Wie ich meinen Passwortdschungel gebändigt habe

Nein, dein Passwort ist nicht so clever. Dieser Text zeigt dir, was wirklich sicher ist – und wie du den Durchblick behältst.

1. Juli 2019  10 Minuten

Täglich logge ich mich in zahllose digitale Konten ein. 2 Cloud-Speicher, 3 verschiedene E-Mail-Dienstleister und dazu 4 Team-Kommunikationsprogramme. Um meine Arbeit zu koordinieren, nutze ich etwa Ring Central Glip, Trello und Asana. Sie alle helfen dabei, ein Team und seine remote arbeitenden Mitglieder effektiv miteinander zu vernetzen und up to date zu halten. Dann noch Online-Banking, Online-Magazine, Suchmaschinen, Datenbanken und zahllose Online-Shops. Alles kein Problem – bis ich letztens bei einem Login auf einen Sperrbildschirm traf …

Ein Hacker war in einen Online-Shop eingebrochen, bei dem ich ab und zu einkaufe, und hatte Passwörter gestohlen. Zur Sicherheit sollte ich mein Passwort ändern. Aber wo war überhaupt mein altes Passwort und wie lautete es?

Quelle: Screenshot copyright

Nachdem ich eine Stunde lang in Notizbüchern und auf Festplatten gesucht hatte, musste ich mir eingestehen: Beim Thema digitale Sicherheit hatte ich wohl einen blinden Fleck. Du schmunzelst jetzt und denkst, dass es dir anders geht? Dann kannst du sicher folgende Fragen mit »ja« beantworten:

  • Kannst du auswendig die Passwörter für deine letzten 10 Logins nennen, ohne zu raten?
  • Nutzt du unterschiedliche Passwörter für alle deine Konten?
  • Verzichtest du online immer darauf, »eingeloggt zu bleiben«?
  • Hast du noch nie ein Passwort per Mail oder Messenger verschickt?
Ich konnte leider nicht alles bejahen. Höchste Zeit also, die Sicherheit meines digitalen Kosmos zu überdenken sowie neu und besser zu strukturieren.

»Du musst echt mal einen Text zu Passwortsicherheit machen.« – Meine Kollegen

Aber wie geht das in der Praxis? Wo soll ich anfangen und welche Passwörter sind 2019 überhaupt noch sicher? Und wie kann ich eine hohe Sicherheit erreichen, ohne mir sinnlos lange Zahlenkombinationen zu merken?

Ich machte mich an die Arbeit, meine digitale Welt in eine Festung der Sicherheit zu verwandeln. Das habe ich dabei gelernt.

Wie es nicht geht: Diese Passwörter sind absolut daneben

Bei meiner Suche nach mehr Sicherheit stolpere ich über eine schockierende Zahl: Rund 86% aller Passwörter sind sehr wahrscheinlich unsicher. Dies hat der australische Web-Sicherheitsexperte und Entwickler Troy Hunt errechnet. Troy Hunt, der früher für Microsoft arbeitete, verfolgt seit Jahren Datenskandale und Datenlecks rund um den Globus und sammelt kompromittierte Informationen. »Have I been pwnded?« sammelt kompromittierte Passwörter, bisher 551 Millionen und steigend (englisch) Auf seiner Website Have I been pwned? (auf Deutsch übersetzt: Hat es mich erwischt?) kann jeder Nutzer überprüfen, ob seine E-Mail-Adresse oder sein Passwort in einem Datenleck vorkommt und damit Sicherheitsalarm angesagt ist.

Beim großen US-Datenskandal um Der Datenklau bei CashCrate (englisch, 2017) die Umfrage-Website CashCrate Hacker sind die bösen Jungs? Von wegen. Maximilian Doré zeigt, wie gute Hacker dein Smartphone sicherer machen wurden von Hackern über 2 Millionen Passwörter gestohlen. Diese verglich Troy Hunt mit einer Datenbank bereits kompromittierter Passwörter und musste feststellen, dass 86% davon bereits vorkamen – also vorher schon unsicher waren. Hacking-Programme nutzen immer auch Listen bekannter, häufiger Passwörter, bevor sie beliebige Kombinationen ausprobieren. Datenleck-Beuten sind für diese Zwecke wie eine Goldgrube voller möglicher Schlüssel – die dann an anderen Orten ausprobiert werden. Das heißt, dass 86% der Nutzer sie trotz des Risikos weiterverwendet haben oder dass die Passwörter so einfallslos und simpel waren, dass sie sich mit einem bekannten unsicheren Passwort doppelten.

Beispiele gefällig?

  • 123456 (die ersten 6 Zahlen)
  • qwerty (die ersten 6 Buchstaben einer US-amerikanischen Tastatur)
  • password1 (auch eine Zahl dahinter macht das dümmste Passwort der Welt nicht besser)
  • CashCrate123 (der Name der Website)
  • I love nikki (wahrscheinlich schön für Nikki; aber nicht sicher)

Wie entstehen Datenlecks und kompromittierte Passwörter?

Ironischerweise lautet die Antwort: durch unsichere Passwörter. Das Sicherheitsunternehmen »tracesecurity« schätzte im August 2018, dass 81% aller Datenlecks weltweit durch unsichere Passwörter von Mitarbeitern entstanden sind.

Auch wir in Deutschland machen es nicht besser. Unter den 10 häufigsten Passwörtern hierzulande sind immer noch T3N zu den häufigsten deutschen Passwörtern des Jahres 2018 »123456«, »ficken«, »master«, »hallo 123« und »passwort«.

All diese Passwörter seien, so erklärt Troy Hunt, zu einfach und schnell zu knacken – und das hat auch etwas mit modernem Hacking zu tun. Denn heute setzen böse Jungs auf Hacking-Programme mit moderner Rechenpower. Wäre ein Passwort wie »Spiderman97« im Jahr 2000 noch halbwegs annehmbar gewesen, hält es heute einem Einbruchsversuch keine 12 Minuten stand. Vor allem Namen, bekannte Figuren, Orte und angehängte simple Wer selbst ausprobieren möchte, wie schnell das eigene Passwort geknackt werden kann, kann dies auf dieser Website tun Zahlen sind beim Thema Sicherheit heute nahezu wertlos. Sogenannte Wörterbuch-Angriffe knacken sie in Sekunden. Und ist ein großer Teil des Passwortes sehr geläufig, ist die Chance zudem sehr hoch, dass es sich mit einem Passwort doppelt, das bereits gestohlen wurde. Oder wie Troy Hunt es formuliert: Das Blog des Sicherheitsexperten Troy Hunt (englisch, 2018) »Einzigartigkeit spielt (bei Passwörtern) noch immer eine enorme Rolle.«

Dass sich so viele Menschen auf ihre unsicheren Passwörter im Netz verlassen, liegt allerdings auch an den Websites selbst. Die Deutsche Telekom empfiehlt für ein Onlinekonto mindestens 8 Zeichen, Groß- und Kleinbuchstaben und ein Sonderzeichen. Das Problem: Das trifft auch auf »Passwort12« zu – ich mache den Test und tatsächlich signalisiert die Telekom grünes Licht für »sicher«. Der Onlinehändler Amazon schießt mit der einzigen Empfehlung »Passwörter müssen mindestens 6 Zeichen lang sein« den Vogel ab, gibt gar keine Einschätzung zur Sicherheit und erlaubt sogar »123456« zum Registrieren. Bei so niedriger Sicherheit könnte man auch gleich die Kreditkartennummer samt Prüfziffer online posten.

Troy Hunt findet deshalb: »Traditionelle Passwortregeln sind grauenhaft und sie müssen einen feurigen Tod sterben.« Er fordert Websites deshalb auf, bekannte unsichere Passwörter, die auf den Listen von Have I been pwned? vorkommen, generell zu sperren, und die eigenen Regeln zur Passworterstellung zu überarbeiten.

Nachdem ich jetzt also die Stolperfallen kenne, muss ich es selbst erst mal besser machen. Dazu hole ich mir bei einem deutschen Sicherheitsexperten Rat, wie es richtig geht.

Quelle: Screenshot copyright

Das sicherste Passwort lautet …

Titelbild: Muhammad Raufan Yusup - CC0

von Dirk Walbrühl 

Dirk ist ein Internetbewohner der ersten Generation. Ihn faszinieren die Möglichkeiten und die noch junge Kultur der digitalen Welt, mit all ihren Fallstricken. Als Germanist ist er sich sicher: Was wir heute posten und chatten, formt das, was wir morgen sein werden. Die Schnittstellen zu unserer Zukunft sind online.

Themen:  Technik   Internet   Deutschland  

Die Diskussionen sind leider nur für Mitglieder verfügbar.

Weitere Artikel für dich