Nutzen Sie ein sicheres Kennwort?

Jede Web-Applikation kommt nicht ohne aus: Das Passwort. Es schützt Unberechtigte vor dem Zugriff auf sensible Daten. Wenn eine Person das Passwort zu einem Benutzerkonto nicht kennt, gibt es keine Möglichkeit, auf das Passwort zuzugreifen. Oder doch?

Angreifer interessieren sich brennend für sensible Daten und können dank Softwareunterstützung, aber auch mit Hilfe von Erfahrung an sensible Daten gelangen. Ein als „Hacker“ bezeichneter Anwender wäre demnach in der Lage, den Zugriff auf fremde Konten zu erhalten.

Angriffs-Methoden

Das Team von medialeitwerk hat im folgenden zusammengetragen, welchen Methoden sich ein Angreifer bedient, um Zugriff zu einem fremden Konto zu gelangen:

1. Brute-Force-Angriff

Der Brute-Force-Angriff kostet den Angreifer keine Mühe, allenfalls etwas Geduld. Die Technik basiert auf der … eine Vielzahl von möglichen Passwörtern auszuprobieren. Mit einer entsprechenden Software werden aus alphanumerischen Zeichen und Symbolen unterschiedliche Kombinationen gebildet, in der Hoffnung, dass einer der generierten Zeichenketten mit dem Passwort des Opfers übereinstimmt. So ist es beispielsweise möglich, in 60 Sekunden mehrere tausend Passwortmöglichkeiten zu prüfen.

Dabei gilt, vereinfacht gesagt: Je länger das Passwort des Anwenders ist, desto länger benötigt eine Software, dieses Kennwort herauszufinden. Es gilt jedoch zu berücksichtigen, dass eine Zeichenkette wie „123123123“ leichter zu generieren ist als „j57uK!Z#s]V“.

2. Abgleich von beliebten Passwörtern

Hinter dieser Methode steckt die Erkenntnis, dass es Passwörter gibt, die Internetuser immer wieder verwenden. In Deutschland ist beispielsweise das Passwort „hallo“ am Beliebtesten, wie eine Studie des Hasso-Plattner-Instituts (HPI) zeigt. Weltweit ist „123456“ das am häufigst genutzte Passwort. Mit dieser Erkenntnis kann ein Angreifer eine einfache Wahrscheinlichkeitsrechnung aufstellen: Wenn nur 0,1 % aller User einer Online-Plattform das Passwort „hallo“ nutzen, so reicht im Schnitt ein Versuch mit 1.000 Benutzerkonten, um einen Treffer zu landen. Da in Verbindung mit einem Passwort immer noch ein Benutzername erforderlich ist, ist diese Rechnung natürlich nicht in der Realität abbildbar, zeigt aber, dass Angreifer mit einer gewissen Quote rechnen.

3. Raten

Diese Methode klingt vermeintlich abwegig, glaubt man doch, dass die Wahrscheinlichkeit, das richtige Passwort zu erraten, bei Null liegt. Wenn man sich jedoch einige Details über sein Opfer herausfindet, hat man bereits einen Anhaltspunkt. Ein bekanntes Beispiel ist der Name der Tochter, des Hundes, des Partners usw.: Nicht selten werden diese Namen auch als Passwort genutzt. An private Informationen zu gelangen ist in den Zeiten von Facebook & Co. einfach.

4. Auslesen der Datenbank

Das Auslesen der Datenbank gehört zu den Methoden, die technisches Know-how voraussetzen, sind aufgrund der Automatisierbarkeit aber dennoch beliebt: Ein Angreifer hat dabei die Möglichkeit, Schadcode auf der Zielseite auszuführen oder Sicherheitsmechanismen auszuhebeln. Näheres zu diesen technischen Hintergründen erfährt man beispielsweise bei der Community „OWASP“, die sich zum Ziel gesetzt hat, über Sicherheitsrisiken von Internetanwendungen aufzuklären. Dieser Schadcode ermöglicht dem Angreifer, Zugriff auf das Dateisystem oder die Datenbank zu nehmen.

Es gibt noch eine Vielzahl anderer Möglichkeiten, die oben genannten vier Methoden sind jedoch mit Abstand am Verbreitesten. Wenn man das Prinzip hinter den Angriffsmustern versteht, ist es ein Leichtes, ein sicheres Passwort zu wählen.

Wie schütze ich mein Passwort vor Angreifern?

Es gilt also, ein sicheres Passwort zu wählen. Doch was genau ist ein sicheres Passwort? Eines vorweg: Kein Passwort ist so sicher, dass es nicht knackbar ist. Einfache Passwörter wie „123123123123“ sind in nur wenigen Sekunden geknackt. Ein langes Passwort wie „&DGS&,)%mqQL“ dagegen benötigt Jahre, um es mit einem Brute-Force-Angriff abzugleichen.

Bestandteile eines sicheren Passwort

Ein sicheres Passwort besteht aus vielen Zeichen – je mehr, desto besser. Als absolutes Minimum gelten sechs Zeichen, besser sind jedoch acht. Das Passwort selbst sollte aus Zahlen, Buchstaben und Sonderzeichen (z.B. „#“) bestehen. Die Anzahl möglicher Zeichen erhöht auch die Anzahl der Kombinationen, die eine Zeichenkette mit bestimmter Länge besitzt.

Keine Begriffe aus dem Privatleben!

Wie oben bereits erwähnt, ist der Name des Haustieres sicherlich ein leicht zu merkendes Passwort, dafür jedoch sehr unsicher. Jemand, der Ihre private Umgebung etwas kennt, hat damit schon einige Anhaltspunkte beim Raten des Passwortes. Auch eine Telefonnummer ist kein sicheres Passwort! Wählen Sie lieber Fantasiebegriffe, Abkürzungen oder Zeichenkombinationen, die Sie verinnerlicht haben.

Verwenden Sie für jede Plattform ein anderes Passwort

Es könnte so einfach sein: Ein sicheres Passwort, welches für alle Online-Plattformen genutzt wird. Man darf hierbei nicht vergessen, dass eine Kette nur so stark ist wie das schwächste Glied. Wenn die Datenbank einer technisch schlecht gesicherten Internetseite ausgelesen werden kann, so sind auch Konten sicherer Netzwerke, wie etwa Facebook, in Gefahr. Darum gilt: Für jede Plattform ist ein anderes Passwort zu wählen. Tipp: Sollten Sie sich nicht zutrauen, sich verschiedene Passwörter zu merken, nutzen Sie die ersten drei Buchstaben des Anbieters als Passwort-Präfix. Aus dem Passwort „Nj;YfxM“ wird dann „gooNj;YfxM“ für Google und „facNj;YfxM“ für Facebook.

Tipps für ein sicheres Passwort

  1. Wählen Sie ein Passwort, das mindestens acht Zeichen lang ist. Mischen Sie Groß- und Kleinschreibung und berücksichtigen Sie auch Zahlen und Sonderzeichen.
  2. Wenn Sie Probleme haben, sich Ihr Passwort zu merken, können Sie sich eine Eselsbrücke bauen: Ein Passwort wie „Mgi1LMHn“ könnte man übersetzen in „Morgen gehe ich 1 Liter Milch holen
  3. Andersherum kann man sein Passwort gleich auf Basis eines Merksatzes wählen: „Morgenstund‘ hat Gold im Mund“ wird dann zu einem interessanten Passwort, wenn beispielsweise jeweils das Erste und Letzte Zeichen eines Wortes verwendet wird: „M’htGdimMd“ ist ein Passwort, dass so schnell nicht zu erraten ist.
  4. Nutzen Sie Tools zur Passwortverwaltung. Dazu gibt es Lösungen wie „1Password“, „PWGen“, „LastPass“ und viele andere. Wer den Browser Google Chrome nutzt, hat dabei eine vollintegrierte Lösung für alle Webformulare.

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.