Sichere Passwörter: SindSieSchonGeknackt?

Passwörter sind Teil unseres Alltags, sei es die PIN am Bankautomaten oder das Login des E-Mail-Accounts. Kein Wunder, dass wir gern dieselben Codes nutzen - zur Freude von Kriminellen. Eine Website verrät, ob Ihre Passwörter schon in Umlauf sind.

Passwort: Es kommt nicht nur auf die Länge an Zur Großansicht
dapd

Passwort: Es kommt nicht nur auf die Länge an

Man soll es nicht glauben, aber Passwörter wie QWERTZ, 123456 oder einfach ein Vorname sind tatsächlich häufig gewählte Codes, um vertrauliche Daten zu sichern. Der Grund dafür ist klar: Wir müssen uns immer mehr Passwörter merken. Je einfacher die also gestaltet sind, desto leichter fällt uns das: Töchterchens Vorname wird zum E-Mail-Login, Sohnemanns Geburtstag zum Passwort für das Online-Banking. Und die faulsten Hasardeure unter uns entledigen sich der leidigen Passwort-Last gleich durch ein Universal-Passwort, das sie als virtuellen Generalschlüssel überall benutzen.

Fatal ist das, weil die meisten von uns das so machen. Es schränkt die Zahl der wahrscheinlichen Passwörter erheblich ein. Kriminelle wissen das und setzen darum gern auf sogenannte Wörterbuch-Angriffe: Datenbanken mit häufig benutzten Passwörtern oder wahrscheinlichen Zeichensequenzen (logischen Vokal- und Konsonant-Abfolgen, Datum-Mustern etc.). Doch selbst, wenn ein Programm einfach nur alle denkbaren Zeichenkombinationen willkürlich durchspielt (die sogenannte Brute-Force-Methode), ist damit eine Menge möglich, wenn ein Passwort zu wenig Zeichen-Varianten enthält oder zu kurz geraten ist.

Ein handelsüblicher PC probiert heute pro Sekunde rund 25 Millionen solcher Passwörter aus. Wer Zugang zur Abfrage-Schnittstelle eines Passwort-geschützten Dienstes hat, wird die meisten von uns üblicherweise genutzten Passwörter darum innerhalb weniger Sekunden knacken. Viele Web-Dienste machen es Angreifern zum Glück schwerer, indem sie die Anzahl der Passwort-Versuche begrenzen.

Ein Beispiel:

  • Sie wählen als Passwort den Typ Ihres geliebten ersten Autos (ist ja definitiv leicht zu merken): kadett.
  • Ihr Passwort hat sechs Zeichen. Das deutsche Alphabet bietet 26 reguläre Schriftzeichen (ohne Umlaute und Sonderzeichen). Daraus ergeben sich für Ihr Passwort rund 309 Millionen mögliche Kombinationen.
  • Ein handelsüblicher PC errechnet 25 Millionen Kombinationen pro Sekunde. Für Ihr Passwort wird er also nicht länger als rund 12 Sekunden brauchen, wahrscheinlich aber knackt er es deutlich schneller.

Programme, um solche Brute-Force-Passwortangriffe durchzuführen, sind im Internet frei oder kostenpflichtig verfügbar (in Deutschland natürlich illegal), man braucht dafür keinerlei Hacking-Know-how. Sollten Sie also zu den Nutzern sechsstelliger Passwörter ohne Sonderzeichen und Großbuchstaben gehören, gilt folgendes: Wer Ihr Passwort knacken will und Zugang zu Ihrem Rechner hat, wird das in höchstens zwölf Sekunden schaffen. Über das Netz dauert es etwas länger, denn da bremsen die Bandbreiten der Datenübertragung (außer man setzt Ihnen das Schnüffelprogramm per Trojaner direkt in den PC). Bei so einem Passwort kann also von Sicherheit keine Rede sein.

Besser wird das mit jedem zusätzlichen Zeichen, dazu mit jeder Variation. Hieße Ihr Passwort nicht "kadett", sondern "kADe11", müsste ein Angreifer nicht mehr 309 Millionen mögliche Kombinationen durchrechnen, sondern rund 57 Milliarden. Die Sicherheit lässt sich also mit einfachen Mitteln erhöhen.

Ein paar Tipps:

  • Je länger, desto besser. Schon bei zehnstelligen Passworten braucht ein PC mehrere Jahre, um alle Kombinationen durchzurechnen. Die Ergänzung des Zeichensatzes um Zahlen, der Einsatz von Großbuchstaben und Sonderzeichen (soweit vom Dienst oder Programm erlaubt) erhöht die Sicherheit zusätzlich.
  • Weil man sich aber ein Passwort wie "hiaHj17ZhbX84Fg?hUIgaq41ADeN" eher schlecht merken kann, sollte man auf persönlich einprägsame Wortsequenzen setzen, die man noch durch Zahlen ergänzen kann: "DasHierKannIchMirGutMerken987" ist doch ein Klacks, oder? Und nicht nur das: Es ist so gut wie unknackbar. So wie beispielsweise auch "MeineTochterWog3600GRAmm" oder "DieHochZeitsSchuheWarenRot1204" - ein gut zu merkendes Detail aus der eigenen Biografie kombiniert mit einem Datum.
  • Das lässt sich variieren: Nehmen Sie ein völlig kryptisches Passwort, das Sie mit einer einfachen Eselsbrücke jederzeit abrufen können. "WrSsDnUw?13" ist zum Beispiel aus den Anfangsbuchstaben der Worte der ersten Zeile des Erlkönig-Gedichts zusammengesetzt, ergänzt um eine gut zu merkende Zahl.
  • Man sollte seine Passwörter nicht von einem Web-Dienst verwalten lassen. Was man aus der Hand gibt, kann auch leichter verloren gehen.
  • Jeder Dienst, jedes Programm braucht sein eigenes Passwort: "Knackste Eines, hast Du alle" ist unbedingt zu vermeiden. So lästig das ist, auf Generalschlüssel muss man leider verzichten.
  • Wer auf Nummer sicher gehen will, muss sein Passwort in Abständen ändern - zumindest bei wichtigen Anwendungen wie beispielsweise beim Online-Banking ist das ratsam.

Wie gut oder schlecht ein Passwort ist, kann man ausprobieren. Eine einfache Passwort-Analyse bietet etwa Microsoft an, eine etwas ausführlichere der Datenschutzbeauftragte des Kantons Zürich.

Dienst für geknackte Passworte

ShouldIChangeMyPassword.com ist keine Frage, sondern eine Art Google für geklaute Passworte - hinter dem Dienst mit dem einprägsamen Titel verbirgt sich eine Datenbank mit in Hackerforen gehandelten Logins. Wer dort seine E-Mail-Adresse eingibt, erfährt, ob das entsprechende Mail-Login bereits bekannt und öffentlich ist.

Natürlich ist das eher ein Gimmick. Hat der Dienst kein geknacktes Passwort zu bieten, heißt das noch lange nicht, dass das Passwort noch intakt ist. Kennt er es allerdings, weiß man definitiv, dass es im Umlauf ist. Der Dienst bezieht sich allerdings ausschließlich auf Mail-Logins. ShouldIChangeMyPassword sollte man darum als spielerische Mahnung verstehen, nicht aber für einen verlässlichen Sicherheitscheck halten: Für die Sicherheit unserer Passwort-geschützten Accounts können wir nur selbst sorgen.

pat

Diesen Artikel...
Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.

Auf anderen Social Networks teilen

  • Xing
  • LinkedIn
  • Tumblr
  • studiVZ meinVZ schülerVZ
  • deli.cio.us
  • Digg
  • reddit
Forum - Diskutieren Sie über diesen Artikel
insgesamt 91 Beiträge
Alle Kommentare öffnen
    Seite 1    
1.
Cigaro 16.10.2011
---Zitat--- Ein handelsüblicher PC errechnet 25 Millionen Kombinationen pro Sekunde. [...] Über das Netz dauert es etwas länger, denn da bremsen die Bandbreiten der Datenübertragung. ---Zitatende--- Und da haben wir auch schon den Knackpunkt. Versuchen Sie mal, 25 Millionen Anfragen pro Sekunde an Hotmail zu senden, der Server wird Ihnen was husten.
2. Einfachere sicherere Passwörter
eliasp 16.10.2011
Die ganzen Hinweise zum Erstellen eines sicheren Passworts lassen sich mit einem einfachen Cartoon widerlegen :) http://xkcd.com/936/
3. .
Uncle_Sam 16.10.2011
"DasHierKannIchMirGutMerken987" ist ja wohl kein gutes Passwort. Genau dafür gibt es Wörterbuchattacken!
4.
schnuppse0815 16.10.2011
Es ist der Vater, mit seinem Kind! ....aber mit Sicherheit nicht der Schimmelreiter und noch weniger T. Storm
5. kadett vs kADe11
hksm 16.10.2011
---Zitat--- Besser wird das mit jedem zusätzlichen Zeichen, dazu mit jeder Variation. Hieße Ihr Passwort nicht "kadett", sondern "kADe11" ---Zitatende--- Mathematisch korrekt, aber total sinnlos. Siehe http://xkcd.com/936/ .
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema Computersicherheit
RSS

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH

SPIEGEL ONLINE Schließen


  • Drucken Versenden
  • Nutzungsrechte Feedback
  • Kommentieren | 91 Kommentare
  • Zur Startseite
Was ein sicheres Passwort ist

Top 20 der beliebtesten gehackten E-Mail-Passwörter
1. 123456
2. 123456789
3. alejandra
4. 111111
5. alberto
6. tequiero
7. alejandro
8. 12345678
9. 1234567
10. estrella
11. iloveyou
12. daniel
13. 000000
14. roberto
15. 654321
16. bonita
17. sebastian
18. beatriz
19. mariposa
20. america

Quelle: www.acunetix.com

Fotostrecke
So geht das: Googles 2-Step-Anmeldung


E-Book-Tipp
  • Christian Stöcker:
    Spielmacher
    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    Kindle Edition: 1,99 Euro.

  • Einfach und bequem: Direkt bei Amazon bestellen.