IT-Sicherheit: So unsicher sind sichere Passwörter

13. November 2015

1 Min. Lesezeit

Zahlen und der Wechsel von Klein- und Großbuchstaben machen ein Passwort sicherer? Falsch, zeigt eine aktuelle Untersuchung. Der auf Webseiten häufig anzutreffende Ratschlag bringt weniger Sicherheit als gedacht.

IT-Sicherheit: So unsicher sind sichere Passwörter (Desktop)

Heidelberg Auf vielen Webseiten gilt bei der Anmeldung: „Ihr Passwort muss mindestens einen Großbuchstaben und eine Zahl enthalten.“ Kryptische Kennwörter sollen die Sicherheit gegenüber Hackerangriffen erhöhen, doch die gut gemeinte Idee bringt weniger als gedacht – sofern man die Raffinesse mitbedenkt, mit der Computerkriminelle derzeit vorgehen.

Zu diesem Resultat kommen die Wissenschaftler Frederico Dell'Amico von Symantec Research und Maurizio Filippone vom französischen Forschungsinstitut Eurecom. Sie schlagen nun vor, Webseitenbetreiber sollten ihre Nutzer verstärkt dazu anhalten, längere Passwörter zu verwenden oder Sonderzeichen in das Passwort hinzuzufügen, statt allein auf die altbekannte Kombination von Groß- und Kleinbuchstaben sowie Zahlen zu pochen.

Wie Technology Review berichtet, haben die beiden Forscher ein Verfahren entwickelt, das die Stärke eines Passworts gegenüber aktuell gebräuchlicher Hackersoftware anzeigt. Heutzutage lassen Angreifer den Computer nicht mehr stupide sämtliche Zeichenkombinationen durchprobieren, sondern orientieren sich an gestohlenen Passwortlisten, wie beispielsweise einer 130 Millionen Einträge umfassenden Datenbank, die 2013 bei Adobe entwendet wurde.

In einem solchen gewaltigen Datensatz können Hacker nach gängigen Mustern fahnden und dadurch die Zahl der auszuprobierenden Kombinationen drastisch verringern. Beispielsweise setzen Menschen, die zur Verwendung von Großbuchstaben und Zahlen gezwungen werden, erstere an den Anfang und letztere ans Ende: Ein „Typischespasswort123“ entspricht eher unseren Sprachgewohnheiten und ist insofern leichter zu behalten.

Auch Dell'Amico und Filippone machten sich auf die Suche nach solchen Mustern und berechneten daraus eine Maßzahl, die angibt, wie leicht ein gegebenes Passwort zu raten ist. Hierbei spielten insbesondere lange und mit Sonderzeichen versehene Passwörter ihren Vorteil aus. Vielleicht ließe sich ihr Messverfahren sogar in Webseiten integrieren, um den Nutzern bei der Anmeldung eine dem Stand der Angriffstechnik angemessene Einschätzung der Passwortstärke zu geben, hoffen die Forscher.

Länge und Sonderzeichen bleiben allerdings nur so lange empfehlenswert, wie noch nicht die Mehrheit der Nutzer auf diese Merkmale umgestiegen ist. Denn auch dabei werden sich mit Sicherheit Vereinfachungen einschleichen, die dann von der Angriffssoftware ausgebeutet werden. Letztlich bleibt nur übrig, sein Passwort so abseits aller Muster zu gestalten, dass es wirklich unvorhersehbar wird – auch wenn das dann nur schwer zu behalten ist.

Drucken
HP Produktberatung für Ihr Unternehmen