Wie sieht das perfekte Passwort aus? Diese Frage dürfte viele Nutzerinnen und Nutzer beschäftigen. © RUB, Marquard

IT-Sicherheit Sieben Mythen über Passwörter

Am 1. Februar ist Ändere-dein-Passwort-Tag. Das zu tun, ist aber gar nicht ratsam.

Passwörter sind für viele ein leidiges Thema. Sich damit auseinanderzusetzen ist mühsam, gleichzeitig möchte man seine Accounts schützen. Einige der größten Missverständnisse im Umgang mit Passwörtern im privaten Kontext haben die Bochumer IT-Experten Prof. Dr. Markus Dürmuth, Maximilian Golla und Philipp Markert aus der Arbeitsgruppe Mobile Security zusammengestellt.

Mythos 1: Ein sicheres Passwort muss acht Zeichen lang sein, eine Ziffer, ein Sonderzeichen und Großbuchstaben enthalten.

Was aus dieser Anforderung an ein Passwort herauskommt, sind nicht selten Dinge wie „P@ssw0rt“. Solch eine Zeichenfolge sieht zwar auf den ersten Blick kompliziert aus. Sicher ist sie deshalb aber nicht. Denn Passwort-Rater kennen gängige Transformationen, wie den Buchstaben O zu einer Null zu machen oder ein A durch ein @-Zeichen zu ersetzen. Mit einem Satz wie „Mittwochs gehe ich in den Biomarkt“ ist man oft sicherer unterwegs. Außerdem kann man ihn sich besser merken und meist auch leichter auf der Smartphone-Tastatur eintippen.

Mythos 2: Passwörter sollte man regelmäßig ändern.

Studien haben gezeigt, dass Nutzer Probleme haben, sich all ihre Passwörter zu merken, und daher häufig ihre Passwörter bei jedem Wechsel nur leicht verändern. So werden die Passwörter im Lauf der Zeit immer schwächer. Die RUB-Forscher empfehlen daher, Passwörter nicht regelmäßig zu ändern, sondern nur, wenn die Daten in die falschen Hände geraten sein könnten.

Passwortdiebstahl herausfinden

Auf der Webseite „Have I been pwned“ können Nutzerinnen und Nutzer durch Eingabe ihrer E-Mail-Adresse überprüfen, ob ihre Zugangsdaten irgendwo gestohlen wurden.

Mythos 3: Man darf nie zweimal das gleiche Passwort nutzen.

In einer idealen Welt hätten User für jeden Account ein eigenes Passwort, das sich deutlich von dem Passwort aller anderen Accounts unterscheidet. Realistisch sei das aber nicht, sagen die RUB-Forscher. Sie empfehlen daher, die Accounts in Gruppen einzuteilen – etwa E-Mail-Konten, Shopping, Banking oder Soziale Medien – und sich für jede Gruppe ein eigenes Passwort auszudenken. Wenn Angreifer die Zugangsdaten für einen eher unwichtigen Shopping-Account erbeuten, sollten sie sich damit nicht in wichtige Seiten wie das Onlinebanking einloggen können. Für extrem wichtige Konten wie E-Mail oder Onlinebanking sollte man immer ein einzigartiges Passwort verwenden.

Ein Teil des Forscherteams aus der Arbeitsgruppe Mobile Security: Markus Dürmuth (rechts) und Philipp Markert © RUB, Marquard

Mythos 4: Passwörter sollte man nie auf einen Zettel schreiben.

Natürlich sollte man als Mitarbeiter eines Unternehmens keinen Notizzettel mit seinen Passwörtern am Monitor kleben haben. Im Privathaushalt sind mit dem Aufschreiben der Login-Daten aber eher geringe Risiken verbunden. Im Todesfall kann es sogar sinnvoll sein, eine solche Liste angelegt zu haben, damit Angehörige die Accounts managen oder löschen können.

Informationen für die Wiederherstellung aktuell halten

Hat man sein Passwort für einen Dienst vergessen, kann man sich in der Regel an eine bei dem Dienst hinterlegte E-Mail-Adresse oder Handynummer ein neues schicken lassen. Ein großes Problem ist laut den Bochumer Forschern jedoch, dass die meisten Dienste ihre Nutzer nicht in regelmäßigen Abständen darauf hinweisen, diese Informationen aktuell zu halten, und die Wiederherstellungsinformationen somit nicht ankommen.

Mythos 5: Nur sehr komplizierte Passwörter schützen ausreichend.

Die Sicherheit eines Accounts hängt oft nicht alleine von der Komplexität des Passworts ab. Viele Dienste schützen ihre Nutzerinnen und Nutzer, indem sie bei vermutetem Missbrauch den Login blockieren, zum Beispiel, wenn jemand zehnmal hintereinander das falsche Passwort eingibt. Für die meisten Plattformen sind daher Passwörter wie „Bananenbrot489“ ausreichend sicher, da sie nicht in wenigen Versuchen geknackt werden können.

Ein solcher Passwort-Rater bestehend aus vier Grafikkarten kann 200 Milliarden Passwörter pro Sekunde durchprobieren. © Hendrik Meutzner

Manche Dienste nutzen zusätzlich GPS-Daten und Uhrzeit, um zu überprüfen, ob der Nutzer sich vom gewohnten Ort und zur gewohnten Zeit anmeldet. Ist dies nicht der Fall, kann der Login blockiert oder erschwert werden.

Online- versus Offline-Rateversuche

Wenn Passwort-Rater versuchen, einen Online-Account anzugreifen, scheitern sie oft an den oben beschriebenen Sicherheitsschranken der Seitenbetreiber, die nicht erlauben, beliebig viele falsche Eingaben zu machen. Richtig komplexe Passwörter braucht es hingegen nur in Ausnahmefällen, zum Beispiel bei der Verschlüsselung von Festplatten. Ein grafikkartenbasierter Passwort-Rater, wie er an der RUB steht, kann 200 Milliarden Passwörter pro Sekunde durchprobieren.

Mythos 6: Man sollte niemals das Geburtsdatum als Handy-PIN nutzen.

Smartphones erlauben nicht beliebig viele Versuche beim Eingeben der PIN. Wenn ein Fremder ein Handy in der Bahn findet und damit Unfug treiben möchte, ist es egal, ob es mit einer Geburtstags-PIN gesperrt ist. Solange er nichts über den rechtmäßigen Besitzer weiß, wird er nicht in wenigen Versuchen an die Zahlenkombination kommen. Man müsse immer überlegen, vor wem man sein Handy schützen möchte, geben die Bochumer IT-Experten zu bedenken – vor Bekannten oder vor Fremden.

Auf Zahlenkombinationen wie 1–2–3–4 oder 0–0–0–0 sollte man aber auf alle Fälle verzichten. Und wer im Android-System ein Muster zum Entsperren des Handys nutzt, sollte sich eine andere als eine L- oder Z-Form einfallen lassen. Laut einer Bochumer Studie beginnen mehr als 50 Prozent aller User in Mitteleuropa das Entsperrmuster oben links. Sicherer wäre es, einen anderen Startpunkt zu wählen.

Shoulder Surfing

Passwörter können heute recht leicht von Fremden abgegriffen werden – zum Beispiel in einer vollen U-Bahn, in der einem jemand bei der Eingabe über die Schulter schaut. „Shoulder Surfing“, sagen die Forscher dazu.

Mythos 7: Der Fingerabdruckscanner ist datenschutzrechtlich bedenklich.

Biometrische Daten wie Fingerabdrücke sind besonders schützenswerte persönliche Daten, da man diese im Falle des Falles nicht wechseln kann. Viele Handys werden heute jedoch per Fingerabdruck oder Gesichtserkennung entsperrt – ein Graus für manch einen Nutzer, dem der Datenschutz am Herzen liegt. Doch die Finger- oder Gesichtsdaten können meist nur sehr schwer in fremde Hände gelangen. Zum Beispiel speichert Apples I-Phone die Daten nur auf dem Gerät und dort in einem besonders abgesicherten Bereich. Viel leichter ist es da, den Fingerabdruck in der realen Welt von einer Türklinke, einem Becher, oder einem Foto der Hand abzugreifen. Mit diesem Trick wurden tatsächlich schon die Fingerabdrücke hochrangiger Politiker entwendet.

Besonders sichere Passwörter erzeugen

Tipps der Forscher, wie man besonders sichere Passwörter erstellt, finden sich im Infokasten des Artikels „Wie man Internetnutzer dazu bringt, ihr Passwort zu ändern“.