Praxis: Starke Passwörter für Online-Accounts

von Lars Bube (lars.bube@crn.de), Bernd Reder

Share
09.10.2009

Eine der bitteren Lehren aus den jüngsten Angriffen auf die Web-Mail-Dienste von Google, Microsoft und Yahoo lautet: Die meisten User scheren sich weiterhin nicht sonderlich um die Sicherheit ihrer Passwörter und machen es den »Phishern« damit unnötig leicht, an ihre Daten zu kommen.

Viele Nutzer überlassen den Phishern ihre Zugangsschlüssel quasi auf Samt gebettet.

Während viele Nutzer sich durch die Angriffe auf Web-Mail-Dienste wie Google Mail, Hotmail und Yahoo in den vergangenen Tagen verunsichert fühlen, scheint die wichtigste Lektion weiterhin an ihnen vorbei zu gehen: Das A und O sicherer Onlinezugänge sind »starke« Passwörter, die sich aus Buchstaben und Zahlen zusammensetzen und nicht allzu leicht zu erraten sind. Eine Untersuchung der geknackten Accounts ergab jedoch, dass sich unter den zehn häufigsten Passwörtern [1] fast ausschließlich so stupide Zugangssicherungen wie »123456« oder »111111« befanden. Ebenfalls immer wieder gerne genommen ist auch das genauso schmachtende wie unsichere »iloveu«.

Noch schlimmer wird die Sache dann, wenn die Nutzer – wie bei den jüngsten Attacken ebenfalls beobachtet – ihr Passwort gleich für mehrere Dienste einsetzen. Damit öffnet man den Phishern natürlich Tür und Tor, gleich noch mehr Daten abzugreifen, wenn sie sich erstmal einen Zugang erschlichen haben. Im besten Fall haben sie dann mit den Email-Daten auch gleich den Schlüssel für das Online-Banking in der Hand.

Um solche Super-GAUs in Zukunft zu vermeiden, hat Michael Santerre, Google-Mitarbeiter im Consumer-Operations-Bereich, in seinem Blog fünf einfache aber grundlegende Tipps zusammengefasst, wie »gute« Passwörter aussehen sollten.

Tipp 1: Ein Passwort reicht selten allein

Die Log-in-Namen, sprich E-Mail-Adressen, und Passwörter mehrerer Tausend Hotmail-Nutzer wurden auf einer Web-Seite publiziert.

1. Viele Online-Services, etwa E-Mail-Dienste, Ebay, Amazon oder E-Tailer, verlangen vom User, dass er einen Log-in-Namen und ein Passwort angibt. Ohne diese Daten erhält er – verständlicher Weise – keinen Zugang zum Angebot und zu seinen Adress- und Kontodaten, die auf dem Server des Anbieters gespeichert sind. Kein Wunder, dass angesichts dieser Datenflut viele User dazu übergehen, dieselben Authentifizierungsdaten für mehrere Services nutzen. Die Gefahr: Ein Hacker, der einen Account knackt, erhält dadurch Zugang zu anderen Internet-Angeboten, die der User nutzt.

Lösung: Auch wenn es aufwändig ist, sollte der Nutzer für unterschiedliche Diente separate Log-in-Namen und Passwörter verwenden. Das gilt zumindest für wichtige Accounts, etwa für Online-Bankgeschäfte, Ebay oder Bezahldienste wie Paypal. Eine Möglichkeit besteht laut Santerre darin, dass Nutzer einen Satz formuliert, der mit der betreffenden Site in Verbindung steht, und die ersten Buchstaben der Wörter verwendet. Ein Beispiel für einen Bank-Account: Aus »Wie viel Geld habe ich noch auf meinem Konto?« könnte das Passwort »Wvghinamk« entstehen. Noch sicherer ist es, das Schlüsselwort mit Groß- und Kleinschreibung sowie Sonderzeichen und Zahlen zu ergänzen. Das könnte dann im Falle des Online-Bankzugriffs so aussehen: »1Wvg$HinaM8k?«

Tipp 2/3: »EwigeLiebe« ist kein gutes Passwort

2. Viele Passwörter enthalten Begriffe wie »Passwort« oder »admin«. Sehr beliebt sind auch simple Zahlen- und Buchstabenfolgen wie »1,2,3,4,5«, »qwertz« und »abcde«. Solche Begriffe lassen sich relativ einfach mit sogenannten Dictionary-Angriffen ermitteln.

Lösung: Wie bereit erwähnt, besser ein Passwort verwenden, das Buchstaben, Zahlen und Sonderzeichen enthält. Laut Michael Santerre gibt es bei einem Schlüsselwort mit acht Buchstaben in Kleinschreibweise »nur« 26 hoch 8 mögliche Kombinationen. Bei einem Begriff mit Groß-/Kleinschreibung, Ziffern und Sonderzeichen sind es 94 hoch 8. Das erschwert Angriffe erheblich.

3.Als Ersatz bauen viele User in ihre Passwörter die Namen von Verwandten, Freunden, Haustieren oder Arbeitskollegen ein. Fast ebenso häufig sind Geburts- und Hochzeitstage vertreten. Angreifer wissen das natürlich auch und richten ihre Attacken entsprechend aus. Hinzu kommt, dass es einfacher denn je ist, an persönliche Daten einer Person heranzukommen und somit an Hinweise auf verwendete Passwörter. Dazu tragen Online-Portale wie Xing, Facebook, StudiVZ et cetera bei. Aber auch Menschen, die solche Social-Networking-Dienste nicht nutzen, hinterlassen Spuren im Internet, etwa E-Mail-Adressen, Telefonnummern und so weiter.

Lösung: Persönliche Informationen aus dem Passwort heraushalten. Leider hat das den Effekt, dass ein solcher Begriff schwerer zu merken ist. Dafür ist er sicherer.

Tipp 4: Gut versteckt ist halb gewonnen

Mit Tools wie der Security Suite von Steganos lassen sich Dateien, in denen Passwörter gespeichert sind, verschlüsseln und verstecken. Die Files werden in diesem Fall an eine Bilddatei angehängt.

4. Als Merkhilfe schreiben viele User Log-in-Informationen auf einen Zettel oder ein Post-it und verstauen diese Unterlagen an ihrem Arbeitsplatz oder zu Hause im Schreibtisch. Ebenfalls beliebt: das Post-it am Monitor oder unter der Tastatur.

Lösung: Ganz einfach, eine solche Zettelwirtschaft sollte der Anwender tunlichst vermeiden. Es sei denn, er bewahrt eine Passwortliste in seinem privaten Banksafe auf.

Auch wer Passwörter in einer Datei speichert, ist nicht vor Dieben gefeit und sollte diese daher möglichst verschlüsseln und sie unter einem unauffälligen Namen speichern (nicht »passwörter.txt«). Außerdem empfiehlt es sich, den File in einem »unauffälligen« Verzeichnis auf dem Rechner zu platzieren. Dafür nicht den Ordner »Eigene Dateien« verwenden.

Tipp 5: Versteckte Passwörter wieder finden

5. Angesichts der vielen Schlüsselwörter, die jedermann mittlerweile parat haben muss, ist es kein Wunder, dass man sich an das eine oder andere nicht mehr erinnert. Abhilfe bieten viele Online-Services an, indem sie »Vergesslichen« ihr aktuelles Passwort zumailen. Dumm nur, wenn der Betreffende ein E-Mail-Konto angegeben hat, das nicht mehr existiert.

Lösung: Immer dafür Sorge tragen, bei der Registrierung bei einem Online-Service eine gültige E-Mail-Adresse anzugeben. Dabei im Hinterkopf behalten, dass etliche Web-Mail-Services eine stark limitierte Postfach-Größe haben. Wer nicht regelmäßig Nachrichten löscht, kann ein Überlaufen der Inbox provozieren, sodass auch die Mail mit dem Passwort im Daten-Nirwana landen kann.

Viele Services fordern vom Anwender, dass der ein Feld ausfüllt, das einen Hinweis auf das zu rekonstruierende Passwort enthält, etwa Geburtsort oder Mädchenname der Mutter. Das ist weniger sicher als eine Lösung, bei der der Nutzer selbst eine Kontrollfrage eingibt, etwa »Wo fand das erste Open-Air-Konzert statt, an dem ich teilnahm?«.

Noch sicherer ist es, wenn der Nutzer in die Antwort auf die Kontrollfrage Sonderzeichen integriert, beispielsweise: »Nürn&berg!«

[1] http://www.acunetix.com/blog/websecuritynews/statistics-from-10000-leaked-hotmail-passwords/

Verwandte Artikel