Sichere Passwörter: SindSieSchonGeknackt?

Man soll es nicht glauben, aber Passwörter wie QWERTZ, 123456 oder einfach ein Vorname sind tatsächlich häufig gewählte Codes, um vertrauliche Daten zu sichern. Der Grund dafür ist klar: Wir müssen uns immer mehr Passwörter merken. Je einfacher die also gestaltet sind, desto leichter fällt uns das: Töchterchens Vorname wird zum E-Mail-Login, Sohnemanns Geburtstag zum Passwort für das Online-Banking. Und die faulsten Hasardeure unter uns entledigen sich der leidigen Passwort-Last gleich durch ein Universal-Passwort, das sie als virtuellen Generalschlüssel überall benutzen.

Fatal ist das, weil die meisten von uns das so machen. Es schränkt die Zahl der wahrscheinlichen Passwörter erheblich ein. Kriminelle wissen das und setzen darum gern auf sogenannte Wörterbuch-Angriffe: Datenbanken mit häufig benutzten Passwörtern oder wahrscheinlichen Zeichensequenzen (logischen Vokal- und Konsonant-Abfolgen, Datum-Mustern etc.). Doch selbst, wenn ein Programm einfach nur alle denkbaren Zeichenkombinationen willkürlich durchspielt (die sogenannte Brute-Force-Methode), ist damit eine Menge möglich, wenn ein Passwort zu wenig Zeichen-Varianten enthält oder zu kurz geraten ist.

Ein handelsüblicher PC probiert heute pro Sekunde rund 25 Millionen solcher Passwörter aus. Wer Zugang zur Abfrage-Schnittstelle eines Passwort-geschützten Dienstes hat, wird die meisten von uns üblicherweise genutzten Passwörter darum innerhalb weniger Sekunden knacken. Viele Web-Dienste machen es Angreifern zum Glück schwerer, indem sie die Anzahl der Passwort-Versuche begrenzen.

Ein Beispiel:

• Sie wählen als Passwort den Typ Ihres geliebten ersten Autos (ist ja definitiv leicht zu merken): kadett.
• Ihr Passwort hat sechs Zeichen. Das deutsche Alphabet bietet 26 reguläre Schriftzeichen (ohne Umlaute und Sonderzeichen). Daraus ergeben sich für Ihr Passwort rund 309 Millionen mögliche Kombinationen.
• Ein handelsüblicher PC errechnet 25 Millionen Kombinationen pro Sekunde. Für Ihr Passwort wird er also nicht länger als rund 12 Sekunden brauchen, wahrscheinlich aber knackt er es deutlich schneller.

Programme, um solche Brute-Force-Passwortangriffe durchzuführen, sind im Internet frei oder kostenpflichtig verfügbar (in Deutschland natürlich illegal), man braucht dafür keinerlei Hacking-Know-how. Sollten Sie also zu den Nutzern sechsstelliger Passwörter ohne Sonderzeichen und Großbuchstaben gehören, gilt folgendes: Wer Ihr Passwort knacken will und Zugang zu Ihrem Rechner hat, wird das in höchstens zwölf Sekunden schaffen. Über das Netz dauert es etwas länger, denn da bremsen die Bandbreiten der Datenübertragung (außer man setzt Ihnen das Schnüffelprogramm per Trojaner direkt in den PC). Bei so einem Passwort kann also von Sicherheit keine Rede sein.

Besser wird das mit jedem zusätzlichen Zeichen, dazu mit jeder Variation. Hieße Ihr Passwort nicht "kadett", sondern "kADe11", müsste ein Angreifer nicht mehr 309 Millionen mögliche Kombinationen durchrechnen, sondern rund 57 Milliarden. Die Sicherheit lässt sich also mit einfachen Mitteln erhöhen.

Ein paar Tipps:

• Je länger, desto besser. Schon bei zehnstelligen Passworten braucht ein PC mehrere Jahre, um alle Kombinationen durchzurechnen. Die Ergänzung des Zeichensatzes um Zahlen, der Einsatz von Großbuchstaben und Sonderzeichen (soweit vom Dienst oder Programm erlaubt) erhöht die Sicherheit zusätzlich.
• Weil man sich aber ein Passwort wie "hiaHj17ZhbX84Fg?hUIgaq41ADeN" eher schlecht merken kann, sollte man auf persönlich einprägsame Wortsequenzen setzen, die man noch durch Zahlen ergänzen kann: "DasHierKannIchMirGutMerken987" ist doch ein Klacks, oder? Und nicht nur das: Es ist so gut wie unknackbar. So wie beispielsweise auch "MeineTochterWog3600GRAmm" oder "DieHochZeitsSchuheWarenRot1204" - ein gut zu merkendes Detail aus der eigenen Biografie kombiniert mit einem Datum.
• Das lässt sich variieren: Nehmen Sie ein völlig kryptisches Passwort, das Sie mit einer einfachen Eselsbrücke jederzeit abrufen können. "WrSsDnUw?13" ist zum Beispiel aus den Anfangsbuchstaben der Worte der ersten Zeile des Erlkönig-Gedichts zusammengesetzt, ergänzt um eine gut zu merkende Zahl.
• Man sollte seine Passwörter nicht von einem Web-Dienst verwalten lassen. Was man aus der Hand gibt, kann auch leichter verloren gehen.
• Jeder Dienst, jedes Programm braucht sein eigenes Passwort: "Knackste Eines, hast Du alle" ist unbedingt zu vermeiden. So lästig das ist, auf Generalschlüssel muss man leider verzichten.
• Wer auf Nummer sicher gehen will, muss sein Passwort in Abständen ändern - zumindest bei wichtigen Anwendungen wie beispielsweise beim Online-Banking ist das ratsam.

Wie gut oder schlecht ein Passwort ist, kann man ausprobieren. Eine einfache Passwort-Analyse bietet etwa Microsoft an, eine etwas ausführlichere der Datenschutzbeauftragte des Kantons Zürich.

Dienst für geknackte Passworte

ShouldIChangeMyPassword.com ist keine Frage, sondern eine Art Google für geklaute Passworte - hinter dem Dienst mit dem einprägsamen Titel verbirgt sich eine Datenbank mit in Hackerforen gehandelten Logins. Wer dort seine E-Mail-Adresse eingibt, erfährt, ob das entsprechende Mail-Login bereits bekannt und öffentlich ist.

Natürlich ist das eher ein Gimmick. Hat der Dienst kein geknacktes Passwort zu bieten, heißt das noch lange nicht, dass das Passwort noch intakt ist. Kennt er es allerdings, weiß man definitiv, dass es im Umlauf ist. Der Dienst bezieht sich allerdings ausschließlich auf Mail-Logins. ShouldIChangeMyPassword sollte man darum als spielerische Mahnung verstehen, nicht aber für einen verlässlichen Sicherheitscheck halten: Für die Sicherheit unserer Passwort-geschützten Accounts können wir nur selbst sorgen.