Wer auf Passwörter wie "Mausi" oder "12345" setzt, muss sich nicht wundern, wenn der eigene Rechner geknackt wird. Doch gibt es das perfekte Passwort?
Wer Barack Obamas Twitter-Nachrichten abonniert hat, musste sich Anfang Januar sehr wundern. Für die Teilnahme an einer Online-Umfrage verteilte der US-Präsident Benzingutscheine im Wert von 500 Dollar. Auch Britney Spears und Lance Armstrong zwitscherten plötzlich pubertäre und alberne 140 Zeichen. Wenige Tage später war das Rätsel gelöst: Ein 18-jähriger Student hatte den Webdienst geknackt und für Obama getwittert. Mit einem einfachen Tool aus dem Internet hatte der Hacker das noch simplere Passwort einer Twitter-Administratorin ausgespäht. Es lautete schlicht: Happiness.
Bild vergrößern
Gibt es das perfekte Passwort? (© Foto: iStock)
Anzeige
Mit dieser nachlässigen Einstellung in puncto Passwort-Sicherheit ist die Twitter-Administratorin kein Einzelfall. Viele Internetnutzer greifen bei ihren Zugangsdaten für den eigenen oder den Firmen-PC, für das Mail-Programm oder das Online-Banking auf simple Wörter oder Zahlenfolgen zurück: Das eigene Geburtsdatum, "123456" oder einfach nur "Passwort" sind die beliebtesten Passwörter der Deutschen. Gerne genutzt werden auch "Bello" oder "Lassie" - der Name des eigenen Haustiers, "Mallorca" oder "Türkei" - das Reiseziel des letzten Sommerurlaubes oder "Mausi" und "Schatzi" - Kosenamen für Familienmitglieder.
"Iba32iGg" oder besser "Ah1EndWh2"?
Dabei wimmelt es in Ratgebern und im Internet nur so von guten Tipps, wie ein sicheres Passwort aussehen soll. Viel schwerer zu knacken seien laut Experten beispielsweise "Iba32iGg" oder auch "Ah1EndWh2" - sie enthalten neben Groß- und Kleinbuchstaben auch Zahlenkombinationen. Ein einfacher Wörterbuch-Angriff - also ein Hack, bei dem hunderttausend Wörter ausprobiert werden, kann sie nicht knacken.
Neben der Sicherheit sollen sie auch das Kriterium erfüllen, das "Mausi" und Co so beliebt macht. Man soll sie sich sogar merken können: "Iba32iGg" steht für "Ich bin am 3.2. in Gelsenkirchen geboren", "Ah1EndWh2" heißt übertragen in einen kompletten Satz "Alles hat ein Ende nur die Wurst hat zwei".
Für Werner Degenhardt, Psychologe an der Ludwig-Maximilians-Universität München, der im Bereich IT-Sicherheit forscht, sind diese Ratschläge zwar gut gemeint, letztlich aber unbrauchbar: "Passwörter sind entweder unsicher oder unbenutzbar. Niemand kann sich viele komplizierte Zugangsdaten für verschiedene virtuelle Umgebungen merken."
Für Degenhardt sind Passwörter sogar die schlechteste Authentifizierungslösung, die es gibt. "Man hat sie von der analogen in die digitale Welt übernommen - ohne die Qualität des Werkzeugs zu verändern. Im virtuellen Raum könne man mit einem Passwort einfach nicht überprüfen, ob es auch der tatsächlich Zugangsberechtigte eingegeben hat. Wer wirklich angreifen wolle, dem gelinge es. "Absolute Sicherheit gibt es nicht".
Auf der nächsten Seite: Wie Kunden sicheres Online-Banking verhindern.
Sie sind jetzt auf Seite 1 von 2 nächste Seite
Eurovision Song Contest
das einzig sichere ist otp (one time passwords). die braucht sich auch keiner zu merken.
Je kryptischer und länger so ein Passwort ist, umso besser. Leider ist aller Schutz vorbei, hat man dem falschen Programm oder auch Unternehmen sein Passwort anvertraut. Wobei das schönste Passwort, auch so hoch wie möglich verschlüsselt, auch in der Erinnerung behalten werden will.
Das macht man dann durch die Merkfunktion eines Browsers, geschieht dies auch noch unter dem Betriebssystem vom Löcherkäsegott, dann war das mal ein Passwort.
Und nebenbei, jeder der direkten Zugang zu einem Computer hat, brauch kein Passwort um sich einzuloggen - gleich bei welchem Betriebssystem, er ändert es. Alle anderen ließt er dann aus, oder ändert sie dann praktischer Weise mit solchen Helferlein wie Merkfunktionen und Passwortsafes.
Wie viele Leute werden jetzt das Passwort "Iba32iGg" oder "Ah1EndWh2" benutzen?
... hätte ich vom Hr. Professor gerne mal gehört, was denn seiner Meinung nach besser ist?
Etwa Biometrie, nach dem Motto - hab ich immer dabei und muss ich mir nicht merken?
Wenn man liest, was damit bereits für Unfug getrieben wird (siehe Hr. Schäubles frei verfügbarer Fingerabdruck), kann man das nicht wirklich wollen.
Ach nein, das ist ja noch viel analoger :-/
Wenn es absolute Sicherheit nicht gibt, muss man sehen, wie gut die einzelnen Möglichkeiten sind und da sehen gute Passwörter ja gar nicht so schlecht aus.
"So gibt es beim Online-Banking die Möglichkeit, dass derjenige, der Geld überweist, eine SMS zur eigenen Identifizierung an die Bank hinterherschickt."
Es gibt auch die umgekehrte Variante. CortalConsors sendet bei einem Überweisungsauftrag eine SMS mit der aktuell für diesen Vorgang gültigen TAN an ein vorher eingestelltes Mobiltelefon. Wer dort unbefugt Geld überweisen will, der muss erst mal die PIN knacken oder abgreifen und dazu noch das Handy.
Bei Paypal gibts die Option, das eigene Passwort mit einem RSA Schlüssel zu verbessern, ich hab irgendwas um 5 Euro für das Ding zahlen müssen. Das Ding ist ein kleiner Schlüsselanhänger, man drückt einen Knopf und bekommt die Zahl. Dieser zusätzliche Ziffernfolge muss an das eigen Passwort angehängt werden, erst dann ist man drin. Phishing hilft nicht. Eigentlich reicht einer dieser Schlüsselanhänger für alle Netzdienste aus, denn dieser Authentifizierungsservice wird von Verisign angeboten. Viele große Firmen mit sensiblen Netzen bzw. sensiblen Rechensystemen verwenden diesen Schutz, u.a. die Lufthansa für Dienstpläne bzw. deren Verwaltung des fliegenden Personals.
Kurzfassung: wenig Kosten, überschaubarer Aufwand, viel Schutz. Billig und sicher zugleich geht nicht, aber beide Methoden würden sicher 99.9% aller Phishing-Attacken ins leere laufen lassen.
Paging