Die Sache mit dem Passwort

Bei dem Thema „sicheres Passwort“ denkt man gerne an den Administrator seiner Firma, der einem ein kaum zu merkendes Passwort vergibt, welches man sich dann unter die Tastatur klebt, weil man es sich nicht merken kann. Wie sinnvoll ein derart komplexes Passwort auch im privaten Umfeld ist und wie man es praktisch handhabt, damit beschäftigt sich dieser Artikel.

Das Internet hält immer mehr Einzug in unseren Alltag. Wir wickeln darüber unsere Bankgeschäfte ab, kaufen darüber ein, kommunizieren über soziale Netzwerke (z.B. facebook), stellen private Dokumente in die Cloud, verwenden Messenger (z.B. ICQ, WhatsApp) und schreiben in Foren. All diese Dienste sind mit einem Passwort geschützt.

Stellen Sie sich vor, wie es wäre, wenn Fremde Zugang zu Ihren privaten Urlaubsbildern auf dropbox hätten. Oder in Ihrem Namen Mails versenden, auf facebook schreiben, bei Xing Ihr Profil ändern, sich mit Ihrem Mailkonto bei dubiosen Webdiensten anmelden usw. Die Möglichkeiten lassen sich beliebig fortsetzen und Ihnen fallen sicherlich noch weitere Möglichkeiten des Missbrauchs ein. An den Haaren herbei gezogen ist dies nicht, sondern in der Praxis findet das und ähnliches immer wieder statt.

Das Problem

Meist sind wir zu bequem, uns für jede Internetanwendung ein hinreichend komplexes Passwort auszusuchen. Für Passworte werden gerne leicht zu merkende Worte oder Wortkombinationen verwendet, wie z.B. Nachname+Geburtsjahr. Diese werden dann durchgehend für alle Internetanwendungen verwendet.

Einfache Passworte lassen sich mit recht geringen Aufwand mittels so genannter brute force Attacken knacken. Dabei wird das Passwort regelrecht erraten. Je komplexer und länger das Passwort ist, desto unwahrscheinlicher ist es, dass es in akzeptabler Zeit geknackt werden kann.

Eine nicht zu unterschätzende Gefahr geht aber von dem vielfachen Gebrauch des immer gleichen Passwortes aus. Schließlich ist für den Benutzer nicht ersichtlich, in welcher Form der Webseitenbetreiber das Passwort abspeichert. Leider viel zu oft wird das Passwort in Klartext in einer Datenbank abgelegt. Ob nun diese Datenbank gehackt wird, oder der Seitenbetreiber selbst Missbrauch mit den Benutzerdaten treiben möchte ist dabei unerheblich. Ihr Benutzername und Passwort kann von Dritten eingesehen werden. Datenbanken wurden in der Vergangenheit bereits öfter gehackt und auch große Firmen sind hier schon Opfer geworden und Zugangsdaten von Kunden wurden veröffentlicht (Bsp.: Sony Playstation Network). Aber auch verschlüsselte Passworte können mit entsprechenden Aufwand entschlüsselt werden.

Opfer sind hier z.B. gerne Spieler diverser Onlinespiele, die sich auf Communityseiten mit den gleichen Zugangsdaten anmelden, die sie auch im Spiel verwenden. Bsp.: Anton spielt Word of Warcraft und hat sich bei einem Hilfeforum mit der gleichen E-Mail Adresse und Passwort angemeldet, welche er auch für das BattleNet verwendet. Das Forum enthält eine Sicherheitslücke, über die der Angreifer die Datenbank entwendet. Mit den Zugangsdaten loggt sich der Angreifer nun auf den Account von Anton bei Word of Warcraft ein. Diese Angriffe dienen meist dazu, Gold (also virtuelle Zahlungsmittel) abzuziehen und an zahlungswillige Spieler gegen echte Währung zu verkaufen.

Auch andere Szenarien sind denkbar, wenn immer wieder die gleichen Zugangsdaten verwendet werden. Die gleichen Login Daten für das Hobbyforum und Amazon z.B.

Die Lösung

Verwenden Sie für jede Anwendung ein anderes Passwort. Gestalten Sie das Passwort möglichst komplex.

Ein gutes Passwort ist eine zufällige Aneinanderreihung von Klein- u. Grußbuchstaben, Zahlen und wenn möglich Sonderzeichen. Das Passwort sollte dabei mindestens acht Zeichen lang sein. Passwortgeneratoren können hier hilfreich sein. Je komplexer das Passwort und je länger es ist, desto schwieriger ist es für Angreifer zu knacken.Bsp.: DwT9TRi8    S!6Rw<3r     Mq4WU8KwPX

Moderne Webbrowser unterstützen den Benutzer bei der Verwaltung der Passwörter mit dem sogenannten Passwort-Manager. Der Browser speichert dann – wenn Sie das wünschen – für jede Webseite Benutzername und Passwort.

In einem weiteren Artikel werde ich Ihnen die Software KeePass vorstellen, die ein mächtiges Werkzeug zur Passwortverwaltung darstellt. (hri)

Schreibe einen Kommentar