Das beliebteste Passwort in Deutschland im vergangenen Jahr lautete „123456", gefolgt von der kürzeren Version „12345“ und dem etwas längeren „123456789“. Das hat das Hasso-Plattner-Institut in Potsdam ermittelt und dabei festgestellt, dass es kaum eine Veränderung im Vergleich zu 2017 gibt.
Und die Top 10 der am häufigsten benutzten Passwörter verblüfft noch mehr:
Platz 1: 123456
Platz 2: 12345
Platz 3: 123456789
Platz 4: ficken
Platz 5: 12345678
Platz 6: hallo123
Platz 7: hallo
Platz 8: 123
Platz 9: passwort
Platz 10: master
Jedes dieser Passwörter ist ein Sicherheitsrisiko, und jeder IT-Verantwortliche würde sich wohl die Haare raufen, sollte ein Mitarbeiter ein solches Kennwort benutzen. Denn Hacker brauchen nach Angaben des Züricher Datenschutzbeauftragten nicht einmal eine Sekunde, um es zu knacken.
© Photo by Marvin Ronsdorf on Unsplash
So gehen Angreifer vor
Doch wie machen sie das? Hacker haben laut Linus Neumann, selbst Hacker und Sprecher des Chaos Computer Clubs, eine ganz bestimmte Vorgehensweise. Zunächst suchen sie nach einer Schwachstelle in einer Software oder einem System. Dann entwickeln Angreifer eine Möglichkeit, diese Schwachstelle auszunutzen und Kontrolle über das System zu bekommen. Im Anschluss werden Viren oder Trojaner in das System eingeschleust oder gleich direkt Daten extrahiert.
„Viele Angriffe funktionieren über die menschliche Komponente“, erklärte Neumann auf dem Digital-Festival Tincon in Berlin. „Denn der Mensch ist oft die einfachere Schwachstelle als der Computer oder die Software.“ Mit sogenannten Phishing-Attacken versuchen Hacker beispielsweise an Zugangsdaten fürs Onlinebanking oder Accounts von PayPal, Amazon und eBay zu gelangen. Das Vorgehen dabei ist simpel. Mit einer E-Mail täuschen Angreifer ihre Opfer. Sie simulieren Gefahr für einen Account und bieten eine Möglichkeit, diese Gefahr abzuwenden. Das Opfer muss nur seine Daten auf einer täuschend echt aussehenden Webseite eingeben. Sobald die Eingabe erfolgt ist, haben die Angreifer Zugang zum jeweiligen Account und können zuschlagen.
Mit Brut-Force-Angriffen und Regenbogentabellen Passwörter knacken
Ein weiterer Weg, um an Passwörter zu gelangen, ist die Brut-Force-Methode. Dabei probieren Angreifer auf den Login-Seiten einer Plattform automatisiert alle möglichen Passwörter aus. Mit Hilfe von Rechenleistung und digitalen Wörterbüchern wie auch Passwortlisten werden auf diese Weise simple Kennwörter wie mit einer Brechstange in kurzer Zeit geknackt.
© Photo by Denis Pavlovic on Unsplash
Einzige Voraussetzung dafür ist, dass die Log-in-Seite beliebig viele Eingaben zulässt. Ist das nicht der Fall, können Hacker noch versuchen, über die entsprechende Datenbank der Plattform auf die hinterlegten Passwörter der Nutzer zuzugreifen.
Um es den Datendieben schwerer zu machen, sind die Kennwörter verschlüsselt. Dafür verwenden Plattformen sogenannte Hashfunktionen – also Algorithmen, die beliebig lange Passwörter in eine Zeichenfolge (Hashwert) mit einer festen Länge umwandeln und nicht zurückzuübersetzen sind.
Aber wie können nun diese Passwörter geknackt werden? Sobald ein Angreifer den verwendeten Algorithmus kennt, kann er sich mit einem Hashgenerator und einer Liste von typischen Passwörtern selbst eine Liste mit Hashwerten erstellen – sogenannte Regenbogentabellen. Diese generierten Hashwerte vergleicht er anschließend mit denen aus der Datenbank. Stimmen die Werte überein, hat der Hacker das entsprechende Passwort gefunden.
Wie sieht ein sicheres Passwort aus?
Für Nutzer bedeutet das: Ein Passwort darf nicht gewöhnlich sein. Es sollte nicht aus Wörtern bestehen, auch nicht aus Lautworten, Namen oder Geburtsdaten. Laut Neumann sind vier Dinge besonders wichtig:
- Das Passwort sollte so lang wie möglich sein.
- Es sollte aus Zahlen, Buchstaben und Sonderzeichen bestehen.
- Das Passwort sollte eine zufällige und ohne jegliches System erstellte Lösung sein.
- Jede Plattform und jeder Dienst sollte ein eigenes Passwort erhalten.
Aber wie kann sich ein Mensch, der durchschnittlich Dutzende Accounts verwaltet, alle Passwörter merken? Das ist wohl kaum möglich. Deswegen empfiehlt Neumann die Verwendung eines Passwortmanagers. Dieser erstellt für jeden Account ein zufälliges Passwort. Der Nutzer braucht sich nur noch ein Hauptpasswort zu merken.
© Photo by Sandrachile on Unsplash
Doch auch das sollte den oberen Anforderungen entsprechen und noch merkbar sein. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Folgendes:
„Denken Sie sich einen Satz aus, der mindestens eine Zahl enthält, zum Beispiel: ‚Am liebsten esse ich Pizza mit vier Zutaten und extra Käse!‘
Daraus wird AleiPm4Z+2K!“
Dieses Passwort ist laut dem Züricher Datenschutzbeauftragtem stark. Die Rechenzeit für die Lösung beträgt gut 3.934 Jahre.
Doch Passwörter – selbst die sichersten der Welt – bieten keinen hundertprozentigen Schutz. Deswegen setzen Plattformen vermehrt auf Zwei-Faktor-Authentifizierung. Dabei wird neben dem Passwort noch mindestens eine weitere Sache zur Anmeldung benötigt: Das können individuelle Codes per SMS, ein Hardware-gestützter TAN-Generator oder biometrische Daten sein. Vor allem Hardware-gestützte Verfahren bieten laut BSI ein hohes Maß an Sicherheit und sollten – wenn möglich – ergänzend zu einem starken Passwort genutzt werden.
