau, des Bruders, Kinder, der Lieblingsband oder des Haustieres in Erfahrung zu bringen. Viele Menschen veröffentlichen im Internet Details über ihre Vorlieben und ihr privates Umfeld. Und viele davon sind nur dann für Hacker sichtbar, sobald die Zielperson die Kontaktanfrage positiv beantwortet hat.
Wer seine Daten schützen will, sollte es also tunlichst vermeiden, Namen von Familienmitgliedern etc. im eigenen Passwort zu verwenden. Professionelle Hacker, die gegen Bezahlung arbeiten, scheuen sich nicht einmal davor, bei fremden Unternehmen anzurufen. Sie geben sich dann als jemand Drittes aus, um etwas zu erfahren oder jemanden zu einer Handlung zu bewegen. Aus Höflichkeit, Bequemlichkeit oder unter Zeitdruck werden nicht selten Daten preisgegeben, mit deren Hilfe sogar ein Firmennetzwerk übernommen werden kann. Für eine Übernahme hätten die Hacker mit technischen Mitteln sehr viel länger gebraucht.
Wichtig: Sie sollten es unbedingt vermeiden, den Zettel mit Ihren Zugangsdaten an den eigenen Monitor zu kleben. Was auf dem Firmengelände für jeden Besucher sichtbar oder zugänglich ist, könnte irgendwann gegen Sie verwendet werden.
Brute-Force-Methode versus Wörterbuchattacke
Bei einer Wörterbuchattacke wird einfach eine lange Liste der gängigsten Wörter und Wortkombinationen durchprobiert. Dies kann manuell geschehen. Dafür gibt es auch Programme, die jeweils bei den populärsten Begriffen aus dem Wörterbuch anfangen. In den vergangenen Jahren wurde immer wieder am liebsten als Passwort „123456“ oder schlichtweg „Passwort“ verwendet. Warum das so ist, ist eigentlich klar. Was man sich am leichtesten merken kann, geht halt nicht verloren.
Bei der Brute-Force-Methode werden die Angriffe oftmals von den leistungsfähigen Prozessoren moderner Grafikkarten übernommen. Das Programm probiert einfach alle möglichen Kombinationen bestehend aus Klein- und Großbuchstaben, Ziffern und Sonderzeichen durch. Schnelle Grafikkarten können achtstellige Passwörter in bis zu 7,5 Stunden knacken. Für die Hacker wird es aber kompliziert, wenn vor der Sperre des Zugangs nur eine gewisse Anzahl an falschen Eingaben möglich ist. Grundsätzlich gilt: Nicht eine möglichst wilde Mischung aus Ziffern, klein und groß geschriebenen Buchstaben oder Sonderzeichen macht ein Passwort sicher. Entscheidend ist letztlich vor allem die Länge des Passworts. Und natürlich, dass Sie bei jedem Login Ihre Hobbys und Familienmitglieder außen vor lassen.
Gutes & passendes Video von Alexander Lehmann: „Passwörter einfach erklärt“.
Schneier-Schema
Bruce Schneier gilt weltweit als einer der führenden Experten für IT-Sicherheit. Schneier rät den Lesern seines Blogs dazu, sich einen möglichst langen Satz auszudenken. So zum Beispiel: „Wenn der Fisch im Aquarium um die Ecke schwimmt, habe ich Feierabend.“ Wer will, benutzt dann nur die klein- bzw. groß geschriebenen Anfangsbuchstaben eines jeden Wortes: „WdFiAudEs,hiF“. Komma und Punkt habe ich der Vollständigkeit ebenfalls eingefügt. Wer sich den Satz ungekürzt besser merken kann, sollte ihn auch so als Passwort benutzen. Schon die Abkürzung umfasst 13 Zeichen und dürfte die gängigen Passwortknacker vor eine recht komplexe Aufgabe stellen. Der ungekürzte Satz umfasst 70 Zeichen. Daran hätte sogar das Rechenzentrum der NSA sehr lange zu knacken.
Keine Passwörter doppelt verwenden!
Wichtig: Verwenden Sie Ihre Kennwörter niemals doppelt. In den vergangenen Jahren wurden im Internet immer wieder die Zugangsdaten unzähliger Personen veröffentlicht. So haben Unbekannte alleine im Juni 2012 rund 6,5 Millionen Zugangsdaten von Linked In-Nutzern ins Netz gestellt. Auch die Netzwerke von Sony wurden schon mehrfach geknackt. Wer seine Passwörter nie ändert und mehrfach benutzt, muss sich nicht wundern, wenn diese irgendwann von Dritten missbraucht werden. Dabei muss der Cyberkriminelle einfach nur alle Passwörter durchprobieren, die schon einmal illegal im Internet aufgetaucht sind.
Passwort-Manager
Für jede Anwendung ein eigenes Passwort zu kreieren, ist Ihnen zu viel Aufwand? In dem Fall sollten Sie auf Ihrem PC einen Passwort Generator installieren. Diese Software erstellt für jeden Zugang ein eigenes langes und zudem sicheres Passwort, was Sie sich nicht merken müssen. Für Windows sind mehrere kostenlose Programme verfügbar. Daneben werden für jedes Betriebssystem auch kostenpflichtige Versionen für 30 bis etwa 50 Euro angeboten. In OS X Mavericks und iOS 7 hat Apple vor etwa einem Jahr einen eigenen Passwort-Manager integriert, der Sie nichts extra kostet.
Allerdings sind alle Zugänge nur dann sicher, wenn sie ihr Masterkennwort gut ausgewählt haben. Mit dem Masterkennwort melden Sie sich beim Start der Software an. Die Problematik bleibt mit oder ohne Softwareunterstützung stets die gleiche: Die größte Sicherheitslücke ist nicht der Computer, den Sie benutzen. Das größte Sicherheitsrisiko geht immer vom Benutzer aus, der vor dem Computer sitzt.
Der Artikel wurde ursprünglich für die erste Ausgabe 2015 des Magazins „Wirtschaft – MITten aus Neuss“ geschrieben und dort veröffentlicht. Das komplette Heft kann hier als PDF heruntergeladen werden.
Tarnkappe.info