Passwörter

Was Hacker am Datenklau hindert

(Dies ist ein Beitrag von "Ratgeber: Internet")

Eine umständliche und nicht besonders effektive Methode, seine Daten zu schützen. | Bild: newspixx vario images

Internetnutzer machen es Hackern oft viel zu leicht. Viele benutzen einfache Passwörter und wechseln sie nur unregelmäßig. Bei einer Befragung von web.de und GMX kam heraus, dass die Mehrheit der Befragten unsichere Passwörter wie die Zahlenkombination 123456, Namen oder einfach nur den Begriff "Passwort" benutzen. Gerade mal 15 Prozent haben überhaupt ein Sonderzeichen in ihrem Passwort. Dabei sind Sonderzeichen für ein sicheres Passwort unerlässlich.

Was passieren kann, wenn man leichtsinnig mit Passwörtern umgeht, wurde uns im Institut für Internetsicherheit an der Westfälischen Hochschule in Gelsenkirchen demonstriert. Mit dem Informatiker Stefan Tomanek wollten wir überprüfen, wie schnell das Passwort zu knacken ist. Dafür verwendete er eine für Angreifer übliche Methode: Er lässt einen Computer das Passwort erraten. Grundlage ist eine Datenbank mit den gängigsten Passwörtern, allen Begriffen aus einem Wörterbuch und diversen Abwandlungen davon. Nachdem das Programm gestartet ist, versucht es nichts anders, als sich mit diesen Begriffen nacheinander in den E-Mail-Account einzuloggen. Das Passwort "Düsseldorf" zu finden, dauerte weniger als fünf Minuten.

Zugriff auf alle Zugangsdaten

Das Passwort "Düsseldorf" wurde in 4 Minuten und 58 Sekunden gefunden. | Bild: WDR

Nun hätte Tomanek nicht nur Zugriff auf alle E-Mails und persönliche Nachrichten, er könnte das Passwort ändern, so dass man selbst nicht mehr an das Postfach herankommt. Der Angreifer erhalte dadurch Zugriff "auf die komplette digitale Identität", so der Informatiker. Denn in der Regel lassen sich über die E-Mail-Adresse auch noch die Passwörter von anderen Diensten ändern. Dann hat der Angreifer ganz schnell Zugriff auf alle Zugangsdaten – man selbst kommt nicht mehr ran. Der Hacker könnte in Ihrem Namen teure Ware bestellen oder ersteigern oder E-Mails schreiben. Das einzige, was der Hacker dafür braucht, ist eine E-Mail-Adresse. Und die ist ja nicht geheim.

In einem weiteren Versuch ändern wir das Passwort etwas ab und fügen Zahlen und ein Sonderzeichen ein. Aus Düsseldorf wird "Dü55eldorf#". Doch auch dieses Passwort hat der Computer nach rund einer halben Stunde geknackt. Grund ist wieder das Schema des Passwortes. "Es ist zu naheliegend ein 's' durch eine '5' zu ersetzen", so Tomanek. Es sei ebenso wenig ratsam ein 'i' durch eine '1' oder ein 'o' durch '0' zu ersetzen. Das Programm bezieht solche gängigen Muster ebenfalls mit in die Suche ein. Eine halbe Stunde sei nicht viel, so der Experte: "Der Angreifer hat Zeit."

Kombination aus Buchstaben, Zahlen und Sonderzeichen

Begriffe aus dem Wörterbuch sind keine sicheren Passwörter! | Bild: WDR

Erst im letzten Test mit einem Passwort, das eine unsortierte Reihenfolge von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen ist, scheitert der Rechner. "Mit dieser Kombination würde das Programm Monate bis Jahre brauchen, um das richtige Passwort für das Konto zu finden, so Tomanek. Er betont aber, dass auch dieses Passwort nicht unknackbar ist. Es bedarf dafür allerdings extrem viel Zeit und Rechnerkapazität eines Hackers, sodass die Wahrscheinlichkeit gering ist. Ein hundert Prozent sicheres Passwort gebe es schlicht und einfach nicht. "Aber dieses Passwort kommt schon nah dran", so Tomanek.

Damit ist die Frage von Zuschauer Rolf W. beantwortet: Ein 100 Prozent sicheres Passwort gibt es nicht! Aber wer die folgenden Tipps beachtet, kommt sehr dicht heran:

• Keine Begriffe aus dem Wörterbuch verwenden! Die Tatsache, dass viele Internetnutzer einfach zu merkende Begriffe verwenden, die zum Beispiel auch im Duden stehen, macht es Hackern leicht, das Passwort zu erraten. Wie in unserem Beispiel deutlich wurde, sind Begriffe wie "Düsseldorf", "Nordsee" oder "Tastatur" in wenigen Minuten geknackt.

• Keine Begriffe aus dem persönlichen Umfeld verwenden, wie zum Beispiel Namen von Haustieren, Familienmitgliedern oder der Straße, in der man wohnt. Die sind viel zu leicht herauszufinden. Auch das Geburtsdatum ist nicht zu empfehlen.

• Es reicht nicht aus, Ziffern anzuhängen oder einfach nur ein Sonderzeichen hinten anzustellen.

• Tastaturmuster wie zum Beispiel "qwertz" oder "12345abcd" sind ebenfall Tabu.

• Stattdessen sollte man eine unsortierte Reihenfolge aus großen und kleinen Buchstaben, Zahlen und Sonderzeichen nehmen, mindestens acht Zeichen lang. Beispiel "MLidBidE#2". Achtung bei Umlauten: Die können im Urlaub ein Problem werden, wenn die Tastatur sie nicht abbilden kann.

• Mehrere Passwörter verwenden! Jedes E-Mail-Konto, jedes Forum, jedes Kundenkonto sollte ein eigenes Passwort haben. Denn Passwörter werden nicht selten nur durch die Ratemethode geknackt, sondern auch durch den Diebstahl ganzer Datenbanken. Die Zugangsdaten bei professionellen E-Mail- und Online-Diensten sind in der Regel sicher, aber Hobbyforen und semiprofessionelle Anbieter sind für Datendiebe oftmals leichte Beute. Sind die Daten dort einmal ausspioniert, hätte der Hacker dann nicht nur die hinterlegte E-Mail-Adresse, sondern auch gleich das Passwort für das E-Mail-Konto.

• Passwörter regelmäßig wechseln! Sollte das Passwort mal geknackt worden sein, haben Hacker so nur eine sehr begrenzte Zeit, überhaupt damit etwas anfangen zu können. Wer sein Passwort alle drei Monate wechselt, sollte unseren Expert zufolge sehr sicher unterwegs sein.

Wie merke ich mir das Passwort "MLidBidE#2"?

Damit man sich diesen Buchstabensalat merken kann, empfiehlt sich die Merksatzmethode zur Erstellung des Passwortes. Einfach einen einprägsamen Satz nehmen und die Anfangsbuchstaben, Satzzeichen und Zahlen aneinanderreihen. Beispiel: "Mein Lieblingsplatz in der Bibliothek ist die Etage Nummer zwei." Das Passwort lautet dann: "MLidBidE#2".

Wer viele unterschiedliche Passwörter braucht, kann die Merksatzmethode durch ein Merkmal des Dienstes ergänzen, für den das Passwort bestimmt ist. Für ein E-Mail-Konto könnte das zum Beispiel sein: "Mein Lieblingsplatz in der Bibliothek ist die Etage Nummer zwei – E-Mail lesen". Das Passwort lautet dann: "MLidBidE#2-El". Für ein Shoppingportal könnte es lauten: "Mein Lieblingsplatz in der Bibliothek ist die Etage Nummer Zwei – Geld ausgeben". Das Passwort lautet dann: "MLidBidE#2-Ga".

Alternative: Passwortmanager

Als Alternative gibt es inzwischen auch Passwortmanager, die man sich auf den heimischen Rechner laden kann. In diesen Programmen werden die Passwörter für alle Dienste und Konten verschlüsselt gespeichert. Über ein Masterpasswort, das man sich über die Merksatzmethode erstellt hat, erhält man dann Zugang zu den einzelnen Passwörtern. So braucht man sich nur ein Passwort zu merken. Aber Vorsicht: Nicht alle Passwortmanager sind sicher! Da sollte man sich vorher noch mal informieren. Unsere Experten empfehlen zum Beispiel die Keepass (kostenlos) oder Password Safe (kostenpflichtig).

Fragen an den Internetreporter?

Internetreporter Bernd Dicks geht Ihrer Frage nach. | Bild: WDR

Haben auch Sie eine Frage, der wir mal nachgehen sollten? Wollten Sie schon immer mal wissen, was hinter den Webseiten geschieht, die Sie täglich anklicken? Dann schreiben sie uns. Schicken Sie uns einfach eine Mail mit Ihrer Frage an ratgeberinternet@daserste.de, Stichwort "Zuschauerfrage".