Meine Mutter hat ihre Bank-pin in einer anderen Reihenfolge in ihrem Smartphone gespeichert. Papa hat sich die PIN in seine Lederarmbanduhr eingeritzt, und mein Bruder hat eine App, in der alle Passwörter drinstehen – ob E-Mail-Passwort, Facebook-Log-in oder Kreditkartennummer. Doch welche von all diesen „Methoden“ ist tatsächlich verlässlich?
Ein Passwort für ALLES
Die Realität ist doch die: Rund 60 Prozent der Deutschen, so sagt es eine Studie, verwenden für fast alle Dienste lediglich ein Passwort – weil sie sich unterschiedliche nicht merken können. Rund 65 Prozent der Befragten speichern die Zugangsdaten ausschließlich im Kopf. Meine Bank-PIN habe ich auch im Kopf. Doch Zugangsdaten für diverse Konten im Internet stehen sauber und ordentlich in einem Buch, welches ich meist mit mir rumschleppe oder aber auf der Arbeit liegen lasse. Ist das die wohl schlechteste Methode, seine Passwörter zu schützen? Experten sagen: Ja. Doch gehen wir einen Schritt zurück, schauen uns erst einmal die Historie des Passworts an, bevor wir danach eine gute Schutzmauer für unsere zahlreichen Konten errichten.
Der Erfinder der Passwort-Verwirrung
Bill Burr ist heute 72 Jahre alt. Er hat die Vorgaben für Passwörter verfasst, arbeitete früher beim National Institute of Standards and Technology, einer US-Behörde, die heute noch für Technologiestandards zuständig ist. Er hat quasi das Nonplusultra für mehrere Jahrzehnte erschaffen. Und das sah so aus: Benutzen Sie viele Sonderzeichen, Groß- und Kleinschreibung, und ändern Sie Ihr Passwort spätestens alle 90 Tage. Dem „Wall Street Journal“ sagte Burr einmal: „Vieles von dem, was ich getan habe, bereue ich.“ Seine Empfehlungen für Passwörter gingen an Behörden, Unternehmen und Webseitenbetreiber und sollten eine Art Leitfaden für Nutzer und Mitarbeiter sein. Heute ist Burr in Rente, und sein Empfehlungsschreiben liegt im Mülleimer der US-Behörde. Nun ist nämlich offiziell, dass seine Empfehlungen oft nicht den gewünschten Sicherheitseffekt brachten.
So machen Sie´s richtig
Doch was ist denn nun richtig? Wie können wir unsere Passwörter sicher gestalten, und zwar so, dass wir sie nicht direkt wieder vergessen? Ein Post-it mit einem Passwort am PC klebend: größter Fehler. Neugierige Familienmitglieder oder Arbeitskollegen können so ganz einfach auf sensible Daten zugreifen, und es wird schnell unübersichtlich. Viele Nutzer sind der Meinung, Zugangsdaten dürfe man sich auf keinen Fall aufschreiben. Doch da täuschen sie sich. Bei privat genutzten Onlinediensten ist es wesentlich schlauer, ein sicheres, aber schwer zu merkendes Passwort zu erstellen und es sich aufzuschreiben. Haben Sie schon einmal von einem Hacker gehört, der in Ihre Wohnung einbricht und Ihr Notizbuch klaut? Ein gutes Versteck oder eine geschickte Tarnung erhöhen die Sicherheit der notierten Passwörter zusätzlich. Es in das Lederband der Uhr von innen hineinzuschreiben, wie es mein Vater macht, scheint auch keine ganz dumme Idee zu sein.
Einfach und sicher: Passwortmanager
Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) empfiehlt: „Notieren Sie Ihre Passwörter auf Zetteln, und bewahren Sie diese räumlich getrennt von Ihrem Rechner an einem sicheren Ort auf.“ Etwas moderner und noch sicherer ist es, am Computer ein Dokument anzulegen und es gut verschlüsselt offline zu speichern. Dafür kann man auch einige kostenlose Softwares verwenden. Problemchen: Auch für die Entschlüsselung der Passwortliste auf dem PC muss sich der Nutzer einen soliden Code merken. Noch besser: einen Passwortmanager verwenden – die es mittlerweile auch als moderne Apps gibt –,mein Bruder wusste also, was heutzutage zum modernen Passwortschutz gehört. Denn so lassen sich auch Dutzende Konten recht einfach verwalten. In Unternehmen mit hoher Sicherheitsstufe ist es schon längst normal, sogenannte Hardware-Token, also Hardware-Sticks für den USB-Anschluss, zu nutzen. Nur wer den Stick besitzt, kann sich am zugehörigen PC anmelden oder auf bestimmte Dateien zugreifen.
Mal was Neues ausdenken
Mit „Schnucki“ bei Ebay einkaufen, mit „hallo 44“ bei Facebook anmelden und mit „Passwort“ die privaten Mails abrufen: All diese simplen Wörter gewähren Zugriff auf Bankkonten, Adressen, persönliche Nachrichten und Einkäufe und sind so unsicher, wie die Lage in Syrien. Bei der NSA lachen sie sicher ziemlich laut über Passwörter, die Deutsche so verwenden: Die Datenanalyse des Hasso-Plattner-Instituts an der Uni Potsdam hat herausgefunden, welche Wörter wir Deutschen häufig benutzen. Die Top 4 sind: „Hallo“, „Passwort“, „Hallo123“ und „Schalke04“. „Es gibt keinen 100-prozentigen Schutz vor Identitätsdiebstahl“, sagt Professor Christoph Meinel. Er ist der Direktor des Hanno-Plattner-Instituts und Mitautor der Studie. Er rät vor allem, die Passwörter regelmäßig zu wechseln und nicht bei allen Diensten dasselbe zu nennen.
Kombinieren ist gefragt
Die Eigenschaften eines guten Passworts: Es ist für Angreifer schwer zu erraten, und Nutzer können sich leicht daran erinnern. Buchstaben, Zahlen und Sonderzeichen (g93äZ?/“ oder /&143R%) zu kombinieren ist keine Alternative, weil sich Nutzer solche Fantasiewörter nicht merken können – es sein denn man verwendet einen Passwortmanager. Mit solchen Passwörtern kann es schnell unübersichtlich werden, und Kriminelle haben eine gute Chance, das Kennwort zu knacken, und zwar durch das sogenannte Bruteforce-Verfahren. Das bedeutet, sie probieren verschiedene Zeichenkombinationen systematisch durch, und zwar mehrere Millionen in der Sekunde. Dafür nutzen sie spezielle Tools.
Lange Passwörter sind die sicherste Methode. Denn eine sichere lange Phrase lässt sich mit einer Methode namens Diceware erstellen. Dabei würfelt man fünfmal mit einem sechsseitigen Würfel – es ergibt sich eine fünfstellige Zahl, die für ein bestimmtes Wort steht. Das macht man mehrmals und verknüpft die Wörter mit Leerzeichen: „pflege themse drehen unruhe klettern“ wäre so ein Zufallsergebnis.
Der Artikel stammt aus der Ausgabe 01/02 2018. Für mehr spannende Artikel abonnieren Sie einfach hier unsere Magazin.
Immer mehr Unternehmen integrieren die 2FA-Technik (Zwei-Faktor-Authentifizierung), die man von Banken kennt. So gibt es beim Geldabheben zwei Sicherheitsstufen: Karte und PIN. Die PIN besteht zwar aus nur vier Zahlen, trotzdem werden Konten nicht reihenweise leer geräumt. Nutzer können sich nicht mehr anmelden, wenn sie nur die Karte haben oder das Passwort kennen. Heute arbeiten viele Onlinehändler mit 2FA und schicken einen weiteren Code per SMS auf das Handy.
Zukunftsmusik in Sachen Kennwortschutz
Ein Shirt soll in der Zukunft Abhilfe schaffen. Forscher der University of Washington werden unsere Klamotten künftig zum Passwortspeicher gestalten und kreieren intelligente Kleidungsstücke. Diese sollen eine alltagstaugliche Funktion besitzen und gleichzeitig unser digitales Leben ein Stück komfortabler machen. Dafür haben sie Smart Fabrics – also intelligente Stoffe – entwickelt, die mithilfe von elektrisch leitendem Garn hergestellt werden. Durch eine Behandlung mit Permanentmagneten entwickelt der Stoff ferromagnetische Eigenschaften, erklären die Forscher aus Washington. So lassen sich digitale Daten aufnehmen und auf den Stoff einspielen, sodass Nutzer ihre Passwörter oder Zugangsdaten darauf abspeichern können. Man könnte sich so etwas auch in Krawatten, Gürteln und Armbändern vorstellen. Führt man dann noch die Zwei-Faktor-Authentifizierung ein, wird es das sicherste Passwort der Welt. Heute lassen sich schon Handys mit Fingerabdrücken sichern. Auch die Linse im Auge wird zur Identifizierung genutzt und in Zukunft sicher noch öfter zum Einsatz kommen. Bis all das Standard wird, sollten wir uns an einfache Regeln halten: Ein langes Passwort kreieren, es nicht auf ein Post-it schreiben und uns an Hilfsmitteln wie Passwortmanagern bedienen. Solange Ihr Passwort nicht „passwort“ lautet und Sie unterschiedliche Wörter benutzen, sind Sie sicher. Zurzeit.
Check-Liste für ein sicheres Passwort
- Immer mal wieder Passwörter wechseln.
- Nutzen Sie die Zwei-Faktor-Authentifizierung möglichst überall.
- Alle Passwörter können Sie in einem Passwortmanager speichern.
- Geben Sie Passwörter nicht weiter, auch nicht an Freunde.
- Verwenden Sie keine einfachen Wörter wie „password1“ oder „1234“
- Lange Passwörter sind eine sichere Methode.
- Probieren Sie die Diceware-Methode aus.