Im Internet-Browser Microsoft Internet Explorer ist nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine Schwachstelle entdeckt worden. Betroffen seien IT-Systeme, die den Internet Explorer in den Versionen 7 oder 8 unter dem Betriebssystem Microsoft Windows XP sowie in den Versionen 8 und 9 unter Microsoft Windows 7 verwenden, teilte das BSI am Montag mit.
Bild: dapdDazu musste Joseph Bonneau allerdings nicht in Rechner einbrechen - er analysierte die sogenannten Hash-Werte der Passwörter. Das ist eine Art Fingerabdruck des Passworts mit dessen Hilfe Computer herausfinden können, ob ein Passwort richtig ist, ohne es im Klartext zu speichern. Die Hash-Werte lassen aber Rückschlüsse auf das Passwort zu.
Bild: dpaIn der Wirtschaft sieht es dagegen schlecht aus: Das weltweit beliebteste Passwort in der internationalen Wirtschaftswelt laut Studie ist das sehr unkreative „password1“, gefolgt von „welcome“, „password01“ und „password2“ - da wird das Passwort zur Einladung für Hacker.
Bild: ReutersDavon abgesehen spiegeln sich aber auch kulturelle Unterschiede in den Passwortgewohnheiten wieder. Die Vorliebe der Chinesen für Zahlen beispielsweise, zeigt sich auch bei den verwendeten Passwörtern. Damit landen die Chinesen im Gesamt-Ranking auf einem guten mittleren Platz weit vor den Briten. Beide müssen sich allerdings den Deutschen geschlagen geben - und unter diesen interessanterweise besonders den über 55-Jährigen. Ihre Passwörter sind besonders sicher. Die Passwörter der unter 25-jährigen seien dagegen nur halb so sicher. Allerdings könnte hier den Deutschen auch eine Eigenart ihrer Sprache helfen: Das Deutsche enthält ungewöhnlich viele lange Worte.
Bild: dpaDer Computerwissenschaftler fand Unterschiede und Gemeinsamkeiten zwischen den Kulturen heraus. Eine große interkulturelle Gemeinsamkeit: die Faulheit der Nutzer. Die Mehrzahl der Passwörter besteht aus gerade einmal sechs Zeichen - egal ob in Peking oder New York. Selbst ein sogenanntes „Skriptkiddie“, das nicht mehr beherrscht als bekannte Hacker-Tools einzusetzen, kann so ein Passwort innerhalb von rund zehn Minuten knacken - zumindest wenn der Computer einen Brute-Force-Angriff nicht durch technische Maßnahmen verhindert. Ein solcher Brute-Force-Angriff probiert automatisch Passwort-Kombinationen nach dem Zufallsprinzip aus - durch die große Anzahl der Versuche wird irgendwann die richtige Kombination dabei sein.
Doch wie kommen Nutzer nun zum einfachen und dennoch sicheren Passwort? Die wichtigste Regel zuerst: Wörter, die so im Lexikon stehen, sind absolut tabu. Weil viele Anmeldesysteme nur eine begrenzte Anzahl von Versuchen erlauben, sind Angreifer von der sogenannten Bruteforce-Methode abgekommen. Dabei werden einfach automatisiert sämtliche möglichen Buchstaben- und Nummerkombinationen durchprobiert. Stattdessen werden Listen mit Standard-Passwörtern abgearbeitet, die meist einfach aus Wörtern aus Lexika stammen.
Foto: ap
Sonderzeichen nutzen
Um sich das eigene Passwort trotzdem merken zu können, kann ein Wort mit Sonderzeichen, eigenwilliger Groß/kleinschreibung oder zusätzlichen Zahlen geschrieben werden. Beispiel: HaUspf@ndbr1ef23. Das "U" wird mitten im Satz groß geschrieben, das "A" wird durch ein "@" ersetzt, das "I" durch eine eins und am Ende des Wortes wird noch eine Nummer angehängt. Noch besser ist allerdings, wenn Sie einzelne Buchstaben mit weniger einfachen Regeln durch Zahlen ersetzen. Beispiel: Jedes "E" durch eine "11" ersetzen. Mögliche Eselsbrücke: Die Elf teilt mit dem "E" den selben Anfangsbuchstaben.
Foto: ap
Trick 17: Satz satt Wort merken
Eine noch elegantere Lösung, mit der sich relativ einfach ein Passwort merken lässt, das nicht einfach zu erraten ist, ist folgende Taktik: Statt eines Wortes merken Sie sich einfach einen Satz. Da es aber natürlich zu lange dauern würde, bei jeder Passworteingabe einen kompletten Satz zu schreiben, wählen Sie das Passwort so, dass es nur aus den Anfangsbuchstaben besteht. Ein Beispiel wäre der Satz: Meinen Rechner mache ich mit einem komplizierten Passwort sicher. Als Passwort wird daraus: MRmimekPs. In den meisten Fällen reichen natürlich kürzere Sätze - mindestens sechs Buchstaben sollten es aber sein. Eine Kombination, die sich anbietet, ist ein kurzer Satz zusammen mit einer Nummernkombination. Der Satz ist als Gedächtnisstütze für den Anfang gedacht. Wenn Sie das Passwort regelmäßig benutzen, werden Sie ihn irgendwann nicht mehr benötigen und geben das Passwort dann deutlich schneller ein.
Foto: dpa
Die Länge ist entscheidend
Auch auf die Länge beim Passwort kommt es an: Mindestens acht Zeichen sollte es betragen, um sich gegen einfache Brutforce-Attacken zu wappnen, bei denen einfach automatisiert sämtliche Zeichenkombinationen durchprobiert werden.
Foto: ap
Sicheres Passwort generieren lassen
Sie sind ein echter Sicherheitsfreak? Dann können Sie sich auf Seiten wie www.sicherespasswort.com auch ein sicheres Passwort in den Stufen "gut" bis "sehr stark" generieren lassen. Bei den sehr starken Passwörtern gibt es quasi keine Tricks mehr für eine Merkhilfe. Bei den anderen Stufen kann es helfen, sich für den Anfang einen dazugehörigen Satz zu merken. Aber Achtung: Wenn das Passwort so kompliziert wird, dass sie es sich aufschreiben müssen, ist der gesamte Sicherheitsgewinn dahin.
Wählen Sie lieber ein Passwort, das gerade so kompliziert ist, dass Sie ohne Merkhilfe auskommen. Wenn Sie trotz allem ein Gedächtnisstütze für ein Passwort benötigen, speichern Sie diese wenigstens verschlüsselt auf Ihrer Festplatte. Empfehlenswert ist beispielsweise das kostenlose TrueCrypt für Windows, Mac OS X und Linux. Doch in diesem Fall ist das Passwort natürlich maximal so sicher, wie das, mit denen die Daten verschlüsselt wurden.
Foto: ap
Bild: apNamen und Daten aus dem persönlichen Umfeld vermeiden
Nichts gegen Ihr Haustier: Aber als Gedächtnisstütze für Ihr Passwort sollte der Name Ihres Hundes oder Ihrer Katze auf keinen Fall herhalten. Auch der Name Ihres Partners, Ihrer Kinder, Ihr Geburtsdatum - oder das von Familienmitgliedern - sind absolute Tabus. Ein gezielter Angreifer, die Sie persönlich kennt, wird Begriffe und Daten aus Ihrem Umfeld als erstes ausprobieren. Leidvoll erfahren musste das Paris Hilton (Foto). Dem amerikanische Hacker, der sich Zugang zu den Daten der Millionen-Erbin verschafft hatte, machte es Hilton nicht schwer. Das Passwort lautete Tinkerbell - so wie ihr Hund.
Absolute No-Gos sind natürlich auch die am häufigsten verwendeten Standard-Passwörter wie "Passwort, "Passwort123", "Harry Potter", "Gandalf", "4711", "0815", "Hund", "Sommer", "test123" und ähnliches. Sehen Sie auch von Tricks ab, wie den eigenen Namen rückwärts zu schreiben oder einfach Vor- und Nachname zu vertauschen. Einer gezielten Attacke halten solche Methoden nicht stand.
Dazu musste Joseph Bonneau allerdings nicht in Rechner einbrechen - er analysierte die sogenannten Hash-Werte der Passwörter. Das ist eine Art Fingerabdruck des Passworts mit dessen Hilfe Computer herausfinden können, ob ein Passwort richtig ist, ohne es im Klartext zu speichern. Die Hash-Werte lassen aber Rückschlüsse auf das Passwort zu.
Die Schwachstelle werde bereits in gezielten Angriffen ausgenutzt und ermöglicht es Hackern, Computer unter ihre Kontrolle zu bringen. Zudem sei der Angriffscode auch frei im Internet verfügbar, sodass mit einer breitflächigen Ausnutzung rasch zu rechnen sei. Um die Schwachstelle auszunutzen reiche es aus, den Internetnutzer auf eine präparierte Webseite zu locken. Beim Anzeigen dieser Webseite könne dann durch Ausnutzen der Schwachstelle beliebiger Code auf dem betroffenen System mit den Rechten des Nutzers ausgeführt werden. Da ein Sicherheitsupdate des Herstellers derzeit nicht verfügbar sei, werde allen Nutzern des Internet Explorers empfohlen, einen alternativen Browser für die Internetnutzung zu verwenden. Das BSI stehe bezüglich einer Lösung zur Schließung der Schwachstelle mit Microsoft in Verbindung.
Microsoft hat daraufhin die Nutzer seines Web-Browsers Internet Explorer aufgefordert, umgehend eine Sicherheitssoftware für das Programm zu installieren. Mit der Installation der Sicherheitssoftware bietet Microsoft nach eigenen Angaben eine Übergangslösung an, um Zeit zu gewinnen bis zur Beseitigung des Problems beziehungsweise bis zur Einführung einer neuen Version des Internet Explorers. Das Sicherheitsprogramm mit dem Namen Enhanced Mitigation Experience Toolkit, oder EMET, steht auf der Microsoft-Internetseite zur Verfügung.
