Berlin. Das Hasso-Plattner-Institut hat die häufigsten Passwörter der Deutschen veröffentlicht. Der Direktor erklärt, was Sicherheit ausmacht.
Sicherheitsexperten des Hasso-Plattner-Instituts (HPI) haben rund 12,9 Millionen Nutzerdaten von deutschen E-Mail-Adressen analysiert und daraus eine Liste der meistgenutzten Passwörter in Deutschland erstellt. Grundlage waren gestohlene Identitätsdaten aus Leaks, die Hacker frei verfügbar ins Netz gestellt haben.
„Die Ergebnisse zeigen, dass die meisten Nutzer nach wie vor schwache und unsichere Passwörter verwenden“, sagte HPI-Direktor Christoph Meinel unserer Redaktion. Für kriminelle Hacker sei es ein Leichtes, einfache Zahlenkombinationen zu knacken. Und eben solche schwachen Variationen führen die Top Ten an, die unserer Redaktion vorab vorlagen:
- 123456
- 123456789
- 1234
- 12345
- 12345678
- hallo
- passwort
- 1234567
- 111111
- hallo123
Das Hasso-Plattner-Institut empfiehlt Nutzern einige Regeln bei der Wahl des Passworts: „Besonders die Länge und die Verwendung von Zahlen, Groß-, Kleinbuchstaben und Sonderzeichen spielt eine große Rolle“, erklärt HPI-Direktor Meinel.
Warum das so ist, erklärt er an einer klassischen Hacker-Methode zum Knacken von Passwörtern: Kriminelle führen sogenannte Brute-Force-Angriffe aus, Programme probieren dabei alle möglichen Zeichenkombinationen aus – bis der Algorithmus die richtige Kombination gefunden hat.
Jedes Zeichen zählt
„Dieser Angriffe lassen sich nicht verhindern. Für jedes zusätzliche Zeichen in einem Passwort muss das Programm aber alle vorigen noch einmal aufs Neue testen“, sagt Meinel. Ein vereinfachtes Beispiel: Wenn der Algorithmus für das Durchprobieren aller Zeichenkombinationen mit sechs Ziffern eine Stunde braucht, benötigt er zum Durchprobieren, wenn der Nutzer nur eine siebte Ziffer hinzufügt, zehn Stunden (eine Stunde mal zehn), weil für jede der zehn Ziffern 0 bis 9 alle Kombinationen von Anfang an erneut durchprobiert werden müssen.
„Mathematiker sprechen von einer exponentiellen Steigerung“, erklärt Meinel. Werden statt der zehn Ziffern große und kleine Buchstaben und Sonderzeichen benutzt, wird das Knacken für das Hacker-Programm entsprechend noch komplexer.
Passwort-Manager für die Vielfalt
„Außerdem sollten Nutzer keine Wörter aus dem Wörterbuch wählen“, warnt der HPI-Direktor. Hintergrund ist die zweite weit verbreitete Hacking-Methode: Wenn Internetkriminelle ganze Datenbanken stehlen, liegen ihnen die Nutzerinformationen nur verschlüsselt bzw. verschleiert vor, als sogenannte Hashwerte. Hacker gleichen diese kryptischen Zeichenfolgen mit den von ihnen verschleierten Wörtern aus Wörterbüchern ab und gelangen so an die Originalpasswörter.
Zudem raten die IT-Experten des HPI zu sogenannten Passwort-Managern. Sie erleichtern es Nutzern, unterschiedliche Passwörter bei verschiedenen Diensten zu speichern. Denn auch das ist eine Empfehlung: Kein Passwort sollten User mehrmals verwenden, auch wenn es je nach Dienst leicht abgeändert wird.
Heutige Passwörter sind Relikt
IT-Experten rechnen damit, dass die Zeiten des klassischen Passworts mittelfristig vorbei sein werden. Ähnlich sieht es HPI-Direktor Meinel: „Grundsätzlich wurden Passwörter, wie wir sie heute verwenden, nicht fürs Internet entwickelt, sondern für den eigenen PC, der sozusagen ein geschlossenes System war.“
Der Experte geht davon aus, dass die Zwei-Faktor-Authentifizierung, wie sie Geldhäuser schon lange beim Online-Banking einsetzen, künftig auch bei anderen Diensten an Bedeutung gewinnt. Nutzer dürften sich in Zukunft immer durch mindestens zwei Merkmale identifizieren: Neben dem Passwort noch mit einer Identitätskarte oder zum Beispiel einem Fingerabdruck.
Das HPI in Potsdam forscht an einer weiteren Möglichkeit, wie Meinel erklärt. Die Forscher experimentieren damit, Smartphones zum Identitätsnachweis einzusetzen und wollen dafür die Sensoren der Geräte nutzen. Denn jeder Mensch bewege sich auf eine ganz individuelle, ihn charakterisierende Weise.