Sind deutsche Internetnutzer in der Lage, sichere Passwörter zu erstellen? Glaubt man dem Hasso-Plattner-Institut, muss man diese Frage klar verneinen. Die Forscher haben 1,8 Millionen Login-Daten analysiert, die 2021 in Leaks aufgetaucht sind. Demnach lauten die drei beliebtesten Passwörter in Deutschland:
- 123456
- passwort
- 12345
In der Top 10 der beliebtesten Passwörter finden sich zudem Klassiker wie etwa Qwertz, hallo oder 12345678. Kurzum: Sichere Passwörter zu erstellen scheint für zu viele Nutzer nach wie vor Neuland zu sein. Dabei kann die mangelnde Sicherheit im Internet schnell zum ernsten Problem werden.
Wenn Hacker erstmal Zugriff auf Passwörter haben, kann es heikel werden. Sie können etwa geheime Informationen verbreiten und die Identität des Opfers kapern – sie schließen und kündigen Verträge, lassen Waren an eine beliebige Adresse liefern und führen Freunde, Verwandte, Behörden, Arbeitgeber und Geschäftspartner in die Irre. Im Extremfall steht die finanzielle und soziale Existenz der Opfer auf dem Spiel. Der Zugang zu Online-Konten sollte daher deutlich besser geschützt sein als mit einem einfachen Passwort. Einen perfekten Schutz oder das perfekte Passwort gibt es nicht, aber mit diesen Tipps machen Internetnutzer es Kriminellen erheblich schwerer.
1. Denken Sie sich sehr lange Passwörter aus
Als Passwörter dürfen keine einfachen Wörter verwendet werden. Komplexe Passwörter sollten alle Zeichenklassen (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen) enthalten. Die ultimative Lösung ist das allerdings noch nicht. Sonderzeichen und Großbuchstaben helfen beim Generieren von Passwörtern nur bedingt weiter, ebenso das ständige Wechseln der Passwörter.
Ein sicheres Passwort zeichnet sich durch eine hohe Komplexität bzw. Entropie aus, um das Passwort vor einem „systematischen Erraten“, dem sogenannten brute-forcing, zu schützen. Die Entropie wird dabei entgegen verbreiteter Meinung primär von der Länge des Passworts – und nicht der Anzahl an Zahlen oder Sonderzeichen – bestimmt. So ist beispielsweise das Passwort „correct horse battery staple“ mit einer Entropie von ca. 44 Bits komplexer und damit sicherer gegen brute-force-Angriffe als das vermeintlich umständlichere Passwort „Tr0ub4dor&3“, welches lediglich eine Entropie von ca. 28 Bit aufweist.
Das Ändern von Passwörtern von Zeit zu Zeit wird hingegen nicht mehr empfohlen. IT-Sicherheitsexperten in Unternehmen haben beobachtet, dass der regelmäßige Passwortwechsel Mitarbeiter dazu verleiten, möglichst kurze Passwörter zu wählen und bei Variationen auf einfache Abwandlungen wie aufsteigende Zahlen am Ende eines Passworts zurückzugreifen.
2. Passwörter sicher in einem Passwort-Manager speichern
Es ist schwierig, sich die vielen langen und komplizierten Passwörter zu merken. Dennoch wäre es ein Fehler, immer das gleiche Passwort oder eine leicht abgewandelte Variante davon zu verwenden. Das macht es Hackern zu einfach: Ist das Muster einmal erkannt, können Hacker die Zugangsdaten für andere Dienste leicht erraten. Wer neue und hoffentlich sichere Passwörter erstellt, sollte diesen Fakt immer im Hinterkopf behalten.
Die bessere weil einfachere Alternative sind Passwort-Manager. Sie erstellen und verwalten sichere Passwörter, die man sich nicht merken muss; das übernimmt der Manager. In den Passwort-Managern sind verschiedene Passwörter in der Regel verschlüsselt gespeichert. Das bedeutet, die Daten sind damit auch gegen Hackerangriffe geschützt. Internetnutzer brauchen für alle Passwörter hingegen nur noch das „Master-Kennwort“ – das natürlich wiederum sehr sicher und lang sein sollte.
Wo finde ich die Passwort-Manager in Browsern?
Passwort-Manager sind in vielen gängigen Internetbrowsern automatisch integriert. In Google Chrome finden Nutzer den Passwortmanager über das Menü am rechten oberen Rand, anwählbar über die drei Pünktchen. In Mozillas Firefox gilt dasselbe Prinzip. Microsofts Edge speichert Passwörter in der sogenannten Brieftasche, die über die Browser-Einstellungen aufgerufen werden kann. Mit dem jeweiligen Master-Passwort können Internetnutzer in den Passwort-Managern der Browser ihre gespeicherten Passwörter einsehen und verwalten.
Passwörter von Apps können auf Android-Geräten über die App "Einstellungen" unter "Passwörter und Konten" aufgerufen werden. Auf Nutzer von Apple-Geräten gehen ebenfalls auf Einstellungen und klicken dort den Reiter "Passwörter" oder erstellen sich gleich Passkeys.
Einfach zu merken: Passwort-Manager helfen beim Generieren und Speichern der eigenen Passwörter auf allen Endgeräten.
3. Nutzen Sie neben Ihren Passwörtern die Multi-Faktor-Authentifizierung
Internetnutzer sollten nicht nur für ihr E-Mail-Konto eine Multi-Faktor- bzw. Zwei-Faktor-Authentifizierung einrichten. Das Prinzip kennen sie bereits von ihrer Bank: Am Geldautomaten brauchen Sie ihre Giro-Karte (1. Faktor) und die PIN (2. Faktor). Auch eine Überweisung beim Online-Banking funktioniert in aller Regel nur mit PIN und TAN oder speziellen Bankingapps, die zusätzliche Sicherheit gewährleisten.
Den Zugang zu Online-Konten können Nutzer nach dem selben Prinzip schützen. Nach Eingabe des Passwortes bekommen sie zum Beispiel noch einen Code auf ihr Smartphone geschickt. Mit dem Passwort allein können Hacker dann nichts mehr anfangen. Diese Art des Zugangs wird mittlerweile von vielen bekannten Diensten angeboten, dazu zählen auch viele soziale Netzwerke. Die Multi-Faktor-Authentifizierung erschwert Angreifern den Zugang zu dem Unternehmensnetzwerk sogar dann, wenn diese bereits im Besitz von anderweitig erbeuteten, validen Zugangsdaten sind.
Einfach zu merken: Digitale Zugänge sind durch die Multi-Faktor-Authentifizierung besser geschützt als nur mit einem Passwort.
Ausblick: Wie werden wir uns zukünftig authentifizieren?
Als Alternative zu Passwörtern wird aktuell versucht, die Authentifikation von Benutzern über Kryptographie durchzuführen. So zielen Apples Passkey-Initiative oder das „FIDO2-Framework“ darauf ab, die Sicherheit und Benutzerfreundlichkeit von Authentifizierungsmethoden zu verbessern. Bei Apples "passkey" ersetzt ein asymmetrischer kryptografischer Schlüssel das traditionelle Passwort, wodurch das Risiko von Phishing-Angriffen und Passwortdiebstahl reduziert wird. Der private Schlüssel bleibt sicher auf dem Gerät des Benutzers gespeichert. Ebenso verfolgt das FIDO2-Framework einen Ansatz, der eine starke Authentifizierung ohne Passwörter ermöglicht, indem es auf biometrische Daten oder physische Sicherheitsgeräte setzt. Diese Technologien signalisieren einen Paradigmenwechsel in der Art und Weise, wie wir uns authentifizieren, und zeigen auf, dass zukünftige Sicherheitslösungen vermehrt auf innovative kryptografische Methoden setzen werden, um die digitale Identität der Benutzer besser zu schützen.