Der zentrale Baustein beim Thema Sicherheit im Internet oder allgemein IT-Sicherheit ist und bleibt das Passwort. Es gibt viele alternative Entwicklungen zum Konzept „Passwort“, aber ein starkes Passwort ist wichtig.
Schwaches Passwort erleichtert Angriffe
Zugegeben: Das Verwalten von „starken“ Passwörtern ist nicht so einfach wie bei „schwachen“ Passwörtern und verursacht Aufwand. Schaut man sich aber die häufigsten Ursachen für Lösegeldangriffe an (siehe Grafik), stellt man fest, dass in einem von fünf Angriffen auf IT-Systeme schwache Passwörter eine Rolle spielten.
Und im Gegensatz zu den ersten drei Plätzen der Umfrage kannst Du persönlich jetzt und heute diese Schwachstelle schließen! Du musst nur Deine Passwörter stark machen.
Trotz sich häufender Meldungen über Cyberangriffe werden nach wie vor erstaunlich oft Passwörter genutzt, die sich der Anwender einfach einprägen kann. Unter den beliebtesten sind beispielsweise 123456 oder Passwort. Schau doch mal auf diese Seite von Wikipedia und suche Dein Passwort. Kannst Du es dort finden? Das bedeutet, dass bei einem Angriff auf dein E-Mailkonto diese Liste als Erstes abgearbeitet wird vom Angreifer. Diese Passwörter sollten also auf jeden Fall nicht mehr verwendet werden.
Was ist ein starkes Passwort?
Schon das Hinzufügen eines einzigen Großbuchstabens zu einem Passwort kann dessen Potenzial dramatisch verändern, wie aus den Daten der Website Security.org (siehe Grafik) hervorgeht. Ein Passwort mit acht Zeichen kann nun in 22 Minuten statt in einer Sekunde geknackt werden – eine Steigerung von mehr als 1000 Prozent.
Während die zusätzliche Zeit in diesem Fall definitiv nicht ausreicht, um ein zufriedenstellendes Passwort zu erhalten, kann der hohe Sicherheitsgewinn durch die Verwendung anderer Zeichen als Kleinbuchstaben vervielfacht werden. Bei Verwendung von mindestens einem Großbuchstaben und einer Zahl würde ein acht Zeichen umfassendes Kennwort von einem Computer in einer Stunde geknackt werden können. Fügt man ein weiteres Symbol hinzu, sind es acht Stunden.
Um ein Passwort wirklich sicher zu machen, können noch mehr Zeichen oder mehr als ein Großbuchstabe, eine Zahl oder ein Symbol hinzugefügt werden. Ein Passwort mit zwölf Zeichen, einem Großbuchstaben, einer Zahl und einem Symbol ist fast unknackbar, denn ein aktueller Computer braucht 34.000 Jahre, um es zu knacken.
Dies liegt daran, dass sich die möglichen Kombinationen für ein Kennwort exponentiell erhöhen, wenn wir mehr verschiedene Zeichen verwenden. Bei nur 26 Kleinbuchstaben hat ein Passwort mit acht Zeichen etwa 209 Milliarden mögliche Kombinationen. Rechnet man die Großbuchstaben hinzu, kommt man bereits etwa 53,5 Billionen Kombinationen. Mit den Zahlen sind es 218 Billionen Kombinationen. Symbole bieten ein weiteres großes Sicherheitspotenzial, aber da nur die wenigen, die auf Computertastaturen angezeigt werden, bequem zu verwenden sind, erhöht sich die Zahl der Kombinationen noch einmal auf rund 430 Billionen Kombinationen.
Das weltweit sicherste Passwort
Laut dem Internetportal Der Postillon wurde Mb2.r5oHf-0t von Sicherheitsexperten zum sichersten Passwort der Welt gekürt. Okay – Spaß beiseite. An dem Beispiel erkennt man dennoch sehr schön ein starkes Passwort. Laut checkdeinpasswort.de dauert es 121 Quintillionen Jahre bis es mit aktueller Rechnerkapazität geknackt werden würde. So kompliziert und „unmerkbar“ muss ein Passwort aber nicht sein.
Denn wir haben eine weitere Anforderung an Passwörter: Du solltest kein Passwort mehrmals verwenden. Das bedeutet, dass Du für jedes System, Internetprotal oder Dienst ein eigenes und einmaliges Passwort verwenden solltest. Wenn nämlich die Benutzerdaten einer Internetseite geklaut wurden, haben dunkle Gestalten dein Passwort. Schlechte Nachrichten über Onlinekriminalität und Datenklau sind allgegenwärtig. Im April 2021 wurde ein großer Datensatz von über 500 Millionen Facebook-Nutzern frei zum Download bereitgestellt. Die Daten, die etwa 20 % der Facebook-Abonnenten umfassen, wurden angeblich durch Ausnutzung einer Sicherheitslücke erlangt, die laut Facebook im August 2019 behoben wurde. Auch Adobe und dessen Kunden waren von einem „Passwort-Diebstahl“ schon einmal betroffen.
Ob Du und Deine Daten bereits von einem solchen „Diebstahl“ betroffen waren, kannst Du testen bei haveibeenpwned.com. Diese Website schaut in Millionen geklauter und öffentlich zugänglicher Datensätze und sucht auf Wunsch Deine E-Mail-Adresse darin.
Wirst Du mit Deiner E-Mail-Adresse gefunden, solltest Du in diesen Diensten das Passwort dringend ändern und, wenn Du dort ein Standard-Passwort verwendest, dieses in allen Diensten ändern!
Eine einfache Lösung: Die Passwortphrase
Eine Lösung für das Problem ist eine Passwortphrase. Denk Dir einen Satz aus. Zum Beispiel: „Ich finde die Satzkiste total super“. Die Anfangsbuchstaben sind IfdSts. Jetzt fehlen noch Zahlen. Nehmen wir 2018 und kombinieren wir beides mit einem „Unterstrich“. Jetzt ist die Passwortphrase IfdSts_2018. Das können wir nun für jeden Dienst, oder System oder Internetportal mit dessen Anfangsbuchstaben kombinieren.
Also fb_IfdSts_2018 für Facebook und gm_IfdSts_2018 für Gmail und xi_IfdSts_2018 für Xing usw. Das kannst Du Dir merken und das ist sicher.
Der Nachteil ist, dass Du dieses Passwort nicht teilen kannst. Wenn Du ne_IfdSts_2018, also Dein Netflix-Passwort, an Deine Kinder weitergibst, kennen diese auch Deine Phrase und damit dein Amazon-Passwort!
Die sicherste Lösung
Auch wenn ich die Passwortphrase immer noch für die praktikabelste Lösung für den Großteil der Anwender halte, ist dies nicht geeignet für den professionellen Einsatz. Und eines kommt dazu: Richtig sicher ist ein Passwort nur, wenn es regelmäßig gewechselt wird!
Die beste Waffe, um sich vor schwachen Passwörtern zu schützen ist sicher die Nutzung eines Passwortmanagers! Also ein System, dass ein starkes und individuelles Passwort für Dich verwaltet. Die Liste der Tools ist lang. Apple-Jünger vertrauen dem iCloud-Schlüsselbund aber es gibt auch 1password, Keeper oder LastPass und noch viel mehr. Auch Browser wie Chrome oder Firefox verwalten Deine Passwörter. Jedes System oder Programm hat Vor- und Nachteile.
Wir in der Satzkiste setzen auf Bitwarden und sind sehr zufrieden. Aber davon mehr in einem späteren Blogartikel.
Die Vorteile dieser Tools liegen auf der Hand: Man muss sich keine Passwörter merken. Das heißt sie können beliebig lang und stark sein. Man kann die Tools auf allen Plattformen nutzen, sei es im Browser, dem Handy oder Computer. Man kann Passworte teilen im Team. Und man kann das Passwort beliebig oft ändern. Allerdings muss man sich sein Haupt-Passwort für den „Tresor“ des Passwortmanagers gut merken bzw. absichern.
KOMMENTAR
Seit Einführung von „Bitwarden“ in der Satzkiste fühlen wir uns einerseits sicherer. Andererseits ist das Teilen von Passwörtern im Team viel einfacher. Man schaut einfach nach! Niemand muss fragen, es gibt keine Listen oder Post-its. Vor allem im Zeitalter des „Homeoffice“ ein wahrer und sicherer Segen.
Christoph Steffens