Bild: dapdDazu musste Joseph Bonneau allerdings nicht in Rechner einbrechen - er analysierte die sogenannten Hash-Werte der Passwörter. Das ist eine Art Fingerabdruck des Passworts mit dessen Hilfe Computer herausfinden können, ob ein Passwort richtig ist, ohne es im Klartext zu speichern. Die Hash-Werte lassen aber Rückschlüsse auf das Passwort zu.
Bild: dpaIn der Wirtschaft sieht es dagegen schlecht aus: Das weltweit beliebteste Passwort in der internationalen Wirtschaftswelt laut Studie ist das sehr unkreative „password1“, gefolgt von „welcome“, „password01“ und „password2“ - da wird das Passwort zur Einladung für Hacker.
Bild: ReutersDavon abgesehen spiegeln sich aber auch kulturelle Unterschiede in den Passwortgewohnheiten wieder. Die Vorliebe der Chinesen für Zahlen beispielsweise, zeigt sich auch bei den verwendeten Passwörtern. Damit landen die Chinesen im Gesamt-Ranking auf einem guten mittleren Platz weit vor den Briten. Beide müssen sich allerdings den Deutschen geschlagen geben - und unter diesen interessanterweise besonders den über 55-Jährigen. Ihre Passwörter sind besonders sicher. Die Passwörter der unter 25-jährigen seien dagegen nur halb so sicher. Allerdings könnte hier den Deutschen auch eine Eigenart ihrer Sprache helfen: Das Deutsche enthält ungewöhnlich viele lange Worte.
Bild: dpaDer Computerwissenschaftler fand Unterschiede und Gemeinsamkeiten zwischen den Kulturen heraus. Eine große interkulturelle Gemeinsamkeit: die Faulheit der Nutzer. Die Mehrzahl der Passwörter besteht aus gerade einmal sechs Zeichen - egal ob in Peking oder New York. Selbst ein sogenanntes „Skriptkiddie“, das nicht mehr beherrscht als bekannte Hacker-Tools einzusetzen, kann so ein Passwort innerhalb von rund zehn Minuten knacken - zumindest wenn der Computer einen Brute-Force-Angriff nicht durch technische Maßnahmen verhindert. Ein solcher Brute-Force-Angriff probiert automatisch Passwort-Kombinationen nach dem Zufallsprinzip aus - durch die große Anzahl der Versuche wird irgendwann die richtige Kombination dabei sein.
Doch wie kommen Nutzer nun zum einfachen und dennoch sicheren Passwort? Die wichtigste Regel zuerst: Wörter, die so im Lexikon stehen, sind absolut tabu. Weil viele Anmeldesysteme nur eine begrenzte Anzahl von Versuchen erlauben, sind Angreifer von der sogenannten Bruteforce-Methode abgekommen. Dabei werden einfach automatisiert sämtliche möglichen Buchstaben- und Nummerkombinationen durchprobiert. Stattdessen werden Listen mit Standard-Passwörtern abgearbeitet, die meist einfach aus Wörtern aus Lexika stammen.
Foto: ap
Sonderzeichen nutzen
Um sich das eigene Passwort trotzdem merken zu können, kann ein Wort mit Sonderzeichen, eigenwilliger Groß/kleinschreibung oder zusätzlichen Zahlen geschrieben werden. Beispiel: HaUspf@ndbr1ef23. Das "U" wird mitten im Satz groß geschrieben, das "A" wird durch ein "@" ersetzt, das "I" durch eine eins und am Ende des Wortes wird noch eine Nummer angehängt. Noch besser ist allerdings, wenn Sie einzelne Buchstaben mit weniger einfachen Regeln durch Zahlen ersetzen. Beispiel: Jedes "E" durch eine "11" ersetzen. Mögliche Eselsbrücke: Die Elf teilt mit dem "E" den selben Anfangsbuchstaben.
Foto: ap
Trick 17: Satz satt Wort merken
Eine noch elegantere Lösung, mit der sich relativ einfach ein Passwort merken lässt, das nicht einfach zu erraten ist, ist folgende Taktik: Statt eines Wortes merken Sie sich einfach einen Satz. Da es aber natürlich zu lange dauern würde, bei jeder Passworteingabe einen kompletten Satz zu schreiben, wählen Sie das Passwort so, dass es nur aus den Anfangsbuchstaben besteht. Ein Beispiel wäre der Satz: Meinen Rechner mache ich mit einem komplizierten Passwort sicher. Als Passwort wird daraus: MRmimekPs. In den meisten Fällen reichen natürlich kürzere Sätze - mindestens sechs Buchstaben sollten es aber sein. Eine Kombination, die sich anbietet, ist ein kurzer Satz zusammen mit einer Nummernkombination. Der Satz ist als Gedächtnisstütze für den Anfang gedacht. Wenn Sie das Passwort regelmäßig benutzen, werden Sie ihn irgendwann nicht mehr benötigen und geben das Passwort dann deutlich schneller ein.
Foto: dpa
Die Länge ist entscheidend
Auch auf die Länge beim Passwort kommt es an: Mindestens acht Zeichen sollte es betragen, um sich gegen einfache Brutforce-Attacken zu wappnen, bei denen einfach automatisiert sämtliche Zeichenkombinationen durchprobiert werden.
Foto: ap
Sicheres Passwort generieren lassen
Sie sind ein echter Sicherheitsfreak? Dann können Sie sich auf Seiten wie www.sicherespasswort.com auch ein sicheres Passwort in den Stufen "gut" bis "sehr stark" generieren lassen. Bei den sehr starken Passwörtern gibt es quasi keine Tricks mehr für eine Merkhilfe. Bei den anderen Stufen kann es helfen, sich für den Anfang einen dazugehörigen Satz zu merken. Aber Achtung: Wenn das Passwort so kompliziert wird, dass sie es sich aufschreiben müssen, ist der gesamte Sicherheitsgewinn dahin.
Wählen Sie lieber ein Passwort, das gerade so kompliziert ist, dass Sie ohne Merkhilfe auskommen. Wenn Sie trotz allem ein Gedächtnisstütze für ein Passwort benötigen, speichern Sie diese wenigstens verschlüsselt auf Ihrer Festplatte. Empfehlenswert ist beispielsweise das kostenlose TrueCrypt für Windows, Mac OS X und Linux. Doch in diesem Fall ist das Passwort natürlich maximal so sicher, wie das, mit denen die Daten verschlüsselt wurden.
Foto: ap
Bild: apNamen und Daten aus dem persönlichen Umfeld vermeiden
Nichts gegen Ihr Haustier: Aber als Gedächtnisstütze für Ihr Passwort sollte der Name Ihres Hundes oder Ihrer Katze auf keinen Fall herhalten. Auch der Name Ihres Partners, Ihrer Kinder, Ihr Geburtsdatum - oder das von Familienmitgliedern - sind absolute Tabus. Ein gezielter Angreifer, die Sie persönlich kennt, wird Begriffe und Daten aus Ihrem Umfeld als erstes ausprobieren. Leidvoll erfahren musste das Paris Hilton (Foto). Dem amerikanische Hacker, der sich Zugang zu den Daten der Millionen-Erbin verschafft hatte, machte es Hilton nicht schwer. Das Passwort lautete Tinkerbell - so wie ihr Hund.
Absolute No-Gos sind natürlich auch die am häufigsten verwendeten Standard-Passwörter wie "Passwort, "Passwort123", "Harry Potter", "Gandalf", "4711", "0815", "Hund", "Sommer", "test123" und ähnliches. Sehen Sie auch von Tricks ab, wie den eigenen Namen rückwärts zu schreiben oder einfach Vor- und Nachname zu vertauschen. Einer gezielten Attacke halten solche Methoden nicht stand.
Dazu musste Joseph Bonneau allerdings nicht in Rechner einbrechen - er analysierte die sogenannten Hash-Werte der Passwörter. Das ist eine Art Fingerabdruck des Passworts mit dessen Hilfe Computer herausfinden können, ob ein Passwort richtig ist, ohne es im Klartext zu speichern. Die Hash-Werte lassen aber Rückschlüsse auf das Passwort zu.
Microsoft hat die gefährliche Sicherheitslücke in seinem Browser Internet Explorer geschlossen. Der Windows-Konzern veröffentlichte wie angekündigt ein umfangreiches Software-Update. Die Nutzer müssen entweder die automatische Update-Funktion aktiviert haben oder sich die Aktualisierung bei Microsoft herunterladen. Nur sehr wenige Anwender seien Ziel eines Angriffs über die Schwachstelle geworden, betont das Unternehmen.
Ein Großteil der Explorer-Nutzer - weltweit sind dies Hunderte von Millionen Menschen - hat ihren Computer so eingestellt, dass er das Update automatisch herunterlädt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte allen Nutzern des Programms Anfang der Woche empfohlen, bis zur Beseitigung der Schwachstelle auf alternative Browser für die Internetnutzung auszuweichen.
Ein Microsoft-Sprecher erklärte in der Nacht zum Donnerstag, nur eine kleine Minderheit der Explorer-Nutzer sei durch das Problem Opfer eines Hacker-Angriffs geworden.
Experten zufolge ermöglichte es die Schwachstelle Angreifern, Computer unter ihre Kontrolle zu bringen. Microsoft hatte zur Überbrückung die Installation einer Sicherheitssoftware empfohlen.
Über die nun geschlossene Schwachstelle kann ein Computer mit einem Trojaner - einer verdeckt agierenden Schadsoftware - infiziert werden. Dazu reicht es schon, eine präparierte Webseite zu besuchen. Zunächst hatte Microsoft Mitte der Woche eine Zwischenlösung ins Netz gestellt.
