Onlinezugänge richtig sichern
Der erste Donnerstag im Mai ist Welt-Passwort-Tag. Er soll daran erinnern, sich bei Zugängen zu Onlinekonten mit starken Passwörtern abzusichern.
Aus Anlass des morgigen World Password Day warnt der deutsche Routeranbieter Devolo vor zu simplen Passwörtern. Noch immer seien Zeichenfolgen wie „12345678“ oder „Passwort“ schnell getippt, leicht zu merken und deshalb verführerisch. Doch sicher, da sind sich alle Experten einige, sind solche Passwörter nicht.
Selbst scheinbar kompliziertere Passwörter sind oft leicht zu knacken. Besonders gefährlich wird es dann, wenn ein und dasselbe Kennwort für mehrer Onlinekonten verwendet wird. Denn immer wieder gelingt es Hackern, große Mengen von Zugangsdaten zu ergaunern. Wer wissen will, ob seine Onlinezugänge bereits einmal Ziel von Angriffen gewesen sind, kann dies seit 2014 beim Potsdamer Hasso-Plattner-Institut (HPI) erfragen. Unter https://sec.hpi.de/ilc steht der Identity Leak Checker kosten los zur Verfügung. Dort kann jeder Internetnutzer durch Eingabe seiner E-Mail-Adresse prüfen lassen, ob Identitätsdaten von ihm frei im Internet kursieren und missbraucht werden könnten. Mittlerweile ermöglichen die Sicherheitsforscher den Abgleich mit fast 15 Mrd. gestohlener und im Internet frei verfügbarer Identitätsdaten. Die Daten stammen aus mehr als 1000 Leaks – allein im Jahr 2020 wurden bereits mehr als 480 Mio. gestohlene Nutzerkonten eingepflegt.
Schwachstellen sind Sicherheitsrisiko
„Der World Passwort Day erinnert uns alle daran, dass schwache Zahlenreihen weltweit weiterhin viel zu häufig genutzt werden und ein erhebliches Sicherheitsrisiko darstellen“, so HPI-Direktor Christoph Meinel. Auch die weit verbreitete Mehrfachnutzung von Passwörtern für unterschiedliche Dienste sei extrem leichtsinnig, wenn man bedenke, welche Schäden hierdurch entstehen könnten.
Die wichtigsten Regeln zur Erstellung starker Passwörter sind laut HPI: Die Länge des Passworts sollte mindestens 15 Zeichen umfassen. Dann sollte das Passwort möglichst viele verschiedene Zeichentypen (Buchstaben, Ziffern, Sonderzeichen) sowie Groß- und Kleinschreibung mit einbeziehen.
Keine sinnvollen Zeichenfolgen
Ein weiterer Tipp der Sicherheitsforscher ist, keine Begriffe aus dem Wörterbuch oder andere „sinnvolle“ Zeichenfolgen verwenden. Neben den Brute-Force-Attacken seien vor allem „Wörterbuchangriffe“ üblich, um Passwörter zu knacken: Hierbei werden Listen mit Wörtern genutzt, um fremde Passwörter zu entschlüsseln.
Auch sollte niemals dasselbe Passwort für mehrere Konten verwendet werden. Wird ein Passwort geknackt, ermöglicht es Kriminellen sonst den Zugang zu allen anderen Diensten. Hier empfehlen die HPI-Forscher wie auch die Fachleute bei Devolo, im Zweifel auf die Dienste eines Passwort-Managers zurückzugreifen. Diese Programme verwalten die Zugangsdaten vieler Onlinekonten abgesichert durch ein Master-Passwort.
Namen und Geburtsdaten sind tabu
Dass niemals persönliche Informationen wie Namen, Geburtsdaten, Haustiernamen, Namen der Partner oder der jeweiligen Anwendung (z. B. „Adobe“) verwendet werden sollten, leuchtet leicht ein, denn diese Daten könnten von Angreifern im jeweiligen Kontext leicht erraten werden.
Bei den Banken ist es im Onlinebanking schon obligatorisch, empfiehlt sich aber wo immer möglich auch bei anderen Onlinezugängen: die sogenannte 2-Faktor-Authentifizierung nutzen. Hier wird neben dem klassischen Passwort z. B. noch eine Sicherheitsabfrage per Smartphone-SMS nachgeschaltet, um sicherzugehen, dass der Zugang berechtigterweise erfolgt. Auch biometrische Merkmale wie Fingerabdruck oder das Bild des Gesichts werden bei bestehender technischer Grundlage von einigen Diensten als Identifikation genutzt.
Passwörter nicht regelmäßig wechseln
Eine Empfehlung früherer Jahre wurde jetzt auch in den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) gekippt: der Ratschlag, Passwörter möglichst regelmäßig zu wechseln. Das sei angesichts vieler verschiedener Onlinekonten pro Nutzer nicht empfehlenswert, weil es dazu verleite, einfache, leicht zu merkende Passwörter zu vergeben. Besser sind sichere, komplexe Kennwörter, die dann auch nicht so oft gewechselt werden müssen. Und im Zweifel beim HPI nachschauen, ob der eigene Zugang gehackt wurde.