Password, please!

Yahoo, Dropbox, Twitter, LinkedIn. In letzter Zeit hört man immer wieder von gehackten Accounts. Wenn man einen Blick auf die in Deutschland am meisten verwendeten Passwörter wirft, fällt auf, wie leicht es einige User den Cyberkriminellen machen. Dabei ist Passwortsicherheit kein Hexenwerk.

Dieser Artikel erschien zuerst in der AWmpro #17

Durch die in letzter Zeit bekannt gewordenen Hacks sind Unmengen Benutzerkonten samt Passwörtern im Umlauf. Viele User machen sich darüber keine Gedanken, weil sie meinen, dass sie diesen Account sowieso nicht mehr nutzen oder ihr Passwort dort geändert haben. Aber das ist oft nicht ausreichend. Denn nach wie vor ist es so, dass oft ein und das selbe Passwort für mehrere Accounts genutzt wird. Hat ein Angreifer also das Passwort eines Accounts, so wird die Kombination aus E-Mail-Adresse und eben diesem Passwort von den Kriminellen auch bei anderen Accounts ausprobiert, die schon wesentlich wertvollere Daten beinhalten können.
Gerade vor diesem Hintergrund ist es beeindruckend, wie leichtsinnig viele Menschen bei der Vergabe ihrer Passwörter sind. Natürlich hat man mittlerweile eine große Anzahl an Accounts, so dass es mitunter schwierig sein kann, sich immer neue Passwörter auszudenken und sich diese auch alle zu merken. Trotzdem sollte man doch ein wenig mehr Kreativität an den Tag legen als „hallo“ oder „passwort“. Dies sind die beiden am häufigsten genutzten Passwörter in Deutschland. Wenn Du also eines davon, oder irgendein anderes Passwort der Top 10 verwendest, solltest Du es schleunigst ändern.

PPls2
Eine andere Sache, die Du auf jeden Fall überprüfen solltest, ist ob Deine Kontodaten in einem der bekannten Leaks, etwa von Yahoo, Dropbox, oder Twitter, in Umlauf geraten sind. Auch in dem Falle sollte man sofort seine Passwörter ändern. Es gibt mehrere Möglichkeiten zu überprüfen, ob man Opfer eines solchen Hacks geworden ist.
Bei „Have I been pwned?“ muss man nur seine E-Mail-Adresse eingeben, und schon wird angezeigt, ob Konten mit der angegebenen Adresse kompromittiert wurden. Darüber hinaus kann man einsehen, bei welchem Anbieter die Daten gestohlen wurden, und wann der Angriff stattgefunden hat.
Der Identity Leak Checker des Hasso-Plattner-Instituts funktioniert ähnlich. Unter https://sec.hpi.de/leak-checker/search gibt man seine E-Mail-Adresse an. Kurze Zeit später bekommst Du eine Mail, aus der hervorgeht, ob ein Konto von Dir gehackt wurde und sogar, welche Daten von Dir in den Umlauf geraten sind.
Wie aber lege ich mir ein sicheres Passwort an, dass nicht jeder Möchtegern-Hacker in ein paar Sekunden erraten kann? Das Bundesamt für Sicherheit in der Informationstechnik hat dafür einige Tipps parat.
Es kommt nämlich doch auf die Länge an: Mindestens acht Zeichen sollte ein Passwort schon haben, je mehr, desto besser. Denn sogar völlig zufällige Zeichenketten können von Programmen innerhalb einer Minute geknackt werden, wenn sie nur aus sechs Zeichen bestehen. Außerdem ist es hilfreich, wenn man Groß- und Kleinschreibung, sowie Sonderzeichen und Ziffern verwendet. Dabei sollte man es sich allerdings nicht so leicht machen und ein recht einfaches Passwort lediglich durch eine Ziffer zu ergänzen. „Passwort1“ ist definitiv kein sicheres Passwort!

PPls3
Auf Namen von Familienmitgliedern, Haustieren oder gar den eigenen Namen sollte man unbedingt verzichten, da diese leicht erraten werden können. Ebenso sollte das Passwort auch nicht in einem Wörterbuch zu finden sein. Es existieren Scripts, die sämtliche Wörter nacheinander ausprobieren. Auch wenn man einzelne Buchstaben durch Ziffern ersetzt, zum Beispiel 3 statt E oder 1 statt I, ist man nicht auf der sicheren Seite, da die Hacker diesen Trick bereits auf die Schliche gekommen sind und diese Alternativen in ihren Programmen berücksichtigen. Und bitte verzichtet auf Tastaturmuster wie „123456789“ oder „qwertz“.
Wer ganz sicher sein will, und sich trotzdem nicht die vielen komplizierten (aber sicheren) Passwörter merken will, für den ist vielleicht ein Passwortmanager das richtige. Diese Programme können Passwörter nicht nur verwalten, sondern auch generieren. So kann man alle seine Passwörter in einer geschützten Datenbank managen. Du musst Dir nur noch ein Masterpasswort ausdenken und merken und bist trotzdem gut geschützt gegen Angriffe von außen.