Groß- und Kleinbuchstaben, Zahlen und Symbole – das alles sollte ein sicheres Passwort beinhalten und dann am besten auch noch so lang sein, dass es sich eh niemand merken kann. Vielleicht weil es so kompliziert ist, ein sicheres Passwort zu erstellen und sich zu merken, verwenden viele Menschen Passwörter, die leicht zu knacken sind.
Immer wieder heißt es, die Passwörter, die die meisten Menschen verwenden, sind zu unsicher. Aber: Brauchen wir überhaupt sichere Passwörter?
David Beck: Bei privaten Konten muss das jeder für sich selbst entscheiden. Und bei der schieren Menge an Konten, die es bei Facebook, Amazon, Google und so weiter, gibt, ist die Wahrscheinlichkeit, dass gerade mein Konto gehackt wird, sehr klein. Wenn es aber passiert – und im schlimmsten Fall noch bei einer Seite, wo ein Bezahldienst hinterlegt ist, oder sogar bei einem einem Bezahldienst selbst – dann kann das zu einem sehr großen Problem werden.
Deswegen gilt: Ja, sichere Passwörter sind wichtig und jeder sollte sie haben. Und vor allem, wenn es keine privaten, sondern berufliche Konten sind. Da besteht dann auch eine Verantwortung dem Arbeitgeber gegenüber vertrauliche Daten und die gesamte IT-Infrastruktur des Unternehmens zu schützen.
Wie werden Passwörter geknackt?
Sehr viele Passwörter werden über sogenannte Phishing-Mails geklaut. Das sind Mails, die zum Beispiel so aussehen als wären sie von der Bank oder Amazon. Da steht dann beispielsweise, man müsse aus irgendeinem Grund sein Passwort ändern und zwar über eine Seite, die in der Mail verlinkt ist. Von dort wird man dann auf eine Seite geleitet, wo das Passwort nicht geändert, sondern einfach nur geklaut wird.
Aber es gibt auch andere Methoden an Passwörter zu kommen. Oft werden kleinere Dienste, die nicht das Geld für eine große IT-Infrastruktur haben, gehackt. Aus deren Datenbanken werden dann Listen mit verschlüsselten Passwörter geklaut, derjenigen, die bei diesem Dienst angemeldet sind. Jetzt können die Hacker in Ruhe versuchen die verschlüsselten Passwörter zu knacken.
Dafür verwenden sie den gleichen Verschlüsselungsalgorithmus, der auch von dem Dienst verwendet wird und probieren praktisch einfach nur verschiedene Passwörter aus. Stimmt dann das verschlüsselte Testpasswort mit einem auf der Liste überein, haben sie einen Treffer. Dabei werden Techniken benutzt, die sich schon seit Jahrzehnten immer weiterentwickeln. Am häufigsten sind dabei sogenannte dictionary attacks, etwa Wörterbuchattacken.
Statt jede mögliche Zahlenfolge einzeln durchzuprobieren, werden Listen von häufig verwendeten Passwörtern verwendet. Mit bestimmten Regeln, werden auch Varianten von diesen Passwörtern erstellt, die probiert werden, zum Beispiel das bestimmte Buchstaben durch Ziffern ersetzt werden. Viele Menschen gehen immer noch davon aus, dass ihre Passwörter sicher sind, weil sie ein O durch eine Null ersetzt haben, dabei lassen sich diese Passwörter ebenfalls in Sekundenschnelle knacken, wenn sie über keine weiteren Sicherheitsmerkmale verfügen.
Seit einigen Jahren werden auch KI-Werkzeuge eingesetzt, um diese Attacken noch schneller durchführen zu können. Mit KI-gestützten Angriffen lassen sich viele Passwörter in weniger als einer Sekunde knacken. Auch scheinbar sichere Passwörter können unsicher sein, wenn sie zu kurz sind. Ein Passwort aus einer willkürlichen Folge von Groß- und Kleinbuchstaben, Ziffern und Zeichen kann in vier Sekunden geknackt werden, wenn es nur sechs Zeichen lang ist. Ist es kürzer geht es sogar noch schneller.
Passwörter, die auf diese Art und Weise geknackt werden, werden oft im Darknet gehandelt. So kann praktisch jeder Listen mit Email-Adressen und Passwörtern kaufen. Dann kann man ausprobieren, ob diese Kombinationen auch bei anderen Diensten funktionieren – Amazon, Paypal, Google, etc. – wo dann richtiger Schaden angerichtet werden kann.
Es gibt Dienste bei denen man überprüfen kann, ob die eigene E-Mail-Adresse schon mal in einem größeren Datenleck kompromitiert wurde, zum Beispiel vom Hasso-Plattner-Institut.
Was macht ein Passwort sicher und wie kann man es sich merken?
Ein sicheres Passwort besteht aus Groß- und Kleinbuchstaben, Ziffern und Zeichen und ist mindestens 14 Zeichen lang, eher länger. Ist die Zeichenfolge komplett willkürlich, also ohne erkennbares oder knackbares Muster, dann dauert es im Schnitt etwa 187 Millionen Jahre, um ein Passwort mit 14 Zeichen zu knacken. Allerdings wird dieser Zeitraum mit steigender Rechenleistung und sich weiterntwickelnden Methoden immer kürzer. Deswegen sollten auch alte Passwörter überprüft und unter Umständen erneuert werden.
Um sich diese Passwörter nicht ausdenken oder merken zu müssen, kann man einen Passwortmanager nutzen. Diese Tools erzeugen und speichern sichere Passwörter und füllen sie sogar automatisch aus, wenn man sich bei einem Dienst einloggt. Der Passwortmanager selbst ist ebenfalls passwortgeschützt, so muss man sich nur dieses eine Passwort merken.
Und um das sicher zu machen, gibt es ein paar Tricks. Eine schnelle Möglichkeit zu einem sicheren Passwort zu kommen, das leicht zu merken ist, dessen Muster aber praktisch nicht zu erkennen ist, wenn es richtig gemacht ist, ist sich einen bestimten Satz auszusuchen, den man sich gut merken kann – etwa aus einem Buch, das man gerade liest oder ein Zitat. Der Satz sollte nicht leicht zur eigenen Person zurückzuführen sein, also kein oft wiederholtes Lebensmotto.
Von diesem Satz nimmt man sich dann die Anfangsbuchstaben der Wörter, beachtet Groß- und Kleinschreibung, nimmt die Satzzeichen mit und ersetzt midnestens zwei Buchstaben durch Ziffern, kommen in dem Satz nicht sowieso schon Zahlen vor. So entsteht eine scheinbare willkürliche Zeichenfolge, die einfach zu merken ist. Beispiel: Aus "Die Guten nenne ich glücklich. Wer aber Unrecht tut, den nenne ich unglücklich." (Platon) wird "DGnig.WaUt,dniu."
Jetzt können noch Buchstaben durch Zahlen ersetzt werden. Zusätzliche Sicherheit erhält man dadurch, wenn das nicht zu offensichtlich ist, also O durch Null oder I durch eins ersetzen. In dem Beispiel könnte "glücklich" und "unglücklich" durch die persönlichen Glücks- und Unglückszahlen ersetzt werden. Das fertige Passwort könnte dann lauten: "DGni33.WaUt,dni13." Dieses Passwort ist unter normalen Umständen so sicher, dass es derzeit etwa sechs Billiarden Jahre dauern würde, bis es geknackt ist und damit vermutlich auch auf absehbare Zeit sicher. Allerdings sollten Passwörter auch regelmäßig geändert werden, vor allem Hauptpasswörter von Passwortmanagern.
Passwörter werden also immer länger und komplizierter. Gibt es auch Alternativen am Passworthorizont?
Was es schon gibt ist die Zwei-Faktor-Authentifizierung. Dabei muss man zusätzlich zum Passwort noch einen Code eingeben, den man per E-Mail, SMS oder eine spezielle SMS bekommt und der nur eine gewisse Zeit gültig ist. Es gibt auch spezielle USB-Sticks, die eingesteckt sein müssen, dass man sich anmelden kann.
Diese Methode macht es wesentlich umständlicher ein Konto zu knacken und erfordert einen aufwändigen und gezielten Angriff, bei dem auch physisch ein Gerät geklaut werden muss, zum Beispiel das Handy, über das ein solcher Code gesendet wird. Für die allermeisten Hackerangriffe ist das keine Option. So werden auch unsichere Passwörter wieder sicherer, allerdings sollte das nicht als Ersatz angesehen werden.
Was Passwörter auf Dauer ablösen wird und zum Teil auch schon eingesetzt wird, sind sogenannte Passkeys, etwa Passschlüssel. Das können physische Merkmale wir ein Fingerabdruck oder Gesichtserkennung sein, aber auch vier- oder sechsstellige PINs werden dafür verwendet. Der Vorteil davon: Die Daten sind auf dem Gerät gespeichert, zum Beispiel auf dem Handy, und nicht auf dem Server, des Kontos, wo man sich einloggen will. Wird der Passkey präsentiert, dann kann das Gerät einen sicheren Entschlüsselungs- oder Loginprozess starten.
Manche Passwortmanager können bereits mit solchen Passkeys entsperrt werden. Dadurch ist es möglich sich praktisch in alle Konton, die mit sicheren Passwörtern geschützt sind, mittels Gesichts- oder Fingerabdruckserkennung einzuloggen. Das Hauptpasswort für den Passwortmanager sollte man allerdings nicht vergessen, falls die Erkennung aus irgndeinem Grund nicht mehr funktioniert.
