Um zu verstehen, was ein schwaches von einem starken Passwort unterscheidet, müssen Nutzer die üblichen Vorgehensweisen von Cyber-Kriminellen kennen. Diese stehlen die Kennwörter häufig über heimlich eingeschleuste Programme, sogenannte Key-Logger, die alle Eingaben auf dem infizierten PC oder Mobilgerät speichern und an die Hacker versenden. Eine zweite Möglichkeit stellt das sogenannte Phishing dar. Hier werden E-Mails oder SMS mit Links verschickt, die auf gefälschte Webseiten verweisen. Geben Nutzer auf einer solchen Seite ihre Zugangsdaten ein, gelangen die Betrüger so ebenfalls an die Passwörter. Da die Kriminellen in beiden Fällen das Passwort vom Nutzer selbst geliefert bekommen, ist seine Stärke bei diesen Angriffsmethoden gleichgültig.

Entscheidend ist die Qualität eines Kennwortes nur beim dritten Angriffstyp, der sogenannten Brute-Force-Attacke. Hier verwenden die Hacker Programme, die Passwörter durch einfaches Ausprobieren knacken sollen. Wie das Portal lockdown.co.uk berichtet, können Brute-Force-Programme auf diese Weise leicht über eine Milliarde Kennwörter pro Sekunde testen. Ein einfaches Passwort, das bis zu zehn Stellen hat, aber nur aus Ziffern besteht, sei somit innerhalb von zehn Sekunden geknackt. Für ein zwölfstelliges Passwort, das aus einer Kombination aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen besteht, brauche das gleiche Programm hingegen rund 19 Millionen Jahre. Diese Zahlen gelten allerdings nur für völlig zufällig zusammengesetzte Passwörter. Denn bei einem sogenannten Wörterbuchangriff, einer besonderen Version der Brute-Force-Attacke, testen die Programme gezielt Wörterbucheinträge, beispielsweise aus dem Duden, oder häufig verwendete Passwörter, wie Namen oder Geburtsdaten.

Aus diesen Gründen gelten seit langer Zeit relativ einheitliche Kriterien für sichere Kennwörter. So empfiehlt beispielsweise das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass Passwörter aus mindestens acht Zeichen bestehen und Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern enthalten sollten. Diese Richtlinien beruhen laut der US-Zeitschrift Wall Street Journal allerdings fast ausschließlich auf Empfehlungen des US-Instituts für Standard und Technologie (Nist) aus dem Jahr 2003. Nun hat die Behörde diese Empfehlungen nochmals kritisch geprüft und ist dabei zum Teil zu völlig anderen Erkenntnissen gelangt.

„Wir haben die Allgemeinheit über 20 Jahre lang erfolgreich darin trainiert, Passwörter zu verwenden, die sich Menschen kaum merken, aber Computer leicht erraten können“, sagt David Benson, Mitarbeiter bei Nist. Die bestehenden Passwort-Richtlinien sind seiner Meinung nach zwar nicht grundsätzlich falsch, kommen aber dem menschlichen Gedächtnis auch nicht entgegen. Längere Passwörter, wie beispielsweise ganze Sätze, seien demnach leichter zu merken und dabei genau so sicher wie kürzere mit Sonderzeichen und Ziffern. Wichtig sei dabei nur, dass die Wortfolgen an sich keinen Sinn ergeben. Benson nennt „richtig pferd batterie stapel“ als Beispiel. Noch besser ist es laut Nist, Wörter zu verwenden, die nicht in Nachschlagewerken zu finden sind, und Leerzeichen dazwischen zu setzen.

Der Appell der US-Behörde richtet sich dabei nicht nur an die Nutzer, sondern auch an die Anbieter von passwortgeschützten Diensten. Diese sollten Kunden nicht in der Länge der Passwörter begrenzen und sie nicht zwingen, Sonderzeichen und Ziffern zu verwenden. Auch Passwörter regelmäßig zu ändern, erhöhe nicht grundsätzlich die Sicherheit, sondern sei nur angebracht, wenn konkrete Hinweise auf einen versuchten Angriff vorlägen. Hier vertritt das BSI ebenfalls eine andere Auffassung: „Das Passwort muss regelmäßig gewechselt werden, zum Beispiel alle 90 Tage“, so die deutsche Behörde.

In vielen Punkten herrscht allerdings auch Einigkeit. So raten beide Behörden davon ab, das gleiche Passwort für mehrere Dienste zu verwenden oder in das Kennwort Daten wie Name, Anschrift oder Kfz-Kennzeichen einzubauen. Auch von häufig genutzten Standard-Passwörtern raten die Experten auf beiden Seiten des Atlantiks entschieden ab.

Welche das sind, zeigt eine Untersuchung des Hasso-Plattner-Instituts (HPI) der Universität Potsdam, bei der Passwörter von einer Milliarde Nutzerkonten ausgewertet wurden, die zuvor von Hackern geknackt und anschließend im Internet veröffentlicht worden waren. Auf Grundlage der so gewonnenen Daten hat das HPI eine Liste der zehn beliebtesten Passwörter in Deutschland erstellt. Aktuelle Sicherheitsstandards erfüllt keines davon. Am häufigsten genutzt werden demnach die Kennwörter „hallo“, „passwort“ und „hallo123“.

www.bsi-fuer-buerger.de