IT-Sicherheit: Passwörter und Log-in-Informationen:
Praxis: Online-Accounts müssen mit »starken« Passwörtern geschützt werden

von Bernd Reder (bernd.reder@networkcomputing.de)

Share
08.10.2009

Die jüngsten Angriffe auf Web-Mail-Dienste von Google, Microsoft und Yahoo haben gezeigt, dass viele User simpel gestrickte Log-in-Namen und Passwörter verwenden. Dies ist ein Sicherheitsrisiko. In einem Beitrag im Gmail-Weblog von Google gibt ein Fachmann des Unternehmens Hinweise, wie sich Nutzer von Online-Diensten vor Passwort-»Phishern« schützen können. Das A und O sind »starke« Passwörter.

Die jüngsten Phishing-Angriffe auf Web-Mail-Dienste wie Google Mail, Hotmail und Yahoo haben an den Tag gebracht, dass viele Nutzer solcher Dienste zu einfache Passwörter verwenden. Diese lassen sich relativ leicht knacken.

Die Log-in-Namen, sprich E-Mail-Adressen, und Passwörter mehrerer Tausend Hotmail-Nutzer wurden auf einer Web-Seite publiziert.

Viel schlimmer ist, dass viele User dieselben Authentifizierungsdaten für mehrere Online-Dienste verwenden, etwa für Google Mail und das Online-Banking – ein enormes Sicherheitsrisiko. In einem Beitrag im Gmail-Blog [1] von Google [2] gibt Michael Santerre, Mitarbeiter im Consumer-Operations-Bereich der Firma, Hinweise, wie »gute« Passwörter aussehen sollten.

Problem Nummer 1: Passwörter für mehrere Online-Dienste nutzen

Viele Online-Services, etwa E-Mail-Dienste, Ebay, Amazon oder E-Tailer, verlangen vom User, dass er einen Log-in-Namen und ein Passwort angibt. Ohne diese Daten erhält er – verständlicher Weise – keinen Zugang zum Angebot und zu seinen Adress- und Kontodaten, die auf dem Server des Anbieters gespeichert sind.

Kein Wunder, dass angesichts dieser Datenflut viele User dazu übergehen, dieselben Authentifizierungsdaten für mehrere Services nutzen. Die Gefahr: Ein Hacker, der einen Account knackt, erhält dadurch Zugang zu anderen Internet-Angeboten, die der User nutzt.

Lösung: Auch wenn es aufwändig ist, sollte der Nutzer für unterschiedliche Diente separate Log-in-Namen und Passwörter verwenden. Das gilt zumindest für wichtige Accounts, etwa für Online-Bankgeschäfte, Ebay oder Bezahldienste wie Paypal.

Eine Möglichkeit besteht laut Santerre darin, dass Nutzer einen Satz formuliert, der mit der betreffenden Site in Verbindung steht, und die ersten Buchstaben der Wörter verwendet. Ein Beispiel für einen Bank-Account: Aus »Wie viel Geld habe ich noch auf meinem Konto?« könnte das Passwort »Wvghinamk« entstehen.

Noch sicherer ist es, das Schlüsselwort mit Groß- und Kleinschreibung sowie Sonderzeichen und Zahlen zu ergänzen. Das könnte dann im Falle des Online-Bankzugriffs so aussehen: »1Wvg$HinaM8k?«

Problem Nummer 2: Passwörter auf Basis geläufiger Begriffe

Viele Passwörter enthalten Begriffe wie »Passwort« oder »admin«. Sehr beliebt sind auch simple Zahlen- und Buchstabenfolgen wie »1,2,3,4,5«, »qwertz« und »abcde«. Solche Begriffe lassen sich relativ einfach mit sogenannten Dictionary-Angriffen ermitteln.

Lösung: Wie bereit erwähnt, besser ein Passwort verwenden, das Buchstaben, Zahlen und Sonderzeichen enthält. Laut Michael Santerre gibt es bei einem Schlüsselwort mit acht Buchstaben in Kleinschreibweise »nur« 26 hoch 8 mögliche Kombinationen. Bei einem Begriff mit Groß-/Kleinschreibung, Ziffern und Sonderzeichen sind es 94 hoch 8. Das erschwert Angriffe erheblich.

Problem Nummer 3: Persönliche Informationen für Passwörter verwenden

Viele User bauen in Passwörter die Namen von Verwandten, Freunden, Haustieren oder Arbeitskollegen ein. Auch Geburts- und Hochzeitstage sind häufig vertreten. Angreifer wissen das natürlich und richten ihre Attacken entsprechend aus.

Hinzu kommt, dass es einfacher denn je ist, an persönliche Daten einer Person heranzukommen und somit an Hinweise auf verwendete Passwörter. Dazu tragen Online-Portale wie Xing, Facebook, StudiVZ et cetera bei. Aber auch Menschen, die solche Social-Networking-Dienste nicht nutzen, hinterlassen Spuren im Internet, etwa E-Mail-Adressen, Telefonnummern und so weiter.

Lösung: Persönliche Informationen aus dem Passwort heraushalten. Leider hat das den Effekt, dass ein solcher Begriff schwerer zu merken ist. Dafür ist er sicherer.

Problem Nummer 4: Der berühmte Post-it-Zettel mit den Log-in-Daten

Als Merkhilfe schreiben viele User Log-in-Informationen auf einen Zettel oder ein Post-it und verstauen diese Unterlagen an ihrem Arbeitsplatz oder zu Hause im Schreibtisch. Ebenfalls beliebt: das Post-it am Monitor oder unter der Tastatur.

Mit Tools wie der Security Suite von Steganos lassen sich Dateien, in denen Passwörter gespeichert sind, verschlüsseln und verstecken. Die Files werden in diesem Fall an eine Bilddatei angehängt.

Lösung: Ganz einfach, eine solche Zettelwirtschaft sollte der Anwender tunlichst vermeiden. Es sei denn, er bewahrt eine Passwortliste in seinem privaten Banksafe auf.

Wer Passwörter in einer Datei speichert, sollte diese möglichst verschlüsseln und sie unter einem unauffälligen Namen speichern (nicht »passwörter.txt«). Außerdem empfiehlt es sich, den File in einem »unauffälligen« Verzeichnis auf dem Rechner zu platzieren. Dafür nicht den Ordner »Eigene Dateien« verwenden.

Problem Nummer 5: An vergessene Passwörter herankommen

Angesichts der vielen Schlüsselwörter, die jedermann mittlerweile parat haben muss, ist es kein Wunder, dass man sich an das eine oder andere nicht mehr erinnert. Abhilfe bieten viele Online-Services an, indem sie »Vergesslichen« ihr aktuelles Passwort zumailen. Dumm nur, wenn der Betreffende ein E-Mail-Konto angegeben hat, das nicht mehr existiert

Lösung: Immer dafür Sorge tragen, bei der Registrierung bei einem Online-Service eine gültige E-Mail-Adresse anzugeben. Dabei im Hinterkopf behalten, dass etliche Web-Mail-Services eine stark limitierte Postfach-Größe haben. Wer nicht regelmäßig Nachrichten löscht, kann ein Überlaufen der Inbox provozieren, sodass auch die Mail mit dem Passwort im Daten-Nirwana landen kann.

Viele Services fordern vom Anwender, dass der ein Feld ausfüllt, das einen Hinweis auf das zu rekonstruierende Passwort enthält, etwa Geburtsort oder Mädchenname der Mutter. Das ist weniger sicher als eine Lösung, bei der der Nutzer selbst eine Kontrollfrage eingibt, etwa »Wo fand das erste Open-Air-Konzert statt, an dem ich teilnahm?«.

Noch sicherer ist es, wenn der Nutzer in die Antwort auf die Kontrollfrage Sonderzeichen integriert, beispielsweise: »Nürn&berg!«

[1] http://gmailblog.blogspot.com/2009/10/choosing-smart-password.html
[2] http://www.google.de/

Verwandte Artikel