31.10.12

Sicherheit im Netz

Bloß kein Geburtsdatum: Wie sichere Passwörter aussehen

Nur Passwörter trennen Neugierige oder Kriminelle von Nachrichten oder Konten. Und zu oft haben die Passwörter ihren Namen nicht verdient.

Von Dirk Averesch
Foto: dpa-tmn
Bloß kein Geburtsdatum - Wie sichere Passwörter aussehen
Ein Schloss, ein Schlüssel - so leicht sollte man es sich im Internet nicht machen. Im Idealfall ist jeder Dienst mit einem eigenen Passwort gesichert

Berlin. Schon beim Gedanken an ein Wörterbuch läuft es Sicherheitsexperten kalt den Rücken herunter. Denn Wörter oder Namen sind beliebte, aber höchst unsichere Passwörter. Mit Programmen ermitteln Angreifer sie binnen kürzester Zeit durch reines Ausprobieren (Brute-Force). Vergleichsweise sicher sind nur lange Zeichenketten aus Kauderwelsch. Sichere grafische Passwörter, die viel leichter zu merken sind, haben sich noch nicht durchgesetzt.

Für Prof. Norbert Pohlmann sind Textpasswörter ein notwendiges Übel. "Das ist der ungeeignetste Mechanismus für die Authentifikation, den man sich vorstellen kann", sagt der Direktor des Instituts für Internet-Sicherheit an der FH Gelsenkirchen. Derzeit habe man aber kaum eine andere Wahl. "Wir müssen als Nutzer lernen, damit umzugehen und das Beste daraus zu machen."

Das Beste bedeutet: Ein Passwort sollte mindestens zehn Zeichen haben und Sonderzeichen, Groß- und Kleinschreibung sowie Zahlen enthalten. "Damit macht man den Schlüsselraum so groß, dass es bei einem Brute-Force-Angriff länger als 200 Jahre brauchen würde, um das Passwort zu knacken", erklärt Pohlmann. "Doch viele nutzen schlechte Passwörter, weil sie den Namen der Freundin oder der Firma nehmen." Was sich erraten, im Netz finden lässt, im Wörterbuch steht oder wie "12345" oder "qwertz" einem Muster folgt, ist schlecht.

Doch wie merkt man sich ein komplexes Passwort? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät zu einem – unbedingt selbst ausgedachten – Merksatz als Eselsbrücke. Aus "Ich habe 100 sichere Passwörter, um mich im Internet anzumelden!" wird etwa "Ih100sP,umiIa!". Umlaute sind eher ungeeignet, weil es sie nicht auf allen Tastaturen gibt. Bei Passwörtern wie PINs sind Daten wie Geburtstage und Jahreszahlen tabu. Man sollte Passwörter halbjährlich wechseln und immer vor Phishing-Attacken auf der Hut sein.

Leichtsinnig ist es, ein Passwort für alle Konten zu nutzen - selbst, wenn es gut ist. Denn wem es in die Hände fällt, der bekommt auch Zugriff auf alle anderen Dienste des Nutzers. "Idealerweise muss man ein eigenes Passwort für jeden Account haben", sagt Prof. Melanie Volkamer vom Center for Advanced Security Research an der TU Darmstadt. "Doch keiner kann sich 30 Zufallsfolgen merken."

Ein sicheres Passwort lässt sich aber variieren – etwa indem nach einer bestimmten Regel Buchstaben angehängt oder vorangestellt werden, die beispielsweise mit dem Anbieternamen zu tun haben. Da nicht alle Dienste gleich wichtig sind, kann auch das Bilden von Passwortgruppen ein guter Kompromiss zwischen Sicherheit und Nutzbarkeit sein. Man verwendet beispielsweise ein Passwort für soziale Netzwerke, eines für Online-Shops, eines fürs Bank- und eines fürs E-Mail-Konto. Letzteres ist besonders wichtig, sagt Prof. Pohlmann. "Viele Dienste haben den Reset-Mechanismus für das Passwort an die E-Mail-Adresse geknüpft."

"Besonders sicherheitskritische Dienste nutzen noch ein zusätzliches Prüfmerkmal", erklärt Prof. Volkamer. Dazu gehören zum Beispiel SMS-TANs beim Online-Banking. Erst wenige andere Anbieter wie Paypal, Google oder Dropbox bieten optional zusätzliche Prüfcodes an, die per SMS verschickt oder per Smartphone-App erzeugt werden.

Herkömmliche Passwortmanager zum Speichern unbegrenzt vieler Codes taugen nur bedingt. Sie stoßen spätestens dann an ihre Grenzen, wenn man sie an Rechnern nutzt, deren Sicherheit man nicht einschätzen kann, sagt Pohlmann. Greift ein Trojaner das Masterpasswort ab, sind auch alle anderen Passwörter in seiner Hand.

"Da muss noch eine Menge passieren", sagt Prof. Pohlmann. Der neue E-Personalausweis etwa eigne sich via Kartenlesegerät und PIN als sicherer Identitätsnachweis. Diese Authentifikationsfunktion hätten aber erst drei von zehn Millionen Ausweisbesitzern aktivieren lassen

- und nur wenige Dienste unterstützen den Identitätsnachweis.

"Man kann auch grafische Passwörter benutzen, weil unser Gedächtnis besser mit Bildern funktioniert", sagt Prof. Volkamer. Es gebe Systeme, bei denen man in einer wechselnden Auswahl von Fotos bekannte Gesichter mehrere Male nacheinander identifizieren muss. "Ich muss es nicht wiedergeben, sondern nur wiedererkennen", erklärt die Expertin. Idealerweise sollten Anwender die Art des Passworts bei jedem Dienst frei wählen können.

Das Fraunhofer-Institut für Sichere Informationstechnologie hat eine Smartphone-App als Codespeicher entwickelt, die ein Masterpasswort (MP) mit einem grafischen Prüfelement kombiniert. Egal, welches MP eingegeben wird: Die App gewährt auch Hackern, Dieben, Neugierigen oder Findern des Handys stets Zugang und zeigt Passwörter an – allerdings falsche oder richtige. Ob es die richtigen sind, erkennt nur der Besitzer anhand einer Symbolfolge, die er beim Setzen des MP gelernt hat, erklärt Prof. Volkamer. Andere probieren falsche Passwörter, bis der jeweilige Dienst den Account sperrt.

So gehen Sie bei Passwörtern auf Nummer sicher
1. Ein gutes Passwort sollte mindestens zehn Zeichen lang sein, Klein- und Großbuchstaben, Ziffern und auch Sonderzeichen enthalten. Wie man sich so eine abstrakte Zeichenkombi merkt? Bauen Sie sich eine Eselsbrücke. Beispiel: Hwm3gLdih%s merken Sie sich mit dem Satz: Helga war meine 3. große Liebe - das ist hundertprozentig sicher.
2. Für immer und ewig gilt nicht - ändern Sie das Passwort regelmäßig.
3. Das Passwort bei der Anmeldung für einen Online-Dienst zu speichern ist zwar bequem, aber leider grundfalsch. Wenn sich Fremde Zugang zu Ihrem Rechner verschaffen, haben sie leichten Zugang zu Ihren geschützten Daten. Deshalb: Besser darauf verzichten.
4. Nicht ein Passwort für alle Zwecke, sondern viele verschiedene Log-ins nutzen. Und bloß nicht mit Post-its an die Unterseite der Tastatur kleben oder anderweitig notieren.
5. Ersetzen Sie voreingestellte Passwörter durch individuelle. Sie sind z.B. bei vielen Softwareprodukten für die Installation vorgegeben.
6. Bauen Sie in Ihren Bildschirmschoner eine Tastensperre ein. So schützen Sie Ihren Rechner im Job vor unbefugtem Zugriff, wenn Sie mal Pause machen.
dpa
Die Favoriten unseres Homepage-Teams

Alles über Ihre Straße

Top Video Alle Videos
KitchenAid1.jpgMultimedia

Neben der Weiterentwicklung des Thermomix wurden auf der IFA zwei weitere Küchengeräte gezeigt, die dem Allrounder von Vorwerk Konkurrenz machen. "Welt"-Reporterin Sarah Lehnert hat sie getestet.mehr »

Top Bildergalerien mehr
Internet

Der IT-Gipfel 2014 in Hamburg

Diese Stars kleidete Oscar de la Renta ein

Prominente Tote

Diese Persönlichkeiten sind 2014 gestorben

Hamburg

Unbekannte überfallen Juwelier in der City

Teaser_Einrichten_Wohnen.jpg
Einrichten & Wohnen

Aktuelle Möbel und Trends in unserem Specialmehr

Highlights
tb_hh_mahjong100.jpg
Mahjong

Spielen Sie mit!mehr

rb_wetter_926045a.jpg
Wetter in Hamburg

Der aktuelle Wetterbericht mit Karte und Vorhersagemehr

rb_stadtplan_926042a.jpg
Stadtplan Hamburg

Mit dem Hamburger Stadtplan Adresse und Orte findenmehr