Wie sicher ist ein Passwort?

Internet Die Wahl des Passworts ist ein Dilemma. Ist es zu simpel, geht das zu Lasten der Sicherheit, ist es zu kompliziert, vergisst man es. Ein paar Tricks gibt es trotzdem
Wie sicher ist ein Passwort?
Foto: Wathiq Khuzaie/ AFP/ Getty Images

Lassen Sie mich raten: Bei ihren Internetpasswörtern – jenen Zahlen-, Zeichen- und Buchstabenkombinationen, mit denen sie sich für Onlinebanking, E-Mail, Onlineshops, Twitter oder Facebook einloggen - herrscht das reinste Chaos.

Eigentlich sollten sie sie ja alle auswendig kennen. Regel Nummer eins der herkömmlichen Passwortweisheit lautet immerhin: Niemals aufschreiben! Zu solchen Höchstleistungen ist ihr Gehirn allerdings nicht in der Lage. Also benutzen sie für jede Seite das gleiche Passwort – den Namen Ihres Hundes oder Ihrer Straße etwa. Ab und zu wandeln Sie es leicht ab, indem Sie zum Beispiel nochmal 123 dranhängen. Vielleicht versuchen Sie aber auch, alles richtig zu machen. In diesem Fall wird Ihnen wahrscheinlich ständig der Zugang zu Ihrem Konto gesperrt oder Sie müssen dauernd versuchen, sich an die Antworten auf absurde Sicherheitsfragen zu erinnern, die Sie irgendwann einmal eingegeben haben (beim iTunes-Store wird man unter anderem gefragt, welches Auto man am wenigsten mag).

Ein Grund, sich deswegen nicht allzu schlecht zu fühlen, ist, dass es offenbar alle so machen. Im September offenbarte eine Analyse im Internet veröffentlichter PIN-Nummern, dass einer von zehn Internetbenutzern das Passwort „1234“ verwendet. Als im Juli bei Yahoo Passwörter gestohlen wurden, kam zutage, dass die Zugangsdaten tausender Nutzer entweder „passwort“, „willkommen“, „123456“ oder „ninja“ lauteten. Sogar wenn es um sehr viel mehr geht, als das eigene Ersparte, neigen die Menschen dazu, schlechte Passwörter zu wählen: Unter Sicherheitsexperten ist bekannt, dass der „geheime Entsperrungscode“ der amerikanischen Atomraketen auf dem Höhepunkt des Kalten Kriegs „00000000“ lautete. Ihr persönliches Passwortdesaster heute ist die Folge eines anderen Rüstungsrennens zwischen kriminellen Hackern und sogenannten „White-Hat-Hackern“, die Sicherheitsvorkehrungen testen.

Die Länge macht den Unterschied

Unterhält man sich aber mit Leuten, die sich richtig auskennen, stellt man schnell fest, dass die herkömmlich bekannten Regeln zur Erstellung vermeintlich sicherer Passwörter oft nicht viel taugen. So kann es zum Beispiel durchaus vernünftig sein, ein Passwort aufzuschreiben. Arbeitgeber, die ihre Angestellten zwingen, alle 90 Tage ihre Passwörter zu ändern, erhöhen damit unter Umständen gar nicht die Sicherheit, sondern machen alles nur noch schlimmer. Das Gleiche gilt für die Regeln, auf denen Ihre Bank besteht – nur eine bestimmte Zeichenzahl, keine Leerstellen, usw. Letztlich sind Passwörter grundsätzlich eigentlich keine besonders gute Methode zur Sicherung unserer privaten Daten. Doch auf die Frage, ob das Problem sich ein für alle Mal lösen ließe, weiß auch IT-Sicherheitsexperte Bill Cheswick nur die Antwort: „Verbrennen Sie Ihren Computer und gehen Sie an den Strand.“ Dennoch gibt es durchaus Möglichkeiten, einigermaßen sicher zu fahren und dabei nicht völlig den Durchblick zu verlieren. Bloß sind es eben nicht die, die einem normalerweise nahegelegt werden.

Passworthacker haben viele Methoden. Wichtig ist dabei, zu verstehen, dass sie oftmals nicht mit tückischer Raffinesse vorgehen, sondern einfach mit stumpfer Gewalt. Nehmen wir das Beispiel eines Hackers, der sich Zugriff auf die Server einer Firma verschafft und eine Datei klaut, die mehrere Millionen Passwörter enthält. Diese sind (hoffentlich) verschlüsselt, er kann sich also nicht einfach in Ihr E-Mailkonto einloggen. Lautet ihr Passwort etwa „hallo“ (was eigentlich nicht sollte), dann könnte es in der Datei zum Beispiel als "$1$r6T8SUB9$Qxe41FJyF/3gkPIuvKOQ90" auftauchen. Und sofern Einweg-Verschlüsselung angewandt wurde, kann unser Hacker das Ziffern-Zeichen-Durcheinander auch nicht einfach entwirren. Er kann allerdings Millionen von zufälligen Passwörtern durch einen Verschlüsselungsalgorithmus jagen, bis ein Treffer dabei ist, der einer der kryptischen Zeichenreihen in der Datei entspricht. Dann weiß er, dass er ein Passwort gefunden hat. (Eine zusätzliche Verschlüsselungstaktik namens „Salting“ erschwert diese Art von Angriffen. Es ist aber nicht bekannt, wie viele Unternehmen sie nutzen.)

An dieser Stelle macht die Länge eines Passwortes einen beinahe unglaublichen Unterschied. Ein Hacker, dem ein Computer zur Verfügung steht, der tausend Anfragen pro Sekunde verarbeiten kann, würde drei und eine dreiviertel Stunde brauchen, um ein Passwort zu knacken, das aus fünf zufälligen, allesamt kleingeschriebenen Buchstaben besteht. Für ein aus zwanzig Buchstaben Bestehendes bräuchte er schon 6.500 Billionen Jahrhunderte.

Lieber aufschreiben

Hinzu kommt die Frage der Vorhersagbarkeit. Niemand wählt Buchstaben und Zahlen wirklich zufällig. Vielmehr folgen die meisten Leute Regeln, benutzen etwa echte Wörter und ersetzen den Buchstaben o durch eine Null oder hängen an einen Vornamen noch ein Geburtsjahr dran. Hacker wissen das. Deshalb kann ihre Software bei der Generierung von Anfragen diese Regeln berücksichtigen. Dadurch können sie erheblich schneller Treffer landen. Und jedes Mal, wenn Millionen neuer Passwörter an die Öffentlichkeit gelangen, erweitert sich auch das Wissen darüber, wie Internetnutzer Passwörter erstellen.

Das am schwersten zu hackende Passwort wäre also eine lange, nach dem Zufallsprinzip zusammengestellte Aneinanderreihung von Buchstaben, Zahlen, Leerzeichen und Symbolen – allerdings könnte man es sich wohl niemals merken. Da aber die Länge eine so große Rolle spielt, folgt die erstaunliche Wahrheit, dass eine längere Folge zufälliger, allesamt kleingeschriebener Wörter – etwa „wach räder angelnder straußenvogel“ – sehr viel sicherer ist, als ein kürzeres Passwort, dass den nervigen Regeln ihrer Bank entspricht. Und besser merken kann man es sich auch. Sie haben doch bestimmt jetzt auch ein Bild von einem angelnden Straußenvogel im Kopf, der durch ein von Rädern erzeugtes Geräusch aufgewacht ist, oder?

Bei manchen Webseiten kann man „Passsätze“ wie den mit dem angelnden Vogel Strauß verwenden. Oft geht es aber nicht. Dann empfehlen auch viele Sicherheitsexperten: Aufschreiben. Die Logik dahinter ist simpel: Wenn man weiß, dass man etwas nicht aufschreiben kann, hält man es einfach und wählt letztlich unsichere Passwörter.

Bill Cheswick ist bei weitem nicht der einzige, der glaubt, dass wir im Passwortchaos versinken. 1994, als er bei Bell Labs, der sagenumwobenen Forschungsabteilung von AT&T, arbeitete, war er Co-Autor eines Buches mit dem aufrüttelnden Titel Firewalls And Internet Security: Repelling The Wily Hacker. Es trug zu den Grundlagen der modernen Internetsicherheit bei. Inzwischen aber, sagt er, seien Passwörter einfach nur noch ein „Pain in the Ass“.

Außerdem mache die Fokussierung darauf, Passwörter immer komplexer werden zu lassen, ohnehin immer weniger Sinn. Inzwischen nämlich gehe die Gefahr von Keyloggern aus – das ist heimlich installierte Software, anhand der sich übers Internet verfolgen lässt, welche Tasten ein Computernutzer drückt. Kaum weniger fies sind die „phising“-Angriffe, von denen immer wieder in den Medien die Rede ist. Bei solchen Angriffen versuchen die Übeltäter Internetnutzer über eine E-Mail oder einen Webseite, die einer bekannten und vertrauenswürdigen gleicht, dazu zu bringen, ihr Passwort preiszugeben.

Andere Sicherheitsmethoden

Eines Tages allerdings werden wir uns um all dies keine Gedanken mehr machen müssen. Es sind Innovationen in Entwicklung, die die Passwörter möglicherweise vollkommen ersetzen werden.

Touchscreens könnten so konfiguriert werden, dass sie kleinste Details der Interaktion eines Nutzers mit dem Computer – die Abstände zwischen den Fingern, die Geschwindigkeit, mit der man tippt und scrollt – erkennen können. Technologen an der Rutgers Universität in New Jersey haben den Prototypen eines Rings entwickelt, der am Finger getragen wird und winzige Elektrostöße über die Haut des Nutzers zum Bildschirm sendet, um so dessen Identität zu bestätigen. Fingerabdrucklesegeräte, wie sie bereits in einigen Laptops eingebaut, aber noch zu fehlerhaft sind, um ernstgenommen zu werden, könnten weiter verbessert werden. Zu früh sollte man sich trotzdem nicht freuen: Zumindest in der absehbaren Zukunft werden die Passwörter uns noch erhalten bleiben, sagt Cheswick.

So lange empfiehlt er, das zu tun, was ich auch getan habe, nachdem die Recherchen zu diesem Artikel mich ordentlich aufgeschreckt haben: Ich habe eine als „Passwortmanager“ bekannte Software installiert. Solche Seiten, wie LastPass oder 1Password, generieren für alle Seiten, die man aufsucht, zufällige Passwörter, die unter einem einzigen Masterpasswort gespeichert werden. Ich habe LastPass installiert und bin nun in der verwirrenden Situation, das Passwort für mein E-Mailkonto nicht zu kennen und nie gekannt zu haben. Macht aber nichts: LastPass stellt es bereit, wann immer ich es brauche.

Perfekt ist freilich auch diese Lösung nicht. LastPass ist fast schon zu sicher: Auch die Firma kennt mein Masterpasswort nicht. Sollte ich es also vergessen, könnte mir niemand helfen (es lässt sich auch nicht über Sicherheitsfragen wiederherstellen).  Also habe ich es aufgeschrieben. In „verschlüsselter“ Form, auf einem Stück Papier, dass ich sorgsam versteckt habe. Ich hoffe, dass ich es bald auswendig kenne. Jetzt darf ich nur nicht vergessen, wo ich den Zettel versteckt habe.

Übersetzung der gekürzten Fassung: Zilla Hofman
17:30 26.12.2012

Kommentare 7

Avatar
Ehemaliger Nutzer | Community