Lieber kompliziert und lang
Die meisten User machen es sich bei der Wahl ihrer Passworte zu leicht - und öffnen damit Hackern Tür und Tor. Nur wer bestimmte Regeln beherzigt, schützt seine Kennworte davor, allzu leicht ausgehebelt zu werden.
Hamburg - Wer in virtuellen Welten unterwegs ist, kennt das Dilemma: Für alle möglichen Dienste - sei es Online-Banking, Mail-Accounts oder Foren - braucht man ein Passwort. Rund 20 Passworte muss sich ein User im Schnitt merken. Viele nutzen daher die gleichen, meist auch noch einfach zu merkenden Passworte und ändern sie allenfalls geringfügig ab. Ein großer Fehler, warnt Lutz Neugebauer vom Bundesverband Informationswirtschaft, Telekommunikation und neue Medien Bitkom.
Wird beispielsweise der E-Mail-Account gehackt, droht die Gefahr des Identitätsdiebstahls. Mit den gewonnenen Daten - Name, Adresse, Geburtsdatum und Kontakte - können Hacker viele üble Dinge anstellen.
Nicht selten wird der Name des Betroffenen für kriminelle Machenschaften missbraucht - dann drohen juristische Probleme. Oder es trudeln Rechnungen für Gegenstände ein, die der User nie bestellt geschweige denn erhalten hat. "Mit ein bisschen Fantasie kann man sich da einiges ausmalen", sagt Neugebauer.
Neugebauer ist Bereichsleiter Sicherheit bei der Bitkom und rät zu Passworten, die mindestens acht Zeichen lang und schwer zu erraten sind. Namen von Verwandten, Freunden oder Haustieren sollten ebenso tabu sein wie reine Ziffernfolgen. Denn mit so genannten Brute-Force-Attacken sind solche Passwörter sehr schnell zu knacken.
Dabei probiert ein Programm in kurzer Zeit sämtliche gängigen Kennwörter, ganze Wörterbücher und auch Zahlenfolgen durch - die gestiegene Rechnerleistung macht's möglich.
Daher gilt: Je länger ein Passwort, desto besser. Statt aus einem Wort sollte es aus einer zufälligen Reihenfolge von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen gebildet werden. Doch wie merkt man sich solch ein Ungetüm - zumal es ja auch noch regelmäßig - mindestens alle drei Monate - geändert werden sollte? Neugebauer empfiehlt, sich eine Eselsbrücke zu bauen, indem aus den einzelnen Buchstaben und Zahlen ein gut zu merkender Satz gebildet wird.
Internet-Browser machen es den Nutzern meist sehr leicht - sie speichern auf Wunsch Passwort und Login-Namen. Doch das sollte nach Möglichkeit vermieden werden, warnt Neugebauer. Die Passworte werden nämlich im Regelfall unverschlüsselt im Computer gespeichert. Das kann zum Problem werden, wenn der Computer auch anderen zugänglich ist - oder wenn ein Hacker durch einen Trojaner Zugriff auf den PC hat. Zumindest für das Online-Banking oder für Mail-Abrufe sollte diese Funktion deshalb auf keinen Fall genutzt werden.
Aufschreiben sollte man Passworte natürlich auch nicht, aber die Versuchung ist groß, wenn immer neue komplizierte Passworte hinzukommen. Statt zum Stift zu greifen, sollte man lieber auf technische Hilfsmittel zurückgreifen, rät Neugebauer. "Passwortsafes" etwa sind Programme, die auf einem verschlüsselten Bereich der Festplatte oder auf USB-Sticks laufen.
Die Programme speichern Kennworte nicht nur, sie erstellen auch Passworte nach sehr hohen Standards, weisen sie bei Bedarf einer speziellen Web-Seite zu und nutzen sie beim Abruf dieser Homepage automatisch. Der Nutzer muss dabei das Passwort selbst gar nicht im Klartext kennen. Um das Programm zum Laufen zu bringen, braucht man nur ein möglichst starkes Master-Passwort - das sollte man allerdings auf keinen Fall vergessen.
Eine neue Möglichkeit, die einen noch besseren Schutz bietet, ist die Biometrie. Erste USB-Sticks und Notebooks, die den Fingerabdruck des Nutzers scannen und erkennen, sind bereits im Handel erhältlich.
Fremde haben dann so gut wie keine Chance mehr, an geschützte Daten heranzukommen.
Im Kommen sind auch Einmal-Passworte. Sie werden zufällig generiert, können vom Display eines speziellen Keys abgelesen werden und sind dann nur zeitlich begrenzt gültig. Der Nutzer muss sie nur noch um einen nur ihm bekannten Teil ergänzen und kann sich dann einloggen. Allerdings ist der administrative Aufwand recht hoch - bislang wird diese Methode daher vor allem in der Wirtschaft beim Umgang mit hochsensiblen Daten genutzt. Aber auch Ebay und PayPal haben vor Kurzem eine Testphase mit den so genannten Sicherheits-Tokens gestartet.
Quelle:
http://www.spiegel.de/netzwelt/web/0...469579,00.html