Ein sicheres Passwort? Darauf kommt es an

IT-Experte Tobias Heintz erklärt das 1x1 der Passwortsicherheit

Ein sicheres Passwort besteht aus Buchstaben, Zahlen und Sonderzeichen. So heißt es. Wir befragen IT-Experte Tobias Heintz von  der Universität Potsdam, ob das stimmt und warum das Thema Sicherheit bei der Nutzung des Internets so wichtig ist.

Herr Heintz, muss ich mich als Privatperson mit dem Thema Internetsicherheit auseinandersetzen?

Ja, auf jeden Fall. Das Gefühl „Bei mir ist nichts zu holen“, das viele haben, ist falsch. Nicht nur große Firmen oder sehr vermögende Menschen sind für Internetkriminelle interessant.

Betrügern geht es bei ihren Angriffsversuchen nicht nur darum, Firmengeheimnisse auszuspionieren oder riesige Beträge von irgendwelchen Bankkonten abzubuchen. Beim Phishing zum Beispiel gehen sie auf Masse. Sie programmieren eine E-Mail, die so aussieht, als wäre sie von Ihrer Bank oder einem bekannten Unternehmen. Dann verschicken sie sie an tausende Empfänger auf einmal. Wenn sich nur zwei oder drei darauf zurückmelden, hat sich der geringe Arbeits- und Zeitaufwand bereits gelohnt.

Wieso? Was genau ist Phishing?

Beim Phishing verschicken Datendiebe E-Mails im großen Stil. Die sehen so aus wie die von Banken oder Firmen wie Amazon oder Ebay. Der Text in der E-Mail macht die Empfänger zumeist auf ein Problem aufmerksam. Zum Beispiel: „Ihr Konto wurde gesperrt. Bitte klicken Sie auf den folgenden Link, um es wieder zu aktivieren.” Über den Link erreicht man eine von den Betrügern erstellte Webseite, die dem Internetportal der Bank sehr ähnlich sieht. Um Ihr „Konto zu entsperren” sollen Sie dort sensible Daten, wie zum Beispiel Ihre Kontonummer, Ihr Passwort oder sogar TAN angeben.

Alles, was Sie dort verraten, speichern die Betrüger ab. Sie haben fortan Zugriff auf Ihr Konto. Und das, ohne viel dafür zu tun. Sie verschicken lediglich eine E-Mail und warten dann ab, dass Ihre Beute von alleine zu ihnen kommt. 

Das ist beim Hacken von Passwörtern anders.

Richtig. Passwörter zu hacken, kann unter Umständen sehr viel Zeit in Anspruch nehmen. Wenn Sie ein extrem sicheres Passwort gewählt haben, brauchen dafür selbst ausgefeilte Programme Jahre. Diesen Aufwand betreiben viele Hacker nicht. Oder sie geben irgendwann auf. 

Das heißt aber auch, dass theoretisch jedes Passwort knackbar ist?

Ja. Wird ein Angriff nicht abgebrochen, probieren die Programme der Hacker so lange verschiedene Zeichenkombinationen aus, bis sie ein Passwort gefunden haben. Wie gesagt: So sieht das in der Theorie aus. In der Praxis macht sich niemand diese Arbeit, denn das braucht extrem viel Rechenleistung.

Bei einfachen Passwörtern ist das anders. Mit einfachen Passwörtern meine ich zum Beispiel Wörter aus dem alltäglichen Sprachgebrauch wie „Blume“, „Sommer“ oder Ähnliches. In diesem Fall haben Hacker leichtes Spiel. Sie arbeiten dann mit einer sogenannten Dictionary-Attacke. Dabei geht ein Rechner alle Wörter aus einem Wörterbuch (englisch: Dictionary) durch und probiert eins nach dem anderen aus. Das geht ziemlich schnell, denn so viele Wörter gibt es nicht. 

file
IT-Experte Tobias Heintz (Universität Potsdam)

Was wäre eine bessere Variante für ein Passwort?

Am besten sichern Sie sich ab, indem Sie eine wahllose Abfolge von Buchstaben und Zahlen als Passwort wählen. Damit Hacker mit der Dictionary-Attacke nicht weiterkommen und eventuell schon deshalb aufgeben, darf da wirklich kein Zusammenhang bestehen. Der Name Ihrer Tochter oder Ihres Lieblingsfußballvereins fallen also raus.

Nehmen wir an, Ihr Passwort wäre „Br87jUhvg”. In dem Fall kann die Dictionary-Attacke nicht funktionieren, denn diese Zeichen bilden kein bekanntes Wort. Um es herauszufinden, gibt es jedoch auch eine Möglichkeit – die sogenannte Brute-Force-Attacke („rohe Gewalt”). Dabei probiert ein Rechner alle möglichen Zeichenkombinationen durch.

Angefangen beim A geht das weiter mit a, dann mit AA, oder Aa, oder aA. Sie sehen, alleine bei der Kombination von zwei gleichen Buchstaben gibt es etliche Möglichkeiten. Sie können sich sicher ausmalen, wie lange es dauert bis der Rechner bei „Br87jUhvg” angekommen ist. Je länger Ihr Passwort ist, desto mehr Möglichkeiten muss er durchspielen.

Man geht davon aus, dass ein Computer mehrere Milliarden Jahre braucht, um ein 20-stelliges Passwort, das nach dem Zufallsprinzip entstanden ist, zu hacken. Das lohnt sich für Betrüger einfach nicht mehr. 

Verstanden. Wer auf Nummer sicher gehen will, wählt ein Passwort, das aus vielen unzusammenhängenden Zeichen besteht.

Ja, das ist tatsächlich die sicherste Variante. Das stellt aber viele vor ein großes Problem. Denn wie soll man sich mehrere dieser Passwörter merken? Eines ist schließlich klar: Die größtmögliche Sicherheit haben Sie nur, wenn Sie für jedes Log-in ein anderes Passwort verwenden. Hacker haben sonst leichtes Spiel. Knacken sie ein Passwort, haben sie Zugriff auf alle Ihre Profile im Internet. 

Und was ist ihr Tipp, um sich komplexe Passwörter zu merken?

Ich weiß, überall wird dazu geraten Passwörter auf keinen Fall zu notieren und zum Beispiel  in der Schreibtischschublade zu verstecken. Ideal ist das tatsächlich nicht. Meiner Meinung nach ist es jedoch besser ein sehr sicheres Passwort zu haben und das aufzuschreiben, als ein Passwort wie „Mohnblume”. Die Wahrscheinlichkeit, dass bei Ihnen eingebrochen wird und der Einbrecher diesen Zettel mitnimmt, ist gering. Viel wahrscheinlicher ist es, dass Hacker versuchen auf einen Ihrer Accounts zuzugreifen. Die können das von überall auf der Welt und zu jedem Zeitpunkt. Und ohne, dass Sie oder die Polizei sie überraschen. 

Wie merken Sie sich denn Ihre vielen Passwörter?

Da ich einen Passwort-Manager benutze, muss ich mir nur ein einziges Passwort merken. Das ist extrem praktisch und sicher zugleich. Das Programm, das ich nutze, speichert, verschlüsselt und verwaltet alle meine Log-ins. Es verbindet also die Benutzernamen von E-Mail-Adressen, Konten fürs Online-Shopping oder Online-Banking mit den dazugehörigen Passwörtern.

Diese Passwörter erstellt der Passwort-Manager selber. Genau nach dem Muster, das ich schon beschrieben habe: Er wählt zufällige Zeichenkombinationen und die haben bis zu 20 Stellen. 

Ein Hacker muss also nur Ihr Master-Passwort kennen, um an alle Ihre Passwörter zu gelangen. Das ist doch ziemlich unsicher?

Nein, unsicher ist das nicht. Es stimmt: Ein Hacker bräuchte nur dieses Passwort. Da aber der Passwort-Manager lokal auf meinem Computer und auf meinem Smartphone gespeichert ist, kann er darauf gar nicht zugreifen. Wenn ich mein Master-Passwort eingebe, mache ich das nicht über das Internet. Hacker haben also keine Möglichkeit, mein Passwort über eine Datenverbindung anzugreifen.

Ein weiterer Pluspunkt: Der Passwort-Manager verschlüsselt alle gespeicherten Passwörter. Selbst wenn ein Hacker Zugriff auf meinen Log-in hätte: Die Passwörter würde er trotzdem nicht sehen. 

Gibt es neben einem sicheren Passwort sonst noch etwas, um sich vor Hackerangriffen zu schützen?

Sie kennen sicher das Sprichwort „Doppelt hält besser“. Das ist beim Thema Internetsicherheit auch der Fall. Viele E-Mail-Anbieter oder Online-Shops bieten ihren Kunden deshalb mittlerweile eine sogenannte Zwei-Faktor-Authentifizierung an.

Anstatt sich nur mit Ihrem Passwort einzuloggen, müssen Sie sich ein zweites Mal „ausweisen”. Bei Amazon funktioniert das zum Beispiel über einen Code, den Sie per SMS oder mithilfe einer App auf Ihr Handy geschickt bekommen. Erst, wenn Sie Ihr Passwort und dann den Code eingeben, können Sie auf Ihr Konto zugreifen.

Das ist wirklich eine tolle Möglichkeit, um seine persönlichen Daten zu schützen. Und sie kann mittlerweile ganz einfach bei vielen Online-Händlern und auch Zahlungsanbietern aktiviert werden. 

Beim Online-Banking gibt es diese zwei Stufen ja bereits länger.

Stimmt. Sie loggen sich zunächst mit Ihrem Passwort ins Online-Banking ein. Wenn Sie dann eine Überweisung auslösen möchten, brauchen Sie außerdem eine TAN.

So richtig sicher ist das jedoch nur, wenn Sie eines beachten: Lassen Sie sich zum Beispiel eine TAN auf Ihr Smartphone schicken, sollten Sie auf einem anderen Gerät die Überweisung abschließen. Auch das ist Teil der Zwei-Faktor-Logik.

Denn stellen Sie sich vor, jemand verschafft sich Zugriff auf das eine Gerät, mit dem Sie arbeiten. Dann kann diese Person sowohl Ihre Log-in Daten zum Online-Banking als auch die notwendige TAN einfach auslesen und dann Geld von Ihrem Konto abbuchen. Genauso ist das auch, wenn Sie die Zwei-Faktor-Authentifizierung bei Amazon oder einem anderen Unternehmen nutzen wollen. Der zweite Sicherheitsschritt sollte immer über ein zweites Gerät erfolgen.