Sicher im Web unterwegs

Starke und schwache Passwörter

Die Kombination aus User-ID und Passwort dient dazu, auf die unterschiedlichsten Ressourcen zuzugreifen, sei es der File-Server im Unternehmen oder das Postfach eines Freemail-Anbieters. Eine gültige User-ID herauszufinden, ist recht einfach: Einige IDs, etwa "Administrator", werden vom System vorgegeben. Bei anderen ist zumindest das Grundschema, etwa "vorname.nachname@firma.com", bekannt. Das zugehörige Passwort zu knacken, ist für geübte Hacker ein Kinderspiel - wenn die Anwender es ihnen zu leicht machen.

Bei der Wahl eines Codeworts sollte man immer daran denken, dass Angreifer mit minimalem Aufwand ein maximales Ergebnis erreichen wollen. Sie versuchen daher, so genannte schwache Passwörter aufzuspüren. Dazu zählen solche mit weniger als acht Zeichen, da sie zu anfällig für Brute-Force-Angriffe sind. Unsicher sind außerdem:

• Personen, Daten und Fakten aus dem Umfeld des Users, etwa der Name von Frau, Kind, Haustier, Lieblingsfilm, das Geburtsdatum oder Autokennzeichen

• lexikalisierte Begriffe, die ein lohnendes Ziel von Wörterbuchattacken sind

• nahe liegende Buchstaben-/Zahlenkombinationen (qwertz, abc123, q1w2e3r4)

Als Gegenstrategie auf zufällig generierte Passwörter wie f7{r&q_0 auszuweichen, dürfte allerdings eher kontraproduktiv sein. Denn diese vermeintlich sichere Verknüpfung aus Buchstaben, Zahlen und Sonderzeichen kann sich kaum jemand merken, schon gar nicht über längere Zeit. Als Konsequenz notieren sich die User das Passwort auf einem Zettel, den sie zweckmäßigerweise unter die Tastatur kleben oder idiotensicher an den Bildschirm.

Als besser zu handhaben erweist sich die Taktik, die Anfangsbuchstaben aller Wörter eines Ihnen bekannten Satzes zu wählen. So wird etwa aus dem Kinderreim "Punkt, Punkt, Komma, Strich - fertig ist das Mondgesicht" das Passwort ppksfidm. Zusätzlich kann man noch die Groß- und Kleinschreibung sowie Satzzeichen berücksichtigen: P,P,K,S-fidM dürfte wirklich nicht einfach zu erraten sein.