Sichere Passwörter schützen deine Identität

Eines der lukrativsten Einfallstore für Cyber-Kriminelle sind schwache Passwörter. Tipps zu sicheren Passwörtern und deren Verwaltung findest du in diesem Artikel.

♦ Mit der Anzahl von Nutzerkonten bei Online-Dienstleistern wächst zugleich die Zahl der gestohlenen Nutzerdaten, die von Internetkriminellen missbraucht werden. Identitäts- und Datendiebstähle sind mittlerweile zum Milliardengeschäft einschlägiger Banden geworden. Die bedeutendsten Datendiebstähle der letzten Jahre waren unter anderem

  • 2017 Yahoo mit 3 Milliarden (!) Nutzerdaten gestohlen
  • 2018 Facebook mit knapp 50 Mio Zugangsdaten von Benutzerkonten mit teilweise sehr persönlichen Daten
  • 2019 Veröffentlichung privater Daten von deutschen Politikern und Prominenten
  • 2019 Autovermietung Buchbinder mit 3,1 Millionen Kundendaten inklusiv persönlicher Daten

Eine einfache Identität eines Nutzers besteht aus Benutzername und Passwort. Gelangen solche Identitäten in falsche Hände, können die Folgen fatal sein. Die Liste für einen potentiellen Missbrauch der Daten ist lang: Teure Wareneinkäufe auf Kosten des Bestohlenen, Kostenpflichtige Abonnements bei Streaming-Diensten, Abos für Online-Dating-Portale, Vertragsabschlüsse für Mobilfunkverträge usw.

All das muss nicht sein. Betroffene können sich vor Missbrauch schützen indem sie bei der Wahl ihrer Passwörter gewisse Regeln beachten. Wer seine Identität nicht durch ein sicheres Passwort schützt ist Kriminellen auf lange Zeit hilflos ausgeliefert.

 

Datendiebstahl ein Milliardengeschäft für Internetbanden

Mit der Registrierung eines Nutzers bei einem Dienstleister, werden Nutzernamen und Passwort in einer Datenbank des Anbieters gespeichert. Damit weist sich der Nutzer mit seiner digitalen Identität gegenüber dem Online-Dienst aus. Seriöse Dienstleister legen Passwörter nicht im Klartext, sondern in verschleierter Form als sogenannten Hash in ihrer Datenbank ab.

Nutzername SHA1 Passwort-Hash Salt
Alfred63 0d1a9d987b884c9147f0ab3319aed4cd4c1c376b &<6
Matti264 7c4a8d09ca3762af61e59520943dc26494f8941b y#4
Conni@web.de 2e2b6533a81bc15430cf65de46dc097eeb5ba70c h)Y

Zu jedem Hash kann nur ein Passwort gehören und aus dem Hash kann kein Passwort errechnet werden. Verschafft sich ein Hacker Zugang zu dieser Datenbank, lädt er die Kundendaten auf den eigenen Rechner herunter und versucht das Nutzerpasswort zu ermitteln. Gefundene Nutzername-Password-Paare  verkauft er an professionelle Cyber-Banden, die ihrerseits die Identitäten für Erpressungsversuche, Wareneinkäufe, SPAM-Versand usw. missbrauchen.

Passwort-Cracker als Hochleistungsrechner

Jeder, der ein Zahlenschloss kennt, weiß, dass er durch Ausprobieren aller Zahlenkombinationen die richtige Kombination finden kann. Bei einem Zahlenschloss mit 4 Zahlenringen sind dafür maximal 10.000 verschiedene Einstellungen nötig.

Auf gleiche Weise arbeiten Passwort Cracker, indem sie alle möglichen Kombinationen ausprobieren (Brute Force Methode).

Das Schaubild zeigt, wie viele Kombinationen es bei einem 4-stelligen Passwort gibt, wenn das Passwort
a) nur aus Zahlen,
b) aus Groß- und Kleinbuchstaben
c) aus Zahlen, Buchstaben und Sonderzeichen mit insgesamt 82 Zeichen besteht. Bei einem 6-stelligen Passwort gibt es bereits 826= 304 Milliarden mögliche Kombinationen. Das bedeutet

Je mehr mögliche Kombinationen es gibt und je länger ein Passwort ist, desto länger dauert es, bis ein Passwort geknackt ist.

Nun könnte man meinen, dass es eine kleine Ewigkeit dauert wird bis so ein 6-stelliges Passwort geknackt ist. Keineswegs. Schnelle Rechner sind heutzutage in der Lage ca. 200 Milliarden Passwörter pro Sekunde auszuprobieren. Der Passwort-Cracker generiert also Billionen von Passwörtern, berechnet den dazugehörigen Hash und vergleicht das Ergebnis mit dem Hash in der Nutzer-Datenbank. Sobald die beiden Hashwerte übereinstimmen, ist das richtige Passwort gefunden.

Um möglichst schnell ans Ziel zu gelangen, testen Passwort-Cracker zunächst Namen und Wörter aus dem Wörterbuch, womit sie bereits hohe Trefferquoten erzielen – danach folgen Zahlen- und Zeichenkombinationen.

Ob du bereits Opfer eines Datendiebstahls geworden ist kannst du im Webportal https://haveibeenpwned.com des australischen Sicherheitsexperten Troy Hunt erfahren. Dort gibst du einfach deine E-Mail Adressen ein und erhälst dann eine Auskunft darüber, ob und bei welchem Dienstleister-Server dein Account gestohlen wurde. Wird die E-Mail-Adresse gefunden, dann bist du Opfer eines Datendiebstahls geworden und solltest umgehend dein Passwort ändern. Ebenso überprüft das Portal im Menüpunkt „Passwords“ ob ein eingegebenes Kennwort in gestohlenen Nutzerdaten enthalten ist.

 

Warum ein sicheres Passwort vor Missbrauch schützt

Prinzipiell gilt: jedes Passwort ist knackbar – es ist lediglich eine Frage der Zeit. Ziel sollte also sein, ein Passwort zu finden, das eine möglichst lange Berechnungszeit erfordert. Die nachfolgenden Regeln helfen, sichere Passwörter zu finden, deren Rechenzeiten locker über ein Menschenleben hinaus gehen.

 

Sichere Passwörter …

  • bestehen aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen
  • sind mindestens 12 Zeichen lang
  • enthalten keine Wörter aus dem Wörterbuch
  • … keine Namen
  • … keine Tastaturmuster wie etwa qwertz, 123456, 1q2w3e
  • … keine Zeichen-Wiederholungen
  • … keine Kombination aus persönlichen Daten
  • … und keinesfalls häufig verwendete Passwörter

 

Eine Liste der häufigsten Passwörter lässt sich bei Wikipedia nachschlagen. Alle dort gelisteten Passwörter lassen sich in weniger als 1 Millisekunde knacken.

Zudem sollten für unterschiedliche Dienste keine gleichen Zugangsdaten verwendet werden, um zu verhindern, dass mit einem einmal geknackten Passwort keine weiteren Konten kompromittiert werden können.

Nächste Seite: Tips für sichere Passwörter

Dieser Beitrag hat einen Kommentar

  1. Lilo Z.

    Ehrlich gesagt habe ich nicht alles im Detail verstanden, aber wie schnell so ein Passwort geknackt werden kann, hat mich doch sehr überrascht. Natürlich habe ich sofort meine Passwörter bei Passwortcheck überprüft und war sichtlich geschockt. Es war ein wenig Arbeit, dafür kann man jetzt meine Passwörter zu meinen Lebzeiten nicht mehr knacken.
    LiiiLooo

Schreibe einen Kommentar