• Einstellungen
Mittwoch, 13.09.2017

d45 157 k31n 51ch3r35 p455w0r7

Können Sie das lesen? Dort steht: „Das ist kein sicheres Passwort.“ IT-Experten erklären, woran das liegt – und wie man bessere Zugangscodes bildet.

Von Andreas Rentsch

© dpa

Mit Passwörtern ist es wie mit Unterhosen: Man sollte sie regelmäßig wechseln. Wobei: Ist es wirklich sinnvoll, Zugangsdaten für Onlinedienste alle 90 Tage zu ändern? Der Informatiker Bill Burr hat kürzlich in einem viel beachteten Interview bereut, vor etwa 15 Jahren diese und andere Vorgaben aufgestellt zu haben. Etwa, dass jedes Passwort neben Buchstaben auch Zahlen und Sonderzeichen enthalten muss. Burr hat diese Regeln für US-Behörden entwickelt. Inzwischen weiß man, dass solche Dogmen tendenziell zu schlechteren Passwörtern führen – zum Beispiel Pa$$wort12345. Die SZ fragte deutsche Sicherheitsexperten nach ihren Ratschlägen für gute Zugangscodes.

Wie lang sollte ein sicheres Passwort mindestens sein?

Die Initiative Deutschland sicher im Netz (DsiN) hält eine Mindestlänge von acht Zeichen für notwendig. „Grundsätzlich gilt dabei: Je kürzer das Passwort, desto komplexer sollte seine Zusammensetzung sein“, sagt Referent Martin Meingast. Das heißt, kurze Passwörter müssen groß und klein geschriebene Buchstaben, Zahlen und Sonderzeichen enthalten. Thorsten Strufe, Informatikprofessor an der TU Dresden, rät dagegen zu Codes mit mehr als zwölf Zeichen. „Ihr heimisches WLAN oder Online-Dienste von nicht sehr vertrauenswürdigen Anbietern sollten Sie eher mit einem Passwort absichern, das aus über 20 Zeichen besteht“, rät er. Das hat damit zutun, dass Angreifer hier die Chance nutzen, automatisiert alle möglichen Passworte durchzuprobieren. Im Fachjargon heißt diese Methode „Brute Force“ – rohe Gewalt. Auch das National Institute of Standards and Technology, für das Bill Burr einst seine Passwort-Empfehlungen erarbeitet hat, empfiehlt lange Passphrasen.

Wie bilde ich ein für heutige Verhältnisse sicheres Passwort?

Entscheidend ist, dass die Passwort-Phrase in keiner Liste auftaucht, die Codeknacker benutzen. Die Redakteure des Fachportals Heise Security empfehlen, einen leicht zu merkenden Nonsense-Satz zu bilden und durch ein Muster abzuwandeln, das nur einem selbst bekannt ist. Etwa „ZentralHaubentaucherSperreSchwarz“, wobei das „Z“ im finalen Code zum „#“ wird und „r“ zu „?“. Tabu bleiben sollten Fahrzeugkennzeichen, Geburtsdaten oder Wörter, die genauso in Wörterbüchern vorkommen. Auch die Methode des „Leet Speak“, also das Ersetzen von Buchstaben durch ähnlich aussehende Ziffern, sei Kriminellen durchaus bekannt, warnt Thorsten Strufe. Es nützt also nichts, „dyn4m0dr35d3n“ zu schreiben statt „DynamoDresden“.

„Passwörter müssen vor allem zufällig und für den Angreifer unvorhersehbar sein“, sagt Professor Hannes Federrath, Vizepräsident der Gesellschaft für Informatik. Er empfehle daher einen guten kryptografischen Zufallsgenerator. Als taugliches Werkzeug nennt der Experte den kostenlosen Passwort-Safe KeePass. Beliebte, allerdings kostenpflichtige Programme sind 1Password, LastPass oder EnPass.

Wie muss ich bei der Benutzung von Passwortmanagern beachten?

„Das Master-Passwort dieses Programms muss besonders gut sein“, sagt DsiN-Experte Martin Meingast. Schließlich sind alle dort verschlüsselt gespeicherten Zugangsdaten bloßgestellt, wenn Cyberdiebe den „Generalschlüssel“ für den Passwortmanager erbeuten. Zu empfehlen ist außerdem, dem virtuellen Safe nicht alle Passwörter anzuvertrauen – Stichwort Onlinebanking und -shopping. Zumindest zu Hause ist es auch möglich, Passwörter auf Zettel zu notieren und an einem sicheren Ort aufzubewahren. Selbst das Bundesamt für Sicherheit in der Informationstechnologie (BSI) empfiehlt diese Lösung. Hacker brechen nun mal nicht in Wohnungen ein, um dort Notizbücher aus Schreibtischschubläden zu holen.

In welchen Abständen sollte man seine Passwörter ändern?

Das eingangs erwähnte National Institute of Standards and Technology hat jahrelang zu regelmäßigen Änderungen geraten. Heute gilt dagegen die Empfehlung, Codes nicht mehr nach einer fixen Frist neu festzulegen, sondern nur dann, wenn man den Verdacht hat (oder weiß), dass das Passwort einem unbefugten Dritten bekannt ist. Das hat damit zu tun, dass regelmäßige, teilweise erzwungene Passwortwechsel „zu Umgehungshandlungen beim Nutzer führen“, sagt Hannes Federrath. Eine gängige Methode sei, den vorhandenen Code durch Voranstellen oder Anhängen einer leicht zu merkenden Zeichenkette zu variieren. So wird 3k8$3z%h zu 3k8$3z%h.Herbst oder Winter.3k8$3z%h. „Die erzeugte Struktur verbessert die Sicherheit kaum, überlistet aber den Wechselzwang“, erklärt der Informatikprofessor.

Sein Fachkollege Thorsten Strufe hält vorbeugende Passwortwechsel dennoch für sinnvoll. Schließlich komme es immer wieder vor, dass Passwortdatenbanken bei Dienstleistern gestohlen werden – und dieser Vorfall unbemerkt bleibt. Gegen dieses Szenario hilft ein regelmäßiger Passwortwechsel. Ein paarmal im Jahr sollte man sich diese Mühe machen, sagt Strufe.

Wie gefährlich ist es, Passwörter mehrfach zu benutzen?

Das ist eine verbreitete, aber ausgesprochen schlechte Angewohnheit. Trotzdem halten sich viele Nutzer nicht an die Mahnung, für jeden Onlinedienst ein eigenes Passwort zu vergeben. Die Konsequenz: „Haben Angreifer einmal ein Passwort erbeutet, können sie damit auch Zugriff auf weitere Konten bekommen“, so Meingast. Besonders kritisch wird es, wenn auch der Weg ins eigene E-Mail-Postfach frei ist. Schließlich senden Onlinedienste ihre Bestätigungs-Mail dorthin, wenn jemand sein vergessenes Passwort zurücksetzen will.

Wie finde ich heraus, ob meine Anmeldedaten noch sicher sind?

Es existieren diverse Dienste, bei denen man prüfen kann, ob Hackern die eigenen Zugangsdaten bekannt sind. Dazu zählen der „HPI Identity Leak Checker“ des Hasso-Plattner-Instituts in Potsdam oder der Onlinetest haveibeenpwned.com. Letzterer wird von dem australischen Sicherheitsforscher Troy Hunt betrieben. „Bei beiden geben Sie lediglich potenziell kompromittierte Benutzernamen oder E-Mail-Adressen, aber niemals Ihr Passwort ein“, betont Thorsten Strufe. Schutz gegen enthüllte Passwörter bietet die Zwei-Faktor-Authentifizierung. Bei dieser Methode meldet man sich zunächst wie gewohnt mit Benutzername und Passwort an, wird dann aber noch nach einer PIN gefragt. Der meist sechsstellige Code wird von dem Onlinedienst auf die Mobilfunknummer geschickt, die man zuvor dort hinterlegt hat. Als zweiter Faktor eignet sich aber auch ein sogenannter Security-Token – beispielsweise ein USB-Stick – zur Authentifizierung. Hat der Angreifer keinen Zugriff auf das Smartphone oder den Stick, kann er sich auch nicht einloggen.

Wie sicher sind andere, neuere Authentifizierungsmethoden?

Biometrie in Gestalt von Iris- oder Fingerabdruck-Scannern ist im Kommen. Solche Systeme seien in Smartphones zwar bequem, aber auch recht leicht zu überlisten, sagt Hannes Federrath. „Diebe, die das Gerät entwenden, können im einfachsten Fall schon aus den Fettspuren des Fingers auf dem Display einen Fingerabdruck rekonstruieren. Auch ein Augen-Scan ist aus seiner Sicht nicht unbedingt sicherer als ein Passwort. „Beim Samsung Galaxy S8 konnte mithilfe eines hochauflösenden Infrarot-Fotos des Auges die Iris-Erkennung leicht überlistet werden.“

Nichtsdestotrotz bemühen sich viele Anbieter darum, Passwörter überflüssig zu machen. Google beispielsweise arbeitet für Nutzer des mobilen Betriebssystems Android am Trust Score: Bei diesem „Vertrauenswert“ geht es darum, aus der Analyse verschiedener Datensätze die Wahrscheinlichkeit zu ermitteln, dass es sich bei dem, der sich gerade einloggen will, tatsächlich um den rechtmäßigen Besitzer des Smartphones handelt. Um den Trust Score zu berechnen, werden zum Beispiel Daten aus der Gesichtserkennung, GPS-Koordinaten oder die nutzerspezifische Art des Tippens auf dem Bildschirm analysiert. Datenschützer sehen in dieser Lösung allerdings das Risiko, dass Google die Privatsphäre des Anwenders verletzt.

DsiN-Referent Martin Meingast sieht den Trust Score deshalb nur als alternative Identitätsüberprüfung – ähnlich wie Iris- oder Finger-Scan. „Am Ende muss der Kunde selbst die Wahl haben, welche Authentifizierungsmethode er nutzen möchte.“

Desktopversion des Artikels

Leser-Kommentare

Insgesamt 0 Kommentare

    Kommentare können nur in der Zeit von 8:00 bis 18:00 Uhr abgegeben werden.