"Passwort vergessen" vergessen

Der 1. Februar ist der Tag des Passworts – hoffentlich auch einer des sich verändernden Passworts.

Jetzt teilen auf:    

Die Google Autovervollständigung ist manchmal verräterisch. Bettina Wulff hat sich von 2013-2015 einer Klage gegen Google gewidmet, damit diese Liste von Gerüchten um ihre Person gereinigt würde und keine Verbindungen ins Rotlichtmilieu mehr auftauchten.

Im Falle einer Google Suche nach Passwort vergessen tauchen die Dienste auf, bei denen das anscheinend bei den Usern öfters passiert:

Google Suche - Passwort vergessen

Sehr beliebte Portale und Dienste.

Unterschiedliche Passwörter sind lästig, keine Frage. Überhaupt das ganze Sicherheitsthema. Der Ausweg, sich über das eigene Recht auf Privatsphäre keine Gedanken zu machen, weil man selbst ja eh nichts zu verbergen hätte, ist zumindest höchst fragwürdig. Dieser Logik zufolge könne man ebenfalls auf die Meinungsfreiheit verzichten, weil man ja eh nichts zu sagen hätte.

Möglicherweise empfindlicher trifft einen die Verharmlosung von Sicherheitsmaßnahmen, wenn sich hinter dem Passwort 123456 ein Account mit einer nicht unerheblichen Menge an digitalen Währungen, Wertpapieren, kompromittierende Bilder von sich oder anderen Personen, geheime vertrauliche Dokumente oder ähnliches verbirgt. Oder verborgen hatte, denn ein anderer probierte spaßeshalber einmal aus, ob es möglich wäre, einen beliebigen Account zu knacken. Oder mit betrügerischer Absicht und krimineller Intelligenz.

Schutz des eigenen Ich

Der Unterhalt ist neben der Unterhaltung und der Erhaltung der eigenen Art eines der Grundbedürfnisse des Menschen. Der Schutz des Eigentums gehört also zu den Grundaufgaben. Dazu zählen zu einem immer größer werdenden Anteil auch private digitale Informationen, persönliche Accounts, der digitale Nachlass. Hier geht es schon nicht mehr nur um Daten, sondern um den Diebstahl von Identitäten. Selbst in den abgründigsten Dystopien wie in George Orwells “1984” ist die Identität das, was einem der Staat nicht nehmen kann. Im digitalen Bereich geht das sehr wohl.

Im Nicht-Privaten zählt dazu die digitale Basis von Unternehmen, Institutionen, Politikern, Banken etc. Manche Accounts bis in die Chefetagen hinein hängen immer noch vor allem von einem ab: einer bestimmten Zeichenfolge. Und die kann ziemlich dumm und fahrlässig sein. 123456.

hallo, passwort, hallo123, schalke04

Mittlerweile gibt es Sicherheitsstandards, die noch mehr Faktoren mit einbeziehen, beispielsweise die Zwei-Faktor-Authentifizierung, bei der noch mindestens ein zweites Gerät oder ein zweiter Account nötig ist, um sich einzuloggen.

Dennoch: 123456. Dieses Passwort wird in aktuellen Statistiken schon gar nicht mehr aufgenommen, weil es jahresübergreifend nach wie vor das beliebteste Passwort überhaupt darstellt, weil: einfach und leicht zu merken. Beliebt im deutschsprachigen Raum sind noch in absteigender Reihenfolge: hallo, passwort, hallo123, schalke04, passwort1, qwertz, arschloch, schatz, hallo1, ficken.

Wie kann ein Forschungsinstitut meine Passwörter in einer Studie verwenden? Für diese Studie wurden über eine Milliarde Nutzerkonten analysiert. Das war möglich, weil sie alle durch 31 Datenlecks zugänglich und im Internet frei verfügbar waren. So gesehen waren es die häufigsten Passwörter unter einer Milliarde bereits gehackter Accounts. 20 Prozent dieser Nutzer verwendeten das gleiche Passwort für mehrere Accounts, 70 Prozent benutzten einander ähnelnde Passwörter.

Ob eigene Accounts betroffen sind, lässt sich anhand eines Tools von den Autoren dieser Studie selbst überprüfen.

Passwortstrategien

Daneben nehmen die Accounts pro Person rasant zu, da die Dienste, die jemand in Anspruch nimmt, immer öfter ein Login verlangen. Für jedes Login ein anderes Passwort mit den unterschiedlichsten Bedingungen?

Das kann sich kein Mensch merken. In diesem Fall kann die Aufgabe von Passwortmanagern übernommen werden oder von weiteren Diensten. Welche wiederum ihrerseits ein Passwort verlangen. In diesem Fall jedoch nur noch eines. Die Studie empfiehlt

  • keepass, das auch nur lokal und als App verwendet werden kann. Andere Online-Dienste wie
  • lastpass oder
  • 1password rühmen sich gerade darin, die Einfachheit und Bequemlichkeit mit einem Höchstmaß an Sicherheit zu verbinden. Die eigenen Passwörter liegen allerdings wieder auf einem fremden Server.

Der 1. Februar ist der Tag des Passworts – hoffentlich auch einer des sich verändernden Passworts. Oder das Überdenken der eigenen Passwort- und Sicherheitsstrategien.

Besser: Passphrasen

Das größte Sicherheitsleck ist der Mensch bzw. sein Streben nach Bequemlichkeit. Menschen verhalten sich ziemlich unzuverlässig, wenn es darum geht, sich sichere Passwörter auszudenken.

Hier können Sie berechnen lassen, wie sicher Ihr Passwort ist und wie lange derzeitige Computer brauchen, es zu knacken. Bis zu 350 Milliarden Versuche pro Sekunde sind möglich. Ein gebräuchliches Wort ist demnach in 18 Millisekunden knackbar, der Name des Hundes in 27 Millisekunden, drei Wörter mit Leerzeichen immerhin in 2,2 Sekunden.

Nun aber Achtung: das Passwort p%9y#k&yFm? braucht ähnlich lange wie die Passphrase Sonders untersucht merken Lieber!, nämlich über 90 Millionen Jahrhunderte. Frage: Welches können Sie sich besser merken?

Eine Passphrase aus mehreren zufälligen Wörtern ist die zuverlässigste Kombination von Sicherheit und Bequemlichkeit. Es gibt Webseiten, die Passphrasen generieren und Ihre Phantasie für eine eigene Passphrase anregen: Wär ich ein kleiner Igel, hätt ich rosa Pfoten!

Für die interessierten Laien wird der Zusammenhang durch einen Comic noch veranschaulicht:

Passwortphrasen erstellen

Resümee: Nach 20 Jahren Diskussion um Passwortsicherheit sind wir nun soweit, dass sich jeder Passwörter ausdenkt, die sich kein Mensch merken kann, aber für Computer einfach zu knacken sind.

Daher: Lachen ableiten glühende Gänse!

Jetzt teilen auf: