WiWo App Jetzt gratis testen
Anzeigen
Von Nullen und Einsen

Das Passwort-Problem

Spektakuläre Fälle von Zugangsdatenklau kommen immer wieder vor. So schlimm sie für die Betroffenen auch sind: Anhand solcher Ereignisse lässt sich gut lernen, wo die Probleme der meisten Nutzer liegen. Ganz oben auf der Hitliste der Sicherheitsmissetaten: zu schwache Passwörter, die wiederholte Verwendung von Accountinfos und der zu laxe Umgang mit IT-Security. wiwo.de-Technik-Kolumnist Ben Schwan mit einigen grundlegenden Tipps.

  • Artikel teilen per:
  • Artikel teilen per:
Passwortabfrage auf einer Internetseite Quelle: Fotolia

Eine Datenbank mit fast 1,5 Millionen Datensätzen und ungefähr genauso vielen Passwörtern und Nutzernamen, der komplette Quellcode der internen Technik und zahlreiche private Mails und Chats zwischen den Angestellten: Das ist das Ausmaß eines Angriffes auf das US-Blog-Unternehmen Gawker, der in der vergangenen Woche bekanntwurde. Der Vorfall dürfte die betroffenen Nutzer und die attackierte Firma noch Monate beschäftigen. Denn der abgegriffene Datenberg kursiert noch immer im Netz und kann deshalb jederzeit weitere Folgeschäden verursachen, sollten Nutzer nicht ausreichend vorsorgen.

Die Sache ist äußerst übel für alle Betroffenen. Sie ist aber auch ein Lehrstück, wie Sicherheitsexperten meinen. Und so analysieren IT-Security-Spezialisten aus aller Welt zurzeit, was bei Gawker schief lief und wie Nutzer üblicherweise mit Informationssicherheit umgehen. Aus dem Hackereinbruch ist ein Studienobjekt geworden - mit einer großen statistischen Relevanz. Und in der Tat: Man kann einiges aus der Affäre lernen.

Duo Security, ein Sicherheitsunternehmen aus dem amerikanischen Ann Arbor, bei dem unter anderem der bekannte Internet-Security-Spezialit Dug Song mitarbeitet, hat die vielleicht interessanteste Analyse veröffentlicht. Dabei ging es zunächst um die Passwörter, die die Gawker-Nutzer verwendeten. Diese lagen zwar verschlüsselt in dem entwendeten Datenhaufen, doch verwendete das Medienunternehmen einen veralteten Algorithmus, der relativ leicht zu knacken war.

Passwort aus dem Wörterbuch

Die Top 25 der meistverwendeten Passwörter sollte zu denken geben: Das am häufigsten verwendete Passwort war "123456", das zweithäufigste schlicht "password". Zahllose andere Begriffe aus dem Wörterbuch fanden sich in der Liste, dabei sind es genau die, die sich mittlerweile enorm einfach ermitteln lassen. Hinzu kam, dass die Mehrzahl der Passwörter nur Zahlen und Buchstaben enthielt, keine Sonderzeichen. Auch das macht das Entschlüsseln leichter.

Nun dienten die entwendeten Zugangsdaten vor allem zu einem Zweck: dem Kommentieren auf den Gawker-Seiten. Da stellt sich natürlich die Frage, ob ein Passwort wirklich stark sein muss - die Sicherheitsrelevanz ist eher niedrig. Allerdings fanden andere IT-Security-Forscher heraus, dass die für das Blog-System verwendeten Passwörter erstaunlich häufig auch bei anderen Diensten verwendet wurden. Da in der entwendeten Datenbank auch E-Mail-Adressen von Google Mail und Co. enthalten waren, dürften Angreifer nun zunächst probieren, ob das Gawker-Passwort nicht auch jenes zum E-Mail-Zugang ist.

Lernen kann man daraus vor allem eines: Ohne sichere Passwörter sollte niemand mehr im Netz unterwegs sein, egal wie unwichtig das jeweilige Angebot erscheint. In vielen Fällen gelangt ein Angreifer über einfache Passwörter zumindest an eine E-Mail-Adresse und kann von dort aus weiter attackieren, mindestens Spam an sie verschicken.

Absicherung ist gar nicht schwer

Absicherung ist eigentlich nicht schwer: Mittlerweile besitzt jeder moderne Browser einen eingebauten Passwortmanager, mit dem man für jede angesurfte Seite ein neues Passwort hinterlegen kann. Allerdings sollte man dabei darauf achten, den Passwortmanager selbst mit einem Master-Passwort zu sichern, falls der Rechner einmal in falsche Hände geraten sollte.

Noch leichter geht es mit speziellen Passwortmanager-Programmen, die sich in nahezu alle Browser integrieren lassen. Dazu gehört etwa die freie Software Keepass. Gute Passwortmanager haben sogar einen integrierten Passwortgenerator eingebaut, in dem man die Anzahl von Sonderzeichen und andere Attribute festlegen kann. Merken muss man sich dabei auch hier nur noch ein (möglichst gutes!) Master-Passwort.

Wichtig ist mittlerweile auch eine vernünftige Passwortlänge. Je kürzer ein Passwort ist, desto schneller lässt es sich knacken. Deshalb ist es durchaus angebracht, eine kryptische Kombination mit 10, 12 oder gar 15 Buchstaben zu wählen. Wer Passwortmanager nicht mag, kann sich dabei eines Merktricks bedienen: der Bildung von Sätzen und der Nutzung des jeweiligen Anfangsbuchstabens. Aus "Ich trinke gerne Rotwein beim Abendessen." wird dann beispielsweise "ItgRbA." - so kommt man auch ohne Wörterbuchbegriffe aus.

Jetzt auf wiwo.de

Sie wollen wissen, was die Wirtschaft bewegt? Hier geht es direkt zu den aktuellsten Beiträgen der WirtschaftsWoche.
Diesen Artikel teilen:
  • Artikel teilen per:
  • Artikel teilen per:
© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%