Zum Hauptinhalt springen

So unsicher sind sichere Passwörter

Früher brauchten Kriminelle Jahre, um lange Kennwörter mit Sonderzeichen und Ziffern zu hacken. Heute, warnt die Beratungsfirma Deloitte, genügen Hackern sechs Stunden. Was ist zu tun?

Acht Zeichen für mehr Sicherheit? Viel besser ist ein Code aus mindestens zehn Buchstaben, Zahlen und Sonderzeichen.
Acht Zeichen für mehr Sicherheit? Viel besser ist ein Code aus mindestens zehn Buchstaben, Zahlen und Sonderzeichen.

Tipps für das Erstellen sicherer Passwörter gibt es seit den Anfangszeiten des Hackings. Etwa: Sechs bis acht Zeichen genügen. Häufig ändern sollte man den Code, und Personen- und Städtenamen, Geburtsdaten oder Ähnliches vermeiden (siehe Artikel hier). Tatsächlich brauchten Cyberkriminelle in früheren Jahren ungefähr zwölf Jahre, um ein «gutes», acht Zeichen langes Kennwort zu knacken.

Einer Deloitte-Studie zufolge sind heute dennoch 9 von 10 Passwörtern angreifbar. Dafür gibt es laut dem Beratungsunternehmen zwei Gründe: Erstens sei das Know-how der Hacker weit fortgeschritten, zweitens mache der Mensch immer noch viele Fehler.

Passwörter auf Smartphones sind zu kurz

Zum Beispiel, dass man im Schnitt nur sechs der 94 auf der Tastatur verfügbaren Eingaben nutzt, Zahlen der Einfachheit halber ans Codeende und Grossbuchstaben an den Anfang setzt oder das gleiche Passwort für verschiedene Dienste nutzt (der durchschnittliche Surfer hat 26 Konten, aber nur fünf Codes). Zudem, schreibt Deloitte, hinterlässt die massenhafte Verbreitung von Smartphones und Tablets Spuren: Weil auf Geräten mit berührungsempfindlichen Bildschirmen das Eintippen schwerer fällt als bei einem Computer mit physischer Tastatur, begnügen sich die Nutzer mit kürzeren und einfacher zu merkenden Codes.

Die Folge: Die Analyse der Zusammensetzung von sechs Millionen Kennziffern hat laut Deloitte ergeben, dass sich mit 10'000 Varianten 98 Prozent aller Passwörter herausfinden lassen. Und das technische Arsenal? Ein achtstelliges Passwort kann heute innert Stunden mit Hard- und Software für 30'000 Dollar geknackt werden. Billiger kommt der Analyse zufolge das sogenannte Crowdhacking (die Cyberattacken erfolgen über mehrere normale Computer) zu stehen.

Zusätzliche Authentifizierung wichtiger

Trotzdem, so Deloitte, seien Private nicht machtlos. Passwörter mit mindestens zehn Zahlen, Buchstaben und Sonderzeichen seien auch 2013 nur sehr schwer zu knacken (dürfen aber nur für je einen Service verwendet werden). Ferner raten die Studienverfasser, Codes wie «12345» oder «Passwort» systembedingt gar nicht mehr zuzulassen und mehrere Identifikationsverfahren zu verwenden. Etwa die zusätzliche Authentifizierung via SMS-Einwegcode, die biometrische Erfassung oder Dongles (zum Beispiel Stecker, welche die Software schützen).

Dieser Artikel wurde automatisch aus unserem alten Redaktionssystem auf unsere neue Website importiert. Falls Sie auf Darstellungsfehler stossen, bitten wir um Verständnis und einen Hinweis: community-feedback@tamedia.ch