Der zen­tra­le Bau­stein beim The­ma Sicher­heit im Inter­net oder all­ge­mein IT-Sicher­heit ist und bleibt das Pass­wort. Es gibt vie­le alter­na­ti­ve Ent­wick­lun­gen zum Kon­zept „Pass­wort“, aber ein star­kes Pass­wort ist wichtig.

 

Schwa­ches Pass­wort erleich­tert Angriffe

Zuge­ge­ben: Das Ver­wal­ten von „star­ken“ Pass­wör­tern ist nicht so ein­fach wie bei „schwa­chen“ Pass­wör­tern und ver­ur­sacht Auf­wand. Schaut man sich aber die häu­figs­ten Ursa­chen für Löse­geld­an­grif­fe an (sie­he Gra­fik), stellt man fest, dass in einem von fünf Angrif­fen auf IT-Sys­te­me schwa­che Pass­wör­ter eine Rol­le spiel­ten.

© Dat­to, zitiert nach de.statista.com, 2020

 

Und im Gegen­satz zu den ers­ten drei Plät­zen der Umfra­ge kannst Du per­sön­lich jetzt und heu­te die­se Schwach­stel­le schlie­ßen! Du musst nur Dei­ne Pass­wör­ter stark machen.

Trotz sich häu­fen­der Mel­dun­gen über Cyber­an­grif­fe wer­den nach wie vor erstaun­lich oft Pass­wör­ter genutzt, die sich der Anwen­der ein­fach ein­prä­gen kann. Unter den belieb­tes­ten sind bei­spiels­wei­se 123456 oder Pass­wort. Schau doch mal auf die­se Sei­te von Wiki­pe­dia und suche Dein Pass­wort. Kannst Du es dort fin­den? Das bedeu­tet, dass bei einem Angriff auf dein E‑Mailkonto die­se Lis­te als Ers­tes abge­ar­bei­tet wird vom Angrei­fer. Die­se Pass­wör­ter soll­ten also auf jeden Fall nicht mehr ver­wen­det wer­den.

Infographic: The Most Popular Passwords Around the World | Statista

© North Pass, zitiert nach de.statista.com, 2020

 

Was ist ein star­kes Passwort?

Schon das Hin­zu­fü­gen eines ein­zi­gen Groß­buch­sta­bens zu einem Pass­wort kann des­sen Poten­zi­al dra­ma­tisch ver­än­dern, wie aus den Daten der Web­site Security.org (sie­he Gra­fik) her­vor­geht. Ein Pass­wort mit acht Zei­chen kann nun in 22 Minu­ten statt in einer Sekun­de geknackt wer­den – eine Stei­ge­rung von mehr als 1000 Prozent.

Infographic: How Safe Is Your Password? | Statista

© Security.org, zitiert nach de.statista.com, 2020

 

Wäh­rend die zusätz­li­che Zeit in die­sem Fall defi­ni­tiv nicht aus­reicht, um ein zufrie­den­stel­len­des Pass­wort zu erhal­ten, kann der hohe Sicher­heits­ge­winn durch die Ver­wen­dung ande­rer Zei­chen als Klein­buch­sta­ben ver­viel­facht wer­den. Bei Ver­wen­dung von min­des­tens einem Groß­buch­sta­ben und einer Zahl wür­de ein acht Zei­chen umfas­sen­des Kenn­wort von einem Com­pu­ter in einer Stun­de geknackt wer­den kön­nen. Fügt man ein wei­te­res Sym­bol hin­zu, sind es acht Stunden.

Um ein Pass­wort wirk­lich sicher zu machen, kön­nen noch mehr Zei­chen oder mehr als ein Groß­buch­sta­be, eine Zahl oder ein Sym­bol hin­zu­ge­fügt wer­den. Ein Pass­wort mit zwölf Zei­chen, einem Groß­buch­sta­ben, einer Zahl und einem Sym­bol ist fast unknack­bar, denn ein aktu­el­ler Com­pu­ter braucht 34.000 Jah­re, um es zu kna­cken.

Dies liegt dar­an, dass sich die mög­li­chen Kom­bi­na­tio­nen für ein Kenn­wort expo­nen­ti­ell erhö­hen, wenn wir mehr ver­schie­de­ne Zei­chen ver­wen­den. Bei nur 26 Klein­buch­sta­ben hat ein Pass­wort mit acht Zei­chen etwa 209 Mil­li­ar­den mög­li­che Kom­bi­na­tio­nen. Rech­net man die Groß­buch­sta­ben hin­zu, kommt man bereits etwa 53,5 Bil­lio­nen Kom­bi­na­tio­nen. Mit den Zah­len sind es 218 Bil­lio­nen Kom­bi­na­tio­nen. Sym­bo­le bie­ten ein wei­te­res gro­ßes Sicher­heits­po­ten­zi­al, aber da nur die weni­gen, die auf Com­pu­ter­tas­ta­tu­ren ange­zeigt wer­den, bequem zu ver­wen­den sind, erhöht sich die Zahl der Kom­bi­na­tio­nen noch ein­mal auf rund 430 Bil­lio­nen Kombinationen.

Das welt­weit sichers­te Passwort

Laut dem Inter­net­por­tal Der Pos­til­lon wur­de Mb2.r5oHf-0t von Sicher­heits­ex­per­ten zum sichers­ten Pass­wort der Welt gekürt. Okay – Spaß bei­sei­te. An dem Bei­spiel erkennt man den­noch sehr schön ein star­kes Pass­wort. Laut checkdeinpasswort.de dau­ert es 121 Quin­til­lio­nen Jah­re bis es mit aktu­el­ler Rech­ner­ka­pa­zi­tät geknackt wer­den wür­de. So kom­pli­ziert und „unmerk­bar“ muss ein Pass­wort aber nicht sein.

Denn wir haben eine wei­te­re Anfor­de­rung an Pass­wör­ter: Du soll­test kein Pass­wort mehr­mals ver­wen­den. Das bedeu­tet, dass Du für jedes Sys­tem, Inter­net­pro­tal oder Dienst ein eige­nes und ein­ma­li­ges Pass­wort ver­wen­den soll­test. Wenn näm­lich die Benut­zer­da­ten einer Inter­net­sei­te geklaut wur­den, haben dunk­le Gestal­ten dein Pass­wort. Schlech­te Nach­rich­ten über Online­kri­mi­na­li­tät und Daten­klau sind all­ge­gen­wär­tig. Im April 2021 wur­de ein gro­ßer Daten­satz von über 500 Mil­lio­nen Face­book-Nut­zern frei zum Down­load bereit­ge­stellt. Die Daten, die etwa 20 % der Face­book-Abon­nen­ten umfas­sen, wur­den angeb­lich durch Aus­nut­zung einer Sicher­heits­lü­cke erlangt, die laut Face­book im August 2019 beho­ben wur­de. Auch Ado­be und des­sen Kun­den waren von einem „Pass­wort-Dieb­stahl“ schon ein­mal betrof­fen.

Ob Du und Dei­ne Daten bereits von einem sol­chen „Dieb­stahl“ betrof­fen waren, kannst Du tes­ten bei haveibeenpwned.com. Die­se Web­site schaut in Mil­lio­nen geklau­ter und öffent­lich zugäng­li­cher Daten­sät­ze und sucht auf Wunsch Dei­ne E‑Mail-Adres­se darin.

Wirst Du mit Dei­ner E‑Mail-Adres­se gefun­den, soll­test Du in die­sen Diens­ten das Pass­wort drin­gend ändern und, wenn Du dort ein Stan­dard-Pass­wort ver­wen­dest, die­ses in allen Diens­ten ändern!

 

Eine ein­fa­che Lösung: Die Passwortphrase

Eine Lösung für das Pro­blem ist eine Pass­wort­phra­se. Denk Dir einen Satz aus. Zum Bei­spiel: „Ich fin­de die Satz­kis­te total super“. Die Anfangs­buch­sta­ben sind IfdSts. Jetzt feh­len noch Zah­len. Neh­men wir 2018 und kom­bi­nie­ren wir bei­des mit einem „Unter­strich“. Jetzt ist die Pass­wort­phra­se IfdSts_2018. Das kön­nen wir nun für jeden Dienst, oder Sys­tem oder Inter­net­por­tal mit des­sen Anfangs­buch­sta­ben kombinieren.

Also fb_IfdSts_2018 für Face­book und gm_IfdSts_2018 für Gmail und xi_IfdSts_2018 für Xing usw. Das kannst Du Dir mer­ken und das ist sicher.

Der Nach­teil ist, dass Du die­ses Pass­wort nicht tei­len kannst. Wenn Du ne_IfdSts_2018, also Dein Net­flix-Pass­wort, an Dei­ne Kin­der wei­ter­gibst, ken­nen die­se auch Dei­ne Phra­se und damit dein Amazon-Passwort!

 

Die sichers­te Lösung

Auch wenn ich die Pass­wort­phra­se immer noch für die prak­ti­ka­bels­te Lösung für den Groß­teil der Anwen­der hal­te, ist dies nicht geeig­net für den pro­fes­sio­nel­len Ein­satz. Und eines kommt dazu: Rich­tig sicher ist ein Pass­wort nur, wenn es regel­mä­ßig gewech­selt wird!

Die bes­te Waf­fe, um sich vor schwa­chen Pass­wör­tern zu schüt­zen ist sicher die Nut­zung eines Pass­wort­ma­na­gers! Also ein Sys­tem, dass ein star­kes und indi­vi­du­el­les Pass­wort für Dich ver­wal­tet. Die Lis­te der Tools ist lang. Apple-Jün­ger ver­trau­en dem iCloud-Schlüs­sel­bund aber es gibt auch 1password, Kee­per oder Last­Pass und noch viel mehr. Auch Brow­ser wie Chro­me oder Fire­fox ver­wal­ten Dei­ne Pass­wör­ter. Jedes Sys­tem oder Pro­gramm hat Vor- und Nachteile.

Wir in der Satz­kis­te set­zen auf Bit­war­den und sind sehr zufrie­den. Aber davon mehr in einem spä­te­ren Blogartikel.

Die Vor­tei­le die­ser Tools lie­gen auf der Hand: Man muss sich kei­ne Pass­wör­ter mer­ken. Das heißt sie kön­nen belie­big lang und stark sein. Man kann die Tools auf allen Platt­for­men nut­zen, sei es im Brow­ser, dem Han­dy oder Com­pu­ter. Man kann Pass­wor­te tei­len im Team. Und man kann das Pass­wort belie­big oft ändern. Aller­dings muss man sich sein Haupt-Pass­wort für den „Tre­sor“ des Pass­wort­ma­na­gers gut mer­ken bzw. absichern.

Kom­men­tar

Seit Ein­füh­rung von „Bit­war­den“ in der Satz­kis­te füh­len wir uns einer­seits siche­rer. Ande­rer­seits ist das Tei­len von Pass­wör­tern im Team viel ein­fa­cher. Man schaut ein­fach nach! Nie­mand muss fra­gen, es gibt kei­ne Lis­ten oder Post-its. Vor allem im Zeit­al­ter des „Home­of­fice“ ein wah­rer und siche­rer Segen.

Chris­toph Steffens

Du bist hier: Start­sei­te / Satz­kis­te / Star­ke Pass­wör­ter sind wich­tig für die IT-Sicherheit

Tei­len