Das geht aus einer Untersuchung des Hasso-Plattner-Instituts hervor. Die Forschenden haben dafür Datensätze aus dem Darknet ausgewertet. Dort veröffentlichen Kriminelle Passwortlisten. Profile auf sozialen Netzwerken können Kriminellen dabei viele persönliche Informationen und damit auch Hinweise auf mögliche Passwörter liefern. Daher sollte ein sicheres Passwort weder private Informationen wie Geburtsdaten oder Kindernamen enthalten noch Wörter, die (weltweit) in Wörterbüchern zu finden sind. Auch eine angehängte Ziffernfolge wie beispielsweise 123 oder der Austausch von Buchstaben gegen Zahlen erhöht die Sicherheit nicht im erforderlichen Maße. Passwörter sollten eine gewisse Komplexität aufweisen, um eine angemessene Sicherheit zu gewährleisten.
Bestandteile komplexer Passwörter
Ein komplexes Passwort zeichnet sich durch eine längere Abfolge von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen aus wie zum Beispiel »E2Dah1-v3|z^«. Es ist in keinem Wörterbuch zu finden und ergibt auch kein sinnvolles Wort. Um ein komplexes Passwort wie »IfmdL650v-HnF!« zu erstellen, kann man dafür einen Satz zur Hilfe nehmen: »Ich fahre mit der Linie 650 von Hamburg nach Frankfurt!« Oder man schreibt ein Passwort bewusst falsch, also »Ick.brooch.Uhrlaup594!« statt »Ich.brauche.Urlaub594!«.Durch die Verwendung komplexer Passwörter erhöht sich die Komplexität der Passwörter und das Knacken wird erschwert. Das ist besonders wichtig, kann doch ein Programm zum Knacken von Passwörtern pro Sekunde 15 Millionen Passwortkombinationen ausprobieren. Ein zehnstelliges Passwort, das die oben erwähnten Bestandteile enthält, ergibt sieben Trilliarden Kombinationsmöglichkeiten. Häufig werden Passwörter auf einem Computer gespeichert, aber nicht im Klartext, sondern nach Berechnungsalgorithmus in einem besonderen Format (genannt »Hashwert«). Programme zum Knacken von Passwörtern vergleichen diese Hashwerte für ein Passwort auf dem Computer mit den bekannten Hashwerten. Sind die Hashwerte identisch, ist das Passwort geknackt. Wenn dann das Passwort auch noch besonders kurz ist und nur aus Kleinbuchstaben besteht, sind es bloß noch 309 Millionen Kombinationsmöglichkeiten. Somit dauert das Knacken und das Herausfinden des Passwortes nur wenige Sekunden. Das oben genannte Beispielpasswort »E2Dah1-v3|z^« mit seinen sieben Trilliarden Kombinationsmöglichkeiten zu knacken, dauert dagegen mehrere Jahre.
Gefahr durch Botnetzwerke
Sollten die Kriminellen jedoch Server-Farmen oder Botnetze nutzen, können sie die Zeit für das Knacken drastisch verkürzen. Ein Botnetz besteht in der Regel aus tausenden miteinander vernetzter Bots. Der Name »Bot« leitet sich aus dem Englischen »Robot« ab und deutet damit auch auf die primäre Funktion hin. Bots erledigen selbstständig vordefinierte Aufgaben. Als Schadsoftware operieren Bots meist ohne Kenntnis der Anwenderinnen und Anwender auf gekaperten PCs und anderen vernetzten Geräten, die zusammengeschaltet das Botnetz ergeben. Im Zusammenschluss bilden die Bots als kollektives Botnetz eine mächtige Waffe, um schädliche Aktionen gegen Unternehmen oder Organisationen durchzuführen. Daher ist es besonders wichtig, unterschiedliche Passwörter für die jeweiligen Accounts zu nutzen. Denn Kriminelle nutzen ein geknacktes Passwort, um damit Zugang zu anderen Konten der User zu erlangen.
Richtiger Umgang mit Passwörtern
- Passwörter niemals aufschreiben.
- Keine Weitergabe an andere Personen.
- Passwörter im beruflichen Umfeld weder auf Shares noch im Intranet oder über SharePoint für andere Personen zugreifbar machen.
Wer sich die Passwörter nicht merken kann, nutzt einen Passwort-Safe. iPhone- und iPad-Nutzerinnen und -Nutzern steht der eingebaute Passwortmanager von iOS beziehungsweise iPadOS zur Verfügung. Am Ende macht sich die Mühe bezahlt: Denn durch die richtige Verwendung komplexer Passwörter erhöht sich die Datensicherheit sowohl im beruflichen als auch im privaten Umfeld.