Eine unendliche Geschichte: Schwache Passwörter

Wer kennt dies nicht? Man findet einen Artikel in einem Online-Shop, in dem man zuvor nie eingekauft hat. Eindruck positiv; Preis attraktiv; Lieferdatum zeitnah. Also los! Oft ist leider schon der erste Schritt des Bestellvorgangs nervig: Eine Bestellung als Gast wird nicht angeboten. Es ist erforderlich, ein Kundenkonto anzulegen. Damit ist die Angabe (und wiederholte Eingabe) eines Passworts erforderlich. Zu berücksichtigen ist die Mindestanzahl an Zeichen, in der Regel kommen Zahlen und/oder Sonderzeichen, die zu integrieren sind, hinzu. Und was macht das (bequeme) „Gewohnheitstier“ in uns? Es verwendet ein Standardpasswort oder die Kombination eines Passworts, das man schon seit längerem nutzt und das man im Kopf hat.

schwache Passwörter sind eine Gefahr

Jüngst hat das in Potsdam ansässige Hasso-Plattner-Institut wieder diejenigen zehn Passwörter identifiziert, die in Deutschland am häufigsten verwendet werden:

Wer eines dieser Passwörter nutzt, handelt mit Blick auf seine IT-Sicherheit geradezu fahrlässig. Vielen, die auf die eingangs erwähnte Praxis zurückgreifen, immer wieder dasselbe oder zumindest ein ähnliches Passwort zu benutzen, ist allerdings gar nicht bewusst, dass auch sie ein erhebliches Risiko eingehen. Experten gehen davon aus, dass über 24 Milliarden Kombinationen aus Benutzernamen und Passwörtern im Darknet angeboten werden.

Das Darknet ist ein Teil des Internets, in dem anonym und verschlüsselt kommuniziert werden kann. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont, dass dies beispielsweise für Journalisten, Oppositionelle politisch Verfolgte eine geschützte Möglichkeit bietet, auf von autoritären Regierungen gesperrte Inhalte zuzugreifen, Zensurmaßnahmen zu umgehen oder vertraut mit anderen Menschen zu kommunizieren. Die Behörde weist aber ebenfalls auf die Risiken hin, die vom Darknet ausgehen. Dort tummeln sich nämlich auch Kriminelle und dubiose Angebote. Zudem ist im Darknet die Wahrscheinlichkeit, sein IT-System mit Schadsoftware zu identifizieren, höher als im „normalen“ Internet (Clear Web).

Im Internet finden Sie verschiedene Anbieter, mit denen Nutzer überprüfen können, ob eines ihrer Passwörter bereits im Darknet verfügbar ist bzw. angeboten wird. Diesen Schritt kann jeder Laie rasch erledigen. Sollte dies der Fall sein, besteht dringender Handlungsbedarf. Das offengelegte Passwort muss sofort geändert werden.

Kommen wir zurück zum Anfang dieses Blog-Eintrags. Internetnutzer, die für alle möglichen Anwendungen dasselbe Passwort oder zumindest ein sehr ähnliches benutzen, sind in höchster Gefahr, sofern Kriminelle Zugriff haben. Es besteht ein großes Risiko, dass verschiedenste Anwendungen, Konten, Firmenzugänge, etc. manipuliert oder die in ihnen enthaltenen Daten abgeschöpft werden.

komplexe Passwörter schützen

Das Thema IT-Sicherheit ist aus professioneller Sicht eng verknüpft mit dem Begriff Prävention. Es zahlt sich immer aus, lieber im Vorfeld ein wenig Aufwand zum Schutz der eigenen IT zu betreiben, als im Ernstfall die oftmals erheblichen Schäden beseitigen zu müssen. Prävention schont Nerven, Zeit und nicht zuletzt die Finanzen. Dies gilt übrigens für Firmen und private Internetnutzer gleichermaßen. Die Lösung lautet Passwort-Manager. Dabei handelt es sich um ein Programm, mit dem Benutzernamen und Passwörter verwaltet werden können. Das BSI vergleicht Passwort-Manager mit dem berühmten Notizbuch der Großeltern, in dem sie vertrauliche Dinge notierten und das gut versteckt verwahrt wurde. Passwort-Manager sind also eine Art virtuelles Schließfach, zu dessen Zugang die Eingabe eines (einzigen) Master-Passworts erforderlich ist. Darin befindet sich eine persönliche Liste, die sämtliche Benutzernamen und Passwörter enthält, über die der Nutzer verfügt. Besonders hilfreich ist, dass auch die Möglichkeit besteht, sich lange, komplizierte und möglichst sichere Passwörter elektronisch generieren zu lassen. Diese können dann bei Bedarf mit „Copy/Paste“ genutzt werden, um Zutritt zu dem gewünschten Konto, Shop oder Firmenzugang zu erhalten. Das Team von cybernews hat im Dezember 2023 eine Rangliste mit den aus seiner Sicht acht besten Passwort-Managern veröffentlicht (Link siehe unten).

• „Verwahren von Passwörtern und Benutzernamen mittels Verschlüsselung.“
• „Unterstützung bei der Passwortvergabe: z. B. durch die Generierung starker Kombinationen und Kennzeichnung schon verwendeter oder schwacher Begriffe.“
• „Warnung vor gefährdeten Websites und möglichen Phishing-Attacken, z. B. wenn sich die URL der aufgerufenen Webseite von der gespeicherten unterscheidet.“
• „Synchronisieren möglich: Wer Online-Dienste auf mehreren Geräten wie Computer und Smartphone mit unterschiedlichen Betriebssystemen nutzen möchte, kann ein Programm verwenden, das diese synchronisiert.“