Passwörter sind in unserer digitalen Gesellschaft allgegenwärtig und das aus gutem Grund. Privat und beruflich sind Passwörter allgegenwärtig. Auch Handwerksbetriebe sind auf Passwörter angewiesen. Ob Online-Terminkalender, Online-Bestellsysteme, Online-Banking, Nutzung und Pflege von Social-Media-Kanälen und vieles mehr – Passwörter dienen der Authentifizierung und sind der Schlüssel zu diesen Internetdiensten und –portalen. Passwörter dienen aber auch dazu, den eigenen Computer vor dem Zugriff Fremder zu schützen sowie die Unternehmenssoftware nur den Berechtigten zugänglich zu machen. Ohne Passwort geht heutzutage fast gar nichts mehr.
Es den Hackern leicht machen
Nutzer gehen häufig sehr leichtfertig mit ihren Passwörtern um. So werden diese auf gelben Zettelchen notiert und unter der Schreibtischauflage „versteckt“. Sie werden im Portemonnaie abgelegt oder im Terminkalender vermerkt. Dass es sich hierbei um einen absolut fahrlässigen Umgang mit Pin-Codes und sonstigen Passwörtern handelt, weiß jeder. Dennoch findet sich diese Vorgehensweise in der Praxis immer wieder.
Professionelle Hacker suchen nicht in Portemonnaies oder auf gelben Zettelchen nach Passwörtern. Sie kommen übers Netz und nutzen eine weitere leichtfertige Handlungsweise der Nutzer, um an die Passwörter zu gelangen. So verwenden Nutzer für Passwörter nur allzu oft leicht zu erratende Buchstaben- und Zahlenkombinationen, häufig werden voreingestellte Passwörter nicht einmal geändert. Für professionelle Hacker ist die Entschlüsselung ein Kinderspiel.
Top Ten deutscher Passwörter
Wissenschaftler des Hasso-Plattner-Instituts (HPI) haben im vergangenen Jahr aus rund 31 veröffentlichten Datenlecks rund 1 Milliarde Nutzerkonten analysiert und ausgewertet. In den untersuchten Daten-Leaks ist „123456“ weltweit das meistbenutzte Passwort. Aus den rund 30 Millionen Nutzerkonten, die als .de-Domain registriert sind, konnte sogar eine Top-Ten-Liste der beliebtesten deutschen Passwörter generiert werden. Auch diese Liste lädt zum Staunen ein und zeugt von der „Kreativität“ so mancher Nutzer. So liegt auf Platz 1 „hallo“. So mancher Hacker dürfte sich über eine so nette Begrüßung sicher freuen.
Top Ten deutscher Passwörter 1. hallo 2. passwort 3. hallo123 4. schalke04 5. passwort1 6. qwertz 7. arschloch 8. schatz 9. hallo1 10. ficken Quelle: Hasso-Plattner-Institut (HPI) |
„Es gibt keinen 100-prozentigen Schutz vor Identitätsdiebstahl“, sagt HPI-Direktor und Mitautor der Studie Professor Christoph Meinel und führt weiter aus: „Aber wer sein Passwort auf dieser Liste entdeckt, sollte es schnellstmöglich ändern.“ Vielen Nutzern sei nicht bewusst, dass Kriminelle mit dem Handel gestohlener Identitäten sehr viel Geld verdienen und welcher Schaden entstehen könne, erklärt Meinel.
Wie groß die Gefahr ist, Opfer von Hacker-Attacken zu werden, zeigte sich erst wieder vor wenigen Wochen. Das Bundeskriminalamt fand in einer Underground-Plattform im Internet eine Sammlung von 500 Millionen ausgespähten Zugangsdaten. Hierbei handelte es sich um E-Mail-Adressen mit dazugehörigen Passwörtern. Diese immense Sammlung zeigt, dass es jeden, der im Internet mit E-Mail-Adresse und Passwort unterwegs ist, treffen könnte.
Online-Sicherheitscheck durchführen
Ob man selbst Opfer eines solchen Datendiebstahls geworden ist, lässt sich mit Hilfe des „Identity Leak Checkers“, einem Online-Sicherheitscheck des Hasso-Plattner-Institut (HPI) überprüfen. Dieser Check kann seit 2014 unter https://sec.hpi.de/leak-checker/search kostenfrei durchgeführt werden. Durch Eingabe der eigenen E-Mail-Adresse lässt sich überprüfen, ob die persönlichen Identitätsdaten bereits geknackt und im Internet veröffentlicht wurden. Aktuell sind mehr als 4 Milliarden geleakte Nutzerkonten in dem Checker erfasst. Auch die vom BKA gefundenen mehr als 500 Millionen E-Mail-Adressen und Passwörter wurden vom HPI in den „Identity Lead Checker“ integriert. Fällt der Check positiv aus, sind also die eigenen Daten betroffen, rät das BKA die Passwörter zu ändern und zu überlegen, wo diese Zugangsdaten noch genutzt werden, um auch hier die Passwörter zu ändern.
Tipps für ein gutes Passwort
Es gibt keinen hundertprozentigen Passwortschutz. Aber man muss den Hackern den Datendiebstahl nicht allzu leicht machen und kann einige Vorkehrungen treffen. Generell gilt: Auf die Passwortgestaltung sollte seitens der Nutzer ein größeres Augenmerk gelegt werden.
Das Bundesamt für Sicherheit in der Informationstechnik hat die folgenden Empfehlungen auf ihrer Internetseite veröffentlicht:
- Das Passwort sollte mindestens acht Zeichen lang sein, je länger desto besser.
(Ausnahme: Bei Verschlüsselungsverfahren wie zum Beispiel WPA und WPA2 für WLAN sollte das Passwort mindestens 20 Zeichen lang sein. Hier sind so genannte Offline-Attacken möglich, die auch ohne stehende Netzverbindung funktionieren – das geht zum Beispiel beim Hacken von Online-Accounts nicht.) - Das Passwort sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…) bestehen.
- Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter.
- Wenn möglich sollte das Passwort nicht in Wörterbüchern vorkommen.
- Es soll nicht aus gängigen Varianten und Wiederholungs- und Tastaturmustern bestehen, also nicht asdfgh oder 1234abcd und so weiter.
- Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? #, am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen ist auch nicht empfehlenswert.
- Mit einem Passwortmanager lassen sich komplexe Passwörter gut verwalten.
Zudem verweist das Bundesamt für Sicherheit in der Informationstechnik darauf, dass die Zwei-Faktor-Authentifizierung höhere Sicherheit bietet. Hierdurch soll sichergestellt werden, dass nur der berechtigte Nutzer auf sein Konto zugreift. So muss sich der Nutzer neben seinem Passwort durch ein weiteres Verfahren identifizieren. Oft sind es hardwaregestützte Verfahren wie ein TAN-Generator, der ergänzend zu einem Passwort von dem Dienstleister zur Verfügung gestellt wird und eine zweite Sicherheitsebene bildet. Gleiches gilt aber auch für das Code-Verfahren per SMS. Vielen Handwerkern dürften diese Verfahren aus ihrem Online-Banking bekannt sein.
Ein Passwort kann aber noch so gut sein, wird es an Dritte weitergegeben, verliert der Nutzer die Kontrolle darüber und es besteht die Gefahr des Missbrauchs. Passwörter sollten also nie an Dritte weitergegeben werden. Vorsicht ist besser als Nachsicht!