Morgen ist Welt-Passwort-Tag 06. Mai 2020 Von Jens D. Billerbeck

Onlinezugänge richtig sichern

Der erste Donnerstag im Mai ist Welt-Passwort-Tag. Er soll daran erinnern, sich bei Zugängen zu Onlinekonten mit starken Passwörtern abzusichern.


Foto: panthermedia.net/designer491

Aus Anlass des morgigen World Password Day warnt der deutsche Routeranbieter Devolo vor zu simplen Passwörtern. Noch immer seien Zeichenfolgen wie „12345678“ oder „Passwort“ schnell getippt, leicht zu merken und deshalb verführerisch. Doch sicher, da sind sich alle Experten einige, sind solche Passwörter nicht.

Selbst scheinbar kompliziertere Passwörter sind oft leicht zu knacken. Besonders gefährlich wird es dann, wenn ein und dasselbe Kennwort für mehrer Onlinekonten verwendet wird. Denn immer wieder gelingt es Hackern, große Mengen von Zugangsdaten zu ergaunern. Wer wissen will, ob seine Onlinezugänge bereits einmal Ziel von Angriffen gewesen sind, kann dies seit 2014 beim Potsdamer Hasso-Plattner-Institut (HPI) erfragen. Unter https://sec.hpi.de/ilc steht der Identity Leak Checker kosten los zur Verfügung. Dort kann jeder Internetnutzer durch Eingabe seiner E-Mail-Adresse prüfen lassen, ob Identitätsdaten von ihm frei im Internet kursieren und missbraucht werden könnten. Mittlerweile ermöglichen die Sicherheitsforscher den Abgleich mit fast 15 Mrd. gestohlener und im Internet frei verfügbarer Identitätsdaten. Die Daten stammen aus mehr als 1000 Leaks – allein im Jahr 2020 wurden bereits mehr als 480 Mio. gestohlene Nutzerkonten eingepflegt.

Schwachstellen sind Sicherheitsrisiko

„Der World Passwort Day erinnert uns alle daran, dass schwache Zahlenreihen weltweit weiterhin viel zu häufig genutzt werden und ein erhebliches Sicherheitsrisiko darstellen“, so HPI-Direktor Christoph Meinel. Auch die weit verbreitete Mehrfachnutzung von Passwörtern für unterschiedliche Dienste sei extrem leichtsinnig, wenn man bedenke, welche Schäden hierdurch entstehen könnten.

Die wichtigsten Regeln zur Erstellung starker Passwörter sind laut HPI: Die Länge des Passworts sollte mindestens 15 Zeichen umfassen. Dann sollte das Passwort möglichst viele verschiedene Zeichentypen (Buchstaben, Ziffern, Sonderzeichen) sowie Groß- und Kleinschreibung mit einbeziehen.

Keine sinnvollen Zeichenfolgen

Ein weiterer Tipp der Sicherheitsforscher ist, keine Begriffe aus dem Wörterbuch oder andere „sinnvolle“ Zeichenfolgen verwenden. Neben den Brute-Force-Attacken seien vor allem „Wörterbuchangriffe“ üblich, um Passwörter zu knacken: Hierbei werden Listen mit Wörtern genutzt, um fremde Passwörter zu entschlüsseln.

Auch sollte niemals dasselbe Passwort für mehrere Konten verwendet werden. Wird ein Passwort geknackt, ermöglicht es Kriminellen sonst den Zugang zu allen anderen Diensten. Hier empfehlen die HPI-Forscher wie auch die Fachleute bei Devolo, im Zweifel auf die Dienste eines Passwort-Managers zurückzugreifen. Diese Programme verwalten die Zugangsdaten vieler Onlinekonten abgesichert durch ein Master-Passwort.

Namen und Geburtsdaten sind tabu

Dass niemals persönliche Informationen wie Namen, Geburtsdaten, Haustiernamen, Namen der Partner oder der jeweiligen Anwendung (z. B. „Adobe“) verwendet werden sollten, leuchtet leicht ein, denn diese Daten könnten von Angreifern im jeweiligen Kontext leicht erraten werden.

Bei den Banken ist es im Onlinebanking schon obligatorisch, empfiehlt sich aber wo immer möglich auch bei anderen Onlinezugängen: die sogenannte 2-Faktor-Authentifizierung nutzen. Hier wird neben dem klassischen Passwort z. B. noch eine Sicherheitsabfrage per Smartphone-SMS nachgeschaltet, um sicherzugehen, dass der Zugang berechtigterweise erfolgt. Auch biometrische Merkmale wie Fingerabdruck oder das Bild des Gesichts werden bei bestehender technischer Grundlage von einigen Diensten als Identifikation genutzt.

Passwörter nicht regelmäßig wechseln

Eine Empfehlung früherer Jahre wurde jetzt auch in den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) gekippt: der Ratschlag, Passwörter möglichst regelmäßig zu wechseln. Das sei angesichts vieler verschiedener Onlinekonten pro Nutzer nicht empfehlenswert, weil es dazu verleite, einfache, leicht zu merkende Passwörter zu vergeben. Besser sind sichere, komplexe Kennwörter, die dann auch nicht so oft gewechselt werden müssen. Und im Zweifel beim HPI nachschauen, ob der eigene Zugang gehackt wurde.

Stellenangebote

Staatliches Baumanagement Hannover

Ingenieur (m/w/d) der Fachrichtung Elektrotechnik

Hannover
Fachhochschule Aachen

Professur (W2) "Fahrzeuginterieur"

Aachen
Staatliches Baumanagement Hannover

Ingenieur (m/w/d) der Fachrichtung Versorgungstechnik

Hannover
Landesbetrieb Bau und Immobilien Hessen (LBIH) Zentrale

Architekten / Bauingenieure / Ingenieure der Versorgungstechnik (m/w/d) im Bau- und Gebäudemanagement

Gießen
HSR Hochschule für Technik Rapperswil

Professorin/Professor für Qualität und Nachhaltigkeit in der Industrie

Rapperswil (Schweiz)
Fraunhofer-Institut für Angewandte Festkörperphysik IAF

Leitung (m/w/d) der Abteilung Technische Dienste

Freiburg
Duale Hochschule Baden-Württemberg Stuttgart

Professur (W2) für Mechatronik

Stuttgart
Hochschule Aalen - Technik und Wirtschaft

W2 Professur Effiziente Kunststofffertigung

Aalen
Hochschule für Angewandte Wissenschaften Hof

Professur (W2) Wirtschaftsingenieurwesen mit Schwerpunkt Betriebliche Informationssysteme und Supply-Chain-Management

Hof
Duale Hochschule Gera-Eisenach

Lehrkraft für besondere Aufgaben (LfbA) für die Gebiete Elektrotechnik und Ingenieurphysik (m/w/d)

Eisenach
Zur Jobbörse

Das könnte Sie auch interessieren

Empfehlungen der Redaktion

Top 10 aus der Kategorie Technik