Es hat sich mittlerweile herumgesprochen: Sichere Passwörter bestehen nicht aus dem Namen der Lieblingstopfpflanze oder dem Geburtsdatum der besseren Hälfte (auch wenn diese Gedächtnisstütze möglicherweise den ehelichen Frieden sichert), sondern idealerweise aus einer wilden Mischung von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Außerdem gilt: Je länger, desto besser. So weit, so bekannt.

Aber: warum sollen solche Passwörter „sicher" sein?

Zuerst einmal gibt es zwei Arten von Passwort-Sicherheit: Ein Passwort kann sicher gegenüber einem menschlichen Angreifer oder sicher gegenüber einem sogenannten Passwort-Cracker sein, also einem Computerprogramm. Ein Mensch kann Ihr Passwort möglicherweise durch Kenntnisse Ihrer Persönlichkeit oder Lebensumstände erraten - siehe unser Beispiel mit dem Geburtsdatum. Möglicherweise auch durch Zugriff auf Ihre Arbeitsumgebung (nein, unter der Tastatur ist kein sicheres Versteck für den Zettel mit dem Login-Passwort). Ein Computer dagegen bekommt nicht auf diese Weise Ihr Passwort heraus, und das muss er auch gar nicht: Es gibt ausgeklügelte Algorithmen zum Knacken von Passwörtern, deren Fähigkeiten die Möglichkeiten menschlicher Angreifer um ein Vielfaches übersteigen. Selbst, wenn Sie sicher sind, dass Ihr neugieriger Schreibtischnachbar oder Ihre Ex-Freundin Ihr Passwort niemals erraten könnte, ist es gut möglich, dass ein automatischer Passwort-Cracker es in Sekundenbruchteilen herausbekommt.

Wie geht ein solcher Passwort-Cracker vor?

Angenommen, dem Angreifer ist eine sogenannte Hash-Tabelle in die Hände gefallen (die sozusagen codierte Passwörter eines Online-Dienstes enthält - mehr dazu im Buch). Der Passwort-Cracker kann nun in rasender Geschwindigkeit alle möglichen Zeichenkombinationen durchprobieren und nachschauen, ob der resultierende Wert in der Tabelle auftaucht (das bedeutet, dass er ein Passwort geknackt hat). Dieser Ansatz wird „Brute Force" (engl.: „rohe Gewalt") genannt. Am besten lässt er sich tatsächlich an einer erbeuteten Hash-Tabelle durchführen, da die meisten Online-Dienste nicht Tausende oder Millionen von fehlgeschlagenen Login-Versuchen tolerieren, sondern nach dreimaliger falscher Passwort-Eingabe „dicht machen". Hier sehen Sie schon: Je länger das Passwort ist, desto länger dauert es, bis der Passwort-Cracker auf die richtige Kombination stößt.

Statt roher Gewalt oder ergänzend dazu setzen Passwort-Cracker aber auch intelligentere Methoden ein: Sie verwenden riesige Wörterbücher, die nicht nur Wörter enthalten, sondern auch Namen, beliebte Zahlenkombinationen oder andere Ausdrücke, von denen bekannt ist, dass sie häufig in Passwörtern verwendet werden (wie zum Beispiel „asdf" oder „qwertz"). Passwörter, die in diesen Wörterbüchern auftauchen, sind ebenfalls in Millisekunden geknackt. Nun setzt der Passwort-Cracker noch eins drauf: Er geht die Ausdrücke in diesen Wörterbüchern durch und setzt sie hintereinander, tauscht einzelne Buchstaben gegen Zahlen aus, schreibt sie rückwärts und so weiter. Daher gilt: Passwörter, die den Einträgen in Wörterbüchern möglichst unähnlich sind, sind sicherer. Leider bedeutet das gleichzeitig, dass sichere Passwörter schwer zu merken sind.

Es gibt jedoch eine Reihe von Tricks, mit deren Hilfe man sichere Passwörter, die einigermaßen leicht zu merken sind, konstruieren kann. Wer trotzdem die Übersicht verliert - denn es wird empfohlen, für jedes Konto ein eigenes Passwort zu verwenden - dem helfen Passwort-Manager weiter.

Mehr dazu lesen Sie in „Gut gerüstet gegen Überwachung im Web" (Wiley VCH) und auf www.cryptocheck.de

Website: www.cryptocheck.de Website: www.cryptocheck.de Website: www.cryptocheck.de