IT-Sicherheit: So sorglos gehen Nutzer mit Passwörtern um

Mindestens jeder Fünfte verwendet sie laut einer Studie mehrfach - und macht es Kriminellen einfach. Dabei gäbe es eine simple Lösung für das Kennwort-Chaos.

Wer sich ein Passwort ausdenkt, will damit sein digitales Leben schützen. IT-Sicherheitsexperten geben oft einen Tipp: Jeder Dienst bekommt ein eigenes Passwort. Der Autoschlüssel öffnet schließlich auch nicht die Haustür. Doch für viele Menschen scheint dies keine Rolle zu spielen. Das haben IT-Sicherheitsforscher des Hasso-Plattner-Instituts in Potsdam herausgefunden. Die Ergebnisse ihrer Studie werden sie am Dienstag auf einer Fachkonferenz in Bochum veröffentlichen. Jede fünfte Person verwendet ihnen zufolge Passwörter mehrfach.

Die Ergebnisse sind alarmierend. "Hacker-Angriffe sind auch deshalb erfolgreich, weil Menschen ihre Passwörter wiederverwenden", sagt David Jaeger, einer der Autoren der Studie. Es ist die erste Studie dieser Größenordnung. Die Forscher haben 848 Millionen Anmeldedaten analysiert, also E-Mail-Adresse samt zugehörigem Passwort, und dabei 31 der größten Hacking-Angriffe auf Online-Dienste untersucht.

Wird ein Netzwerk gehackt, tauchen die Anmelde-Daten in manchen Fällen später im Internet auf. Sie werden entweder in Foren zum Verkauf angeboten oder direkt hochgeladen. Im Datensatz enthalten sind E-Mail-Adressen und Passwörter für das mittlerweile in Vergessenheit geratene soziale Netzwerk Myspace (360 Millionen Daten), die Dating-Plattform Ashley Madison (36 Millionen) und das Karriere-Netzwerk Linkedin (112 Millionen).

20 bis 25 Prozent der Nutzer nutzen Kennwörter doppelt

In knapp 69 Millionen Fällen waren einer E-Mail-Adresse zwei verschiedene Konten zugewiesen, daher konnte die Wiederverwendung geprüft werden. Jede fünfte Person verwendete dasselbe Passwort. Werden Passwörter mitgezählt, die sich minimal unterscheiden, nutzt sogar jede vierte Person ähnliche Passwörter - etwa auf Seite A "passwort" und auf Seite B "passwort1".

"Viele Menschen sind der Meinung, dass sie vor Angriffen geschützt sind, wenn sie ein starkes Passwort haben. Das ist so leider nicht richtig", sagt Jaeger. Ein berühmter Fall ist jener von Dropbox, dem Online-Speicherdienst. Dort gelang es Angreifern, an 68 Millionen Anmeldedaten zu kommen.

Sie konnten sich Zugriff auf Dropbox-Daten verschaffen, weil das Passwort eines Mitarbeiters in einem anderen Leak veröffentlicht wurde: dem der gehackten Zugangsdaten zu Linkedin. "Man kann also diese Leaks analysieren und nach Menschen suchen, die in Unternehmen arbeiten", sagt Jaeger. "Die Erfolgswahrscheinlichkeit liegt bei 20 Prozent. Ich werde schon einen Nutzer finden, der ein schlechtes Passwort hat."

Der Tipp des Experten: Passwort-Manager

Aus der Studie geht auch hervor, dass viele Webseiten die Zugangsdaten ihre Nutzer nur unzureichend sichern. Passwörter sollten nicht im Klartext gespeichert, sondern mit einem Algorithmus verschleiert werden: Statt das Wort "passwort" in der Datenbank zu speichern, errechnet der Computer eine Buchstaben- und Ziffernkombination, genannt Hash.

Aus einem so generierten Wert aber umgekehrt auf das Passwort zu schließen, ist kompliziert bis unmöglich: Bis der Rechner des Angreifers die passende Kombination findet, vergehen Jahrhunderte. Es sei denn, der Algorithmus ist schwach. Um sich abzusichern, rät Jaeger zu einem Passwort-Manager. Für den reicht ein einzelnes Passwort aus. Das kann dann auch ruhig deutlich komplexer sein.