Sichere PasswörterSichere Passwörter sind das A und O | Urheberrecht: BrianAJackson
TechnikIT-Sicherheitsstrategien

Das Passwort – nervig, aber wichtig

Lesezeit ca.: 4 Minuten
Alexander Freimark

Alexander Freimark

freier Journalist

Starke Passwörter bilden die Basis einer stabilen IT-Sicherheitsstrategie, Treue und Bequemlichkeit sind ihre größten Feinde. Auch wenn es schwerfällt: keine Namen, dafür Sonderzeichen, häufiger mal wechseln, nicht überall das Gleiche verwenden. Und genau überlegen, wo man es eintippt. Sicherheit gibt es nicht umsonst.

01. Februar 2016

Ein Passwort ist nicht das Problem – 20 Passwörter sind es. 20 Passwörter, die regelmäßig gewechselt werden müssen, die nicht bei mehreren Anwendungen zum Einsatz kommen dürfen, die nach einem intelligenten Zufallsprinzip bestimmt wurden, die „mindestens zwölf Zeichen lang sind“, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt. Zwölf Zeichen pro Applikation, keine Namen und Tastaturmuster, dafür aber Sonderzeichen – wie würde Einsteins Windows-Passwort aussehen: „$!3bdmmHaA0U“? Das WLAN-Passwort für WPA und WPA2 sollte laut BSI sogar 20 Stellen umfassen, wegen der so genannten Offline-Attacken.

20 Stellen gegen Offline-Attacken

Offline-Attacken? Nach Jahrzehnten voller Warnungen vor Viren, Würmern, Trojanern, Phishing, Spear-Phishing, Advanced Persistent Threats und befreundeten Geheimdiensten hat sich bei vielen Menschen ein wohliges Gefühl der Teilnahmslosigkeit eingestellt, genannt „Security Fatigue“. Angesichts der Erkenntnis, dass Angreifer und Behörden ohnehin alles lesen können, was sie lesen wollen, ist die Frage nach dem Sinn der Passwörter durchaus berechtigt. Das Passwort entstammt einer Zeit, als es echte Menschen von einem unberechtigten Zugriff auf Systeme abhalten sollte. Dann kamen die Maschinen ins Spiel, und mit ihnen spezielle Programme sowie die Rechenleistung aus der Cloud – Angreifer wissen den technischen Fortschritt zu nutzen.

Ein Passwort mit acht Stellen ist keine Paranoia

Heute ist ein sechsstelliges Passwort das Post-it-Papier nicht wert, auf dem es notiert wird. Der Münchener Sicherheitsberater Frank von Stetten zeigt in Workshops für Unternehmen, wie lange es dauert, ein einfaches sechsstelliges Passwort zu knacken – Sekunden. „Ein achtstelliges Passwort ist ein netter Anfang, aber auch nicht supersicher“, berichtet von Stetten. „Damit halten wir die Kinder von der Straße fern.“ Acht Stellen, das sei keine Paranoia, sondern gut ausbalanciert zwischen Zumutung und Unsicherheit. Nur: „Organisierte Angreifer haben damit kein Problem.“ Das Dilemma: „Wenn sie den Menschen sagen, dass sie lange und komplizierte Passwörter verwenden sollen, winken die meisten gleich ab“, sagt der Sicherheitsexperte.

Das universelle Passwort – gute Nacht!

Komplexität ist der Schlüssel zur Sicherheit, Bequemlichkeit macht Diebe. Es reicht schon, dass die E-Mail-Adresse als Username ein universeller Schlüssel ist, in der Bank, dem Finanzamt, bei Online-Händlern, Bezahldiensten, Telkos und ISPs, Informationsquellen und Sportvereinen, Medien, sozialen Netzen und beim Friseur, bei dem man online den Wunschtermin eintragen kann. Nutzt man nur ein einziges Passwort und eine E-Mail-Adresse, kann auch ein jugendlicher Spaßtäter die digitale Identität in 30 Minuten komplett übernehmen oder sich in einem Unternehmen einnisten, um schrittweise weitere kritische Informationen abzugreifen. „Das Problem sind nicht die Angriffe, sondern die Tatsache, dass sie es nicht mitbekommen“, warnt der Münchener Sicherheitsberater von Stetten.

Wie würde Einsteins Passwort lauten?

Das Wichtigste bei Passwörtern ist jedoch die Bereitschaft der Menschen, ihr Gehirn anzustrengen und nicht immer den leichtesten Weg zu gehen. „Ich kenne niemanden, der für jede Anwendung ein eigenes Passwort hat“, erzählt Tobias Schrödel, der als Sicherheitsberater, Autor und „Comedy-Hacker“ arbeitet – und sich selbst nicht von dieser Bequemlichkeit ausnimmt. Auf kritischen Systemen mit finanziellen Transaktionen sei ein starkes Passwort jedoch extrem wichtig, um teure Folgen zu vermeiden. Das Verfahren ist simpel: Schrödel bildet einen Satz, etwa: „Schon immer beruhten die meisten menschlichen Handlungen auf Angst oder Unwissenheit.“ Davon werden die Anfangsbuchstaben genommen mit ihrer Groß- und Kleinschreibung: „SibdmmHaAoU“. Anschließend ersetzt Schrödel Buchstaben durch Sonderzeichen und ergänzt Satzzeichen, um die Komplexität zu steigern: „$!3bdmmHaA0U“ wäre dann etwa Einsteins Passwort. „Für Facebook nehme ich dann noch ein F dazu, für Paypal ein P oder für Outlook ein O“, sagt der Comedy-Hacker – fertig ist das stabile Passwort.

Sicherheit ist anstrengend

Das Thema treibt derweil bunte Blüten. In den USA gibt es „handgefertigte Hipster-Passwörter“, berichtete Heise im Herbst 2015. Für „läppische acht US-Dollar“ kann man sich auf der Seite bespokepasswords.com ein einmaliges Passwort bestellen, das per Post „auf Qualitätspapier in einem Sicherheitsumschlag“ geliefert wird. Und das deutsche Spaßportal der-postillon.com brachte 2014 eine Meldung, wonach der Chaos Computer Club (CCC) „Mb2.r5oHf-0t“ offiziell zum sichersten Passwort der Welt gekürt hat – verbunden mit der Empfehlung, alle Accounts umgehend damit zu sichern. Ernsthaft: Die mit Abstand beliebtesten Passwörter von Adobe-Kunden sind „123456“, gefolgt von „123456789“ und „password“. IT-Sicherheit endet da, wo Bequemlichkeit beginnt.

Ausgabe 2016/01

Ausgabe 2016/01

Dieser Artikel erscheint auch in unserem IT-Magazin <atFERCHAU>. Möchten Sie weitere spannende Artikel lesen?

Download pdf