Darmstadt (dpa/tmn) - Wörterbuch-Attacke, Social Engineering, Trojaner: Kriminelle kennen ganz unterschiedliche Wege, um sensible Passwörter zu stehlen. Umso wichtiger ist es, dass Internetnutzer mehrere sichere Zugangscodes verwenden. Dabei helfen Passwort-Manager.
Wer im Internet unterwegs ist, braucht einen guten Passwortschutz. Wichtig ist dabei vor allem, dass die Zugangscodes den Nutzer vor verschiedenen Arten von Angriffen schützen. Dazu gehören zum Beispiel Wörterbuch-Attacken, Schadsoftware oder das sogenannte Social Engineering.
Ohne Hilfsmittel geht es daher inzwischen eigentlich nicht mehr, sagt Markus Schneider vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT). Gemeint sind damit Passwort-Manager, die es als Browsererweiterung, PC-Programm oder App gibt.
Wie sensibel Passwörter sind, zeigt auch der Datendiebstahl, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Dienstag (21. Januar) öffentlich gemacht hat. 16 Millionen Kombinationen aus Nutzername und Passwort sind dabei nach Angaben der Behörde gestohlen worden - wann und wie genau, ist noch unklar.
Gefährdet sind von solchen Angriffen vor allem Nutzer, die an mehreren Stellen den gleichen Zugangscode verwenden. Das sei ein typischer Fehler, sagt Schneider: „Da kann das Passwort noch so stark sein – es reicht eine undichte Stelle, damit ein Angreifer Zugriff auf alle meine Daten hat.“ Passwort-Manager können dabei helfen, mehrere Codes zu verwalten, der Nutzer muss sich nur ein Master-Passwort merken.
Die Programme speichern Zugangscodes verschlüsselt ab - so sind Nutzer auch dann geschützt, wenn PC oder Smartphone einem Kriminellen in die Hände fallen. Voraussetzung ist aber, dass das Master-Passwort für die Codeliste stark genug ist. Wichtigste Regel dabei: Es darf kein Wort sein, das im Duden oder Lexikon steht - denn damit ist man sogenannten Wörterbuch-Attacken schutzlos ausgeliefert. Hacker nutzen dabei Tools, die alle Begriffe aus Wörterbüchern systematisch durchprobieren.
Dagegen hilft auch die sogenannte Leetspeak nichts, bei der man Buchstaben durch ähnlich aussehende Zahlen und Zeichen ersetzt - „e“ wird zu „3“, „i“ zu „!“ und so weiter. „Da gibt es inzwischen auch Tools für Kriminelle, die das mit abfragen“, warnt Schneider. Groß- und Kleinschreibung, Ziffern und Zeichen sollten in einem guten Passwort aber natürlich trotzdem vorkommen. Für die Länge empfiehlt Schneider mindestens 10, eher 15 Zeichen.
„Das Passwort sollte auch nicht für jemanden zu erraten sein, der zum Beispiel den Namen von Frau und Kindern oder den Lieblingsverein kennt“, rät der Sicherheitsexperte weiter. Solche Informationen sind inzwischen auch für Fremde zu leicht herauszufinden, zum Beispiel über Facebook und andere Netzwerke. Experten sprechen dann vom sogenannten Social Engineering.
Selbst ein guter Passwort-Manager bietet allerdings keinen Schutz, wenn Kriminelle eine Hintertür zum Computer haben: „Der Rechner muss sauber sein“, warnt Schneider. „Wenn sie einen Trojaner auf dem Rechner haben, der Passwörter abfängt, hilft dagegen auch ein Tool mit sehr starker Verschlüsselung eventuell nichts.“ Denn die Schädlinge können den Zugangscode zum Beispiel aus der Zwischenablage fischen oder Tastatureingaben aufzeichnen.