Das kleine E1nm4le!ns des sicheren Passworts

Die neue App ist heruntergeladen und benötigt natürlich ein eigenes Login. Benutzername, E-Mail-Adresse und Passwort. Während die ersten beiden Dinge Hand in Hand gehen, fällt es oft schwer, sich auf die Schnelle ein cleveres Kennwort auszudenken.

Dafür gibt es sogar einen eigenen Begriff: Passwortmüdigkeit. Immer wieder neue Codes ausdenken, sie womöglich auch noch alle paar Wochen aktualisieren – laut einer amerikanischen Umfrage des nicht staatlichen Pew Research Center in Washington D.C. sind fast sieben von zehn Befragten von der Aufgabe überfordert, den Überblick über ihre Passwörter zu behalten.

Die Gefahren schlechter Passwörter

Wer jetzt den Fehler begeht, leicht zu merkende Kennwörter zu verwenden und diese vielleicht sogar immer wieder benutzt, tappt in eine gefährliche Falle. Wenn auch keine Multifaktor-Authentifizierung aktiv ist, läuft er oder sie Gefahr, das Konto schneller zu verlieren, als es eingerichtet wurde.

Einfache Passwörter schützen einen Account nicht ausreichend. Viele User sind sich dessen jedoch nicht bewusst und kennen den Unterschied zwischen einem sicheren und einem unsicheren Passwort nicht. Immerhin: Fast die Hälfte (45 Prozent) der befragten Personen gab an, sich Sorgen zu machen, ob ihre Passwörter stark und sicher sind.

Kennwörter, die aus Namen, Geburtsdaten oder dem Lieblingsschauspieler bestehen, sind es nicht. Sie sind zu einfach mit dem verknüpften Konto in Verbindung zu bringen bzw. schlichtweg zu gewöhnlich. Auch Begriffe aus dem Wörterbuch sollten Sie nicht verwenden. Einfache Buchstaben- und Zahlenfolgen wie qwertzu oder 123456 sind auch viel zu einfach zu erraten. Letzteres ist übrigens regelmäßig das Lieblingspasswort der Deutschen.

Passwörter im Visier: Die Standardverfahren der Angreifer

Mit einer einfachen Brute-Force-Attacke, bei der diverse Kombinationen von Buchstaben, Zahlen und Sonderzeichen ausprobiert werden, sind simple Passwörter schnell geknackt. Insbesondere kurze Kennwörter gehen bei diesem Angriff schnell in die Knie. Längere Codes halten einer Brute-Force-Attacke länger stand.

Zum Vergleich: Für das Knacken eines Passworts aus sechs Groß- und Kleinbachstaben, Ziffern und sogar Sonderzeichen benötigt ein Computer gerade einmal etwa eine Viertelstunde. Verdoppeln wir die Anzahl auf zwölf Zeichenfolgen sind es 19 Millionen Jahre.

Die Zeichenzahl ist aber auch nicht immer ausschlaggebend: Verwenden User ein langes Passwort, das so aber auch im Wörterbuch zu finden ist, schützt das nicht zwangsläufig vor einem virtuellen Einbruch. Zu einfach, zu schnell zu erraten: Eine sogenannte Wörterbuch-Attacke geht systematisch gebräuchliche Begriffe und Namen durch und probiert, ob sie zufällig funktionieren.

Mit KI-unterstützter Software geht das Cracken noch schneller. Nicht nur Malware ist von Laien im Handumdrehen aufgesetzt. Sicherheitsexperten fanden heraus, dass „51 Prozent der gängigen Passwörter innerhalb von einer Minute, 65 Prozent innerhalb einer Stunde, 71 Prozent innerhalb eines Tages und 81 Prozent innerhalb eines Monats geknackt werden können“, berichtete der Standard über eine Untersuchung der Security Heroes .

Keine gute Gegend für Passwörter: Das Darknet

Noch hinterlistiger ist das sogenannte Credential Stuffing. Bei dieser Methode greifen die Kriminellen auf vertrauliche Informationen zu, die bereits im Darknet veröffentlicht wurden. Selbst das sicherste Passwort ist letzten Endes unwirksam, wenn es bei mehr als einer App, Website oder Spieleaccount verwendet wird.

Ob Ihr Passwort bereits in einer illegalen Datenbank durch das Netz wabert, finden Sie mit der Website haveibeenpwned.com heraus. Ihre E-Mail-Adresse können Sie hier ebenfalls abfragen.

Und keine Sorge: Sie geben Ihre Log-in-Daten an der Stelle nicht frei Haus ab. Hinter dem Angebot steht Troy Hunt, Microsoft Regional Director und internationaler Referent für Informationssicherheit. Sein kostenloser Service speichert Ihre persönlichen Daten nicht, die Sie zur Prüfung eintippen. Die Daten werden lediglich mit einer Datenbank abgeglichen.

Und nun? Wie komme ich an ein sicheres Passwort?

Kompromittierte Passwörter sind die häufigste Ursache aller Datenschutzverletzungen und führen zu finanziellen Verlusten für Unternehmen und Verbraucher. Die Lösung: Unterschiedliche Passsätze oder Passphrasen. Zugegeben: Der Anbieter muss an der Stelle mitspielen und bei der Erstellung eines Passwortes entsprechend viel Platz zur Verfügung stellen.

Ganze Sätze sind naturgemäß länger als einzelne Wörter. Trotzdem lassen sie sich einfacher merken als ein Kennwort aus 18 Stellen inklusive zig verschiedener Sonderzeichen. Sätze wie Mein kleiner Hund ist schwarz und springt so gerne über Nachbars Zaun bestehen aus mehreren Begriffen, enthalten Groß- und Kleinschreibung und erfüllen damit einerseits viele Passwortrichtlinien und sind andererseits leichter zu merken.

Bietet eine Website oder ein Dienst Passsätze nicht an oder ist die Phrase zu lang, können Sie diese Herangehensweise trotzdem verwenden und aus der Passphrase ein Passwort machen. Verwenden Sie dann einfach die Anfangsbuchstaben: MkHisussgüNZ steht in keinem Wörterbuch und ist mit zwölf Zeichen gerade lang genug. Ein Eindringling mit einem modernen Computer bräuchte etwa 12.400 Jahre, um dieses Passwort zu knacken. Wenn Sie jetzt noch ein Sonderzeichen hinzufügen, sind Sie auf der sicheren Seite.

Je nach Konto oder Anbieter sollten Sie Ihren Satz entsprechend ändern, damit dasselbe Passwort nicht mehrfach verwendet wird. Sicherheit ist immer eine Abwägung. Sie geht oft zu Lasten des Komforts. Wem das alles zu kompliziert ist und wer es einfach nur ganz bequem und sicher haben möchte, greift zu einem Passwortmanager.

Passwortmanager: hilfreiche und vor allen Dingen sichere Software

Passwortmanager tun genau das, was ihr Name verrät: Sie managen Ihre Passwörter. Dafür speichern sie Ihre Kennwörter mit den passenden Usernamen bzw. E-Mails in einer Datenbank ab. Einzig und allein ein Masterpasswort müssen Sie sich noch merken, um eben diese Datenbank zu öffnen. Klingt nebulös? Ist es nicht!

Passwortmanager verschlüsseln die Datenbank mit einem sicheren Algorithmus, den sogar Banken verwenden. Dazu verwenden sie den Standard AES-256. Dieser kryptografische Vorgang findet auf Ihrem Endgerät statt. Das bedeutet: Selbst wenn ein Anbieter kompromittiert wird, haben Angreifer keinen Zugriff auf Ihre Codes. Die Zugangsdaten liegen verschlüsselt auf den Servern. Dieses Prinzip heißt Zero-Knowledge: Selbst der Host kann Ihre Daten nicht lesen.

Das bedeutet aber auch: Bewahren Sie das Masterpasswort sehr gut auf. Es ist der Schlüssel zu Ihrem Kennwörter-Tresor. Ist es futsch, sind es auch Ihre Passwörter. Ergänzen Sie noch eine weitere Sicherheitsebene, wie beispielsweise eine Multifaktor-Authentifizierung mit Ihrem Smartphone oder einer zusätzlichen Entschlüsselungsdatei, schützt das vor unautorisiertem Zugang, selbst wenn das Masterpasswort abgegriffen wurde.

Passwortmanager gibt es viele. Welcher Anbieter für Sie der richtige ist, können Sie mithilfe von unterschiedlichen Tests ermitteln. Allen gemeinsam sind die Grundfunktionen wie das verschlüsselte Speichern von Passwörtern und anderen sensiblen Daten wie Benutzernamen oder Kreditkarteninformationen, generieren von zufälligen und komplizierten Codes mittels Passwortgenerator sowie die Funktion zum Kopieren und Einfügen von Passwörtern für einfacheres Einloggen.

Wie funktionieren Passkeys?

Mit der Einführung von Passkeys ändert sich die Art und Weise, wie wir uns online authentifizieren, grundlegend. Der ganze Prozess rund um Passwörter gehört bald der Vergangenheit an. An seine Stelle tritt ein einfacherer, schnellerer und vor allem sicherer Mechanismus: die Passkeys. Sie basieren auf biometrischer Authentifizierung oder der Geräte-PIN.

Hinter Passkey steckt der offene Standard FIDO2, der von der nichtkommerziellen IT-Sicherheitsorganisation Fast Identity Online (FIDO) und dem World Wide Web Consortium (W3C) ins Leben gerufen wurde.

Und so funktioniert es: Wenn Sie sich zum ersten Mal mit einem Passkey bei einem Dienst anmelden, wird ein eindeutiges kryptografisches Schlüsselpaar erzeugt. Dieses Paar besteht aus einem öffentlichen und einem privaten Schlüssel. Der öffentliche Schlüssel liegt beim Dienst, der private Schlüssel ist sicher auf Ihrem Gerät verstaut.
Um sich beim Dienst anzumelden, autorisieren Sie Ihr Gerät, den privaten Schlüssel zu verwenden (z. B. durch Authentifizierung mit Ihrem Fingerabdruck, Gesichtserkennung oder einem Hardwareschlüssel). Ihr Gerät fordert dann den Dienst auf, die beiden Schlüssel zu vergleichen. Der Dienst überprüft die Signatur der Schlüssel und gibt den Zugriff frei. Da der private Schlüssel Ihr Gerät nie verlässt, sind Passkeys von Natur aus vor Phishing-Attacken geschützt.

Damit das Ganze aber auch bequem ist, müssen Passkeys in einem Passwortmanager gespeichert werden, sodass Sie Ihre Passkeys auch geräteübergreifend verwenden können.

Aber: Die Verbreitung von Passkeys ist derzeit noch im Gange. Nicht alle Websites und Apps unterstützen sie bereits. Und noch nicht alle erlauben es, das hinterlegte Passwort zu löschen, wenn ein Passkey eingerichtet ist. Nur dann wäre das Konto wirklich sicher. Je mehr Dienste auf Passkeys umstellen, desto weniger werden Sie sich mit herkömmlichen Passwörtern herumschlagen müssen.

Exkurs: Multifaktor-Authentifizierung – warum sie essenziell wichtig ist

Im Juli 2024 wurde The Walt Disney Company Opfer eines Cyberangriffs. Dabei gelangten vertrauliche Daten an die Öffentlichkeit. Einfallstor war der Rechner eines (mittlerweile ehemaligen) Arbeitnehmers. Ein Angreifer erlangte über eine infizierte Software Zugang zum Passwortmanager-Konto des unglücklichen Mitarbeiters. Sein großer Fehler: Der Passwortmanager war nicht mit einer Multifaktor-Authentifizierung gesichert. Daher reichte das Passwort, um an den Tresor zu gelangen und Zugriff auf die zahlreichen hinterlegten Konten und Kennwörter zu erhalten. Die ganze Geschichte lesen Sie hier.

So sicher ein Passwort auch ist: Verwenden Sie immer, falls möglich, eine zweite Sicherheitsebene. Eine SMS an Ihre Mobilnummer oder kostenlose Authentifizierungs-Apps wie FreeOTP verhindern, dass abgegriffene Kennwörter zu einem Risiko werden.

Eine umfassende Herangehensweise ist Zero Trust. Dabei handelte es sich nicht etwa um eine weitere Software, sondern um eine Art Architektur, Ihre IT rundum sicher zu errichten. Wie das genau funktioniert, erfahren Sie in diesem Blogbeitrag.