Ein massiver Datensatz mit gestohlenen Nutzer-Informationen ist im Januar 2019 im Netz aufgetaucht und wurde auf den Namen "Collection #1" getauft. Der riesige Datensatz enthält 773 Millionen Mail-Adressen und über 20 Millionen Passwörter. Der Fall zeigt erneut, wie gefährlich es ist, aus Bequemlichkeit zu unsichere Passwörter zu verwenden. Wenn Sie folgende Ratschläge beachten, sind Sie auf der sicheren Seite.
Foto: welcomia - shutterstock.com
1. Sind biometrische Codes sicherer als Passwörter?
Biometrische Log-in-Verfahren wie der Fingerabdruck und die Gesichtserkennung sind zwar sehr bequem für den Anwender, gelten allerdings bei älteren Geräten nicht als besonders sicher. Denn beide Methoden lassen sich per Fälschung überlisten. Das wiegt bei Finger und Gesicht deutlich schwerer als bei einem normalen Passwort. Denn dieses lässt sich sehr einfach ändern, Ihren Fingerabdruck aber können Sie nicht wechseln. Ist die Kopie Ihres Fingerabdrucks einmal in falsche Hände geraten, hat der Dieb Zugriff auf alle Ihre per Fingerscan geschützten Geräte.
Neue Gesichtserkennung: Die in neuen iPhone-Modellen eingesetzte Gesichtserkennung "Face ID" soll laut Apple einen Sicherheitsfaktor (Verwechselung mit anderen Personen) von 1 zu 1 Million haben. Berichte über Gesichtsmasken, mit denen sich die Face ID überlisten lässt, existieren, sie sind aber noch nicht von unabhängigen Beobachtern bestätigt worden. Die Face ID scheint somit aktuell vergleichsweise fälschungssicher. Hundertprozentig ist dieser Schutz aber auch nicht. Außerdem kommt hier noch ein weiterer Kritikpunkt an biometrischen Zugangscodes zum Tragen: Sie stellen einen massiven Eingriff in den Datenschutz eines Individuums dar. In anderen Ländern, etwa England, ist die Gesichtserkennung im öffentlichen Raum schon weit verbreitet. In Deutschland läuft sie am Berliner Bahnhof Südkreuz seit Mitte 2017 im Probebetrieb und soll sehr gut funktionieren. Drei der 77 Kameras am dortigen Bahnhof erkennen die Gesichter von 300 Testpersonen. Je mehr Institutionen und Unternehmen Sie Ihre biometrischen Daten übergeben, desto größer ist die Gefahr eines Missbrauchs.
2. Wie lang muss ein Passwort sein?
Je länger ein Passwort ist, desto länger braucht man, bis man es durch einfaches Ausprobieren aller Möglichkeiten geknackt hat. Diese oft verwendete Methode nennt sich Brute Force, also Rohe-Gewalt-Methode. Offizielle Empfehlungen für die Passwortlänge sehen meist zehn Zeichen vor. In diesem zehn Zeichen langen Passwort sollen große und kleine Buchstaben, Ziffern und Sonderzeichen enthalten sein, sodass der Zeichensatz, aus dem das Passwort schöpfen kann, ebenfalls möglichst groß ist. Bei einem Zeichensatz mit 72 Zeichen aus 48 Buchstaben (groß und klein), zehn Ziffern und 14 Sonderzeichen ergeben sich folgende Möglichkeiten für ein zehnstelliges Passwort:
72 hoch 10 = 3.743.906.242.624.487.424
Versucht man dieses Passwort mit einer Rechenkraft von vier Milliarden Berechnungen pro Sekunde zu knacken, benötigt man im längsten Fall 29,6 Jahre. Bei einem Passwort mit elf Zeichen können es 2135 Jahre, bei einem Passwort mit 15 Zeichen rund 65 Milliarden Jahre sein.
Unsere Empfehlung: Verwenden Sie ein Passwort mit 16 Zeichen oder mehr. Es geht bei dieser Länge weniger um Schutz gegen Brute Force als gegen Wörterbuch-Attacken oder Angriffe mit Rainbow Tables auf den Hashwert des Passworts. Infos zu weiteren Knackmethoden finden Sie hier.
3. Wie oft muss ich ein Passwort wechseln?
Früher war man der Meinung, ein neues Passwort alle zwei bis drei Monate erhöhe die Sicherheit von Zugängen. Heute plädieren die meisten Kryptoexperten eher für längere Passwörter als für häufig wechselnde. Einer der Gründe: Wenn man in kurzen Abständen das Passwort ändern muss, dann verwenden die meisten Nutzer sehr einfache Passwörter, etwa Namen aus der Familie. Und das ist leichter knackbar und damit unsicher. Dennoch ist es nicht falsch, mindestes einmal im Jahr die Passwörter für wichtige Zugänge zu ändern. Noch besser ist eine Zwei-Faktor-Anmeldung.
4. Brauche ich für jeden Dienst ein anderes Passwort?
Ja, unbedingt. Passwörter werden immer wieder von den Servern passwortgeschützter Dienste gestohlen. Etwa von Adobe, Sony oder Yahoo. Wenn Sie dort dasselbe Passwort nutzen wie z.B. für Ihr Mailpostfach und Ihre Banking-Website, steht den Passwortdieben auch der Zugang zu diesen Diensten offen.
5. Wie kann ich mir Passwörter merken?
Ein beliebter Tipp fürs Merken von Passwörtern geht so: Das erste Zeichen ist ein Sonderzeichen, etwa #. Danach kommt der Name des Dienstes, gefolgt von einem Standardpasswort, etwa der Name des Haustiers, gefolgt von der Farbe des Dienstes. Bei Facebook ist das etwa blau, bei Spiegel Online ist das rot. Solche Passwörter sind ausreichend lang, und Sie können sie sich merken oder rekonstruieren. Allerdings besteht die Gefahr, dass die Rekonstruktion des Passworts scheitert. So hat sich etwa die Grundfarbe von www.pcwelt.de von blau zu schwarz geändert. Zudem hat auch ein Angreifer die Chance, Ihr Passwort für einen Dienst zu erraten, wenn er das Passwort für einen Ihrer anderen Dienste kennt. Unser Tipp lautet: Nutzen Sie einen Passwortmanager (Frage 8).
6. Sind die Log-in-Manager in Browsern empfehlenswert?
Nein. Wer seine Log-in-Daten gut schützen möchte, darf diese nicht im Browser speichern. Es gab in der Vergangenheit zahlreiche Viren, die den Passwortspeicher des Internet Explorers auslesen konnten. Einen Angriffsweg auf den Passworttresor in Google Chrome zeigt der Sicherheitsforscher Bosko Stankovic im Mai 2017. Und in Firefox steckte bis März 2018 eine neun Jahre alte Lücke, die das Master-Passwort knackbar machte.
Natürlich haben auch andere Passworttresore Sicherheitslücken, doch die Tresore von Chrome, Firefox und IE/Edge stehen besonders im Fokus von Angreifern.
Trotz der Schwächen der Log-in-Manager in Browsern gilt aber: Besser Sie nutzen diese und vergeben für jeden Dienst ein eigenes Passwort, als dass Sie für alle Log-ins nur ein Passwort setzen.
7. Kann ich die Passwortspeicherung auf Websites rückgängig machen?
Ja. Falls Sie den automatischen Log-in durch den Browser meinen, dann müssen Sie das Passwort zu dieser Seite aus dem Passworttresor des Browsers löschen oder diesen gleich ganz abstellen (siehe Punkt 6). Das geht in den Einstellungen des Browsers, bei Firefox etwa unter "Einstellungssymbol -› Einstellungen -› Datenschutz & Sicherheit -› Gespeicherte Zugangsdaten".
Ein automatischer Log-in bei Onlinedienste geschieht auch über Cookies. Sie beseitigen das ganz einfach, indem Sie sich aus dem Onlinedienst abmelden.
8. Vollversion: Welches Tool speichert Passwörter?
Es gibt eine ganze Reihe von Passworttresoren. Einen Test von sechs beliebten Tools, etwa Dashlane, Keepass und Lastpass, finden Sie hier.
9. Wie kann ich mein Onlinepasswort knacken?
Das Knacken von Zugängen zu Onlinediensten, etwa Onlinebanking, Facebook oder ein Forum, funktioniert in der Regel nicht durch mehrfaches Ausprobieren (Brute Force, Frage 2). Denn die meisten Zugänge zählen jeden Log-in-Versuch und blockieren ab einer gewissen Zahl jeden weiteren Versuch komplett. Meist müssen Sie aber ein vergessenes Passwort für einen Onlinezugang gar nicht knacken. Fast alle Dienste bieten eine Zurücksetzfunktion für Passwörter, die über einen Link per Mail funktioniert.
10. Zugangspasswort zu PC und Smartphone knacken?
Die Anmeldung in ein Windows-Konto lässt sich vergleichsweise leicht knacken, wenn die Windows-Installation und die zugehörigen Daten nicht verschlüsselt sind. Eine ausführliche Anleitung dazu finden Sie hier.
Die PIN oder den Passwortschutz eines Smartphones zu knacken, fällt dagegen deutlich schwerer. In vielen Fällen ist das nicht mehr möglich. Was sich bei einer vergessenen PIN unter Umständen doch noch tun lässt, hat dieser Beitrag zusammengesammelt.
(PC-Welt)