Passwort-Sicherheit: Viel Raum für Verbesserungen

Aktuelle Analysen belegen, dass es mit der Passwort-Sicherheit bei vielen Nutzerinnen und Nutzern noch immer nicht weit her ist. Nach wie vor dominieren ausgesprochen schwache Passwörter wie „123456“ oder „qwerty“ (beziehungsweise sein deutsches Gegenstück). Das öffnet Online-Kriminellen Tür und Tor zu derart „abgesicherten“ Benutzerkonten. Es besteht also Handlungsbedarf. Keineswegs sollten die vernichtenden Forschungsergebnisse aber als Signal interpretiert werden, die Flinte ins Korn zu werfen und Benutzer-Schulungen als sinnlos abzutun.

Studie belegt: Passwort-Sicherheit lässt nach wie vor zu wünschen übrig

IT-Sicherheitsforscherinnen und -forscher des Unternehmens Keeper haben in einer Studie die beliebtesten Passwörter des Jahres 2016 analysiert. Dazu haben sie rund 10 Millionen Benutzer-Konten aus sicherheitsrelevanten Vorfällen des Jahres 2016 untersucht.

Die Ergebnisse sind nicht ermutigend. Sie legen nahe, dass viele Nutzerinnen und Nutzer sich noch immer zu wenige Gedanken über Passwort-Sicherheit machen – und dass diejenigen, die Websites betreiben und administrieren, nicht für bestimmte Mindeststandards bei der Passwort-Vergabe sorgen. In der Folge wird es Kriminellen unnötig leicht gemacht, Benutzer-Konten zu kompromittieren.

Kopfschütteln bei Fachleuten

„Als wir die Liste mit den häufigsten Passwörtern 2016 sahen, konnten wir nicht aufhören, die Köpfe zu schütteln“, so das wenig ermutigende Fazit der Sicherheits-Expertinnen und -Experten. Die Reaktion ist verständlich. Der Studie zufolge wurde in nicht weniger als 17 Prozent der Fälle das Passwort „123456“ vergeben. Damit ist dieses Passwort der unangefochtene Spitzenreiter. Auch die längeren Zahlenfolgen „1234567“, „12345678“, „123456789“, „1234567890“ und „987654321“ schafften es unter die Top Ten, ebenso wie „111111“ und „123123“.

Die Vorliebe vieler Nutzerinnen und Nutzer für bequeme Muster auf der Tastatur beweist auch der Klassiker „qwerty“ (auf einer englischen Tastatur der Beginn der obersten Buchstabenreihe; auf deutschen Websites ist erfahrungsgemäß auch das Äquivalent „qwertz“ populär), der es immerhin auf den dritten Platz schafft. Abgerundet werden die Top Ten durch den Begriff „password“. Je nach Nationalität des Forums oder der Website taucht dieser häufig neben Englisch auch in der jeweiligen Landessprache auf.

Vier der zehn beliebtesten Passwörter umfassten nur sechs Zeichen oder weniger. Das macht sie anfällig für einen sogenannten Brute-Force-Angriff, bei dem schlichtweg alle möglichen Zeichenkombinationen der Reihe nach durchprobiert werden. Mit modernen Rechnern geht dies für kurze Passwörter erstaunlich schnell. Nur Sekunden benötigen diese für das Knacken eines Passwortes von sechs Zeichen oder weniger Länge. Angesichts der heutigen Hardware-Leistung und der leichten Verfügbarkeit von Cloud-Rechenzeit empfiehlt es sich für wichtige Konten, Passwörter von zehn oder mehr Zeichen zu verwenden. Acht sollten es auf jeden Fall mindestens sein, um ein Mindestmaß an Sicherheit zu bieten.

Insgesamt beweisen die Nutzerinnen und Nutzer nur wenig Kreativität beim Ausdenken ihrer Passwörter. Die 25 von Keeper identifizierten beliebtesten Passwörter wurden 2016 für über die Hälfte der analysierten Benutzer-Konten eingesetzt. Das ist ein großes Problem, denn jedes derart beliebte Passwort ist unweigerlich auch in der Cybercrime-Szene bekannt. Somit findet es sich in Wörterbüchern, die für Angriffe auf Benutzer-Konten eingesetzt werden. Unabhängig von der Länge sind solche Passwörter in Sekunden zu erraten.

Insgesamt hat sich die Liste der populärsten Passwörter in den letzten Jahren nur sehr wenig verändert. Das ist besorgniserregend, zeigt es doch, dass bisherige Aufklärungskampagnen nur bedingt Erfolg hatten. Manche Nutzerinnen und Nutzer sind offenbar noch immer zu unwissend und/oder bequem, um sichere Passwörter zu verwenden.

Tipps und Tricks: Begriffe aus dem Wörterbuch vermeiden

Die Expertinnen und Experten geben einige Tipps, die die Passwort-Sicherheit erhöhen sollen. So empfehle es sich, Passwörter mit verschiedenen Arten von Zeichen – Ziffern, großen und kleinen Buchstaben und unter Umständen auch Sonderzeichen – zu verwenden, um einen Wörterbuch-Angriff zu erschweren. Aus dem selben Grund sollten Begriffe, die als Passwörter populär sind, und idealerweise auch alle Begriffe aus gängigen Wörterbüchern gemieden werden.

Um dies zu erreichen, ist beispielsweise die als Leetspeak bezeichnete Methode, Buchstaben durch ähnlich aussehende Ziffern oder Sonderzeichen zu ersetzen, denkbar. Alternativ können beispielsweise Sätze gebildet und die Anfangsbuchstaben der darin enthaltenen Wörter als Passwort verwendet werden.

Wer Probleme hat, sich schwierige Passwörter zu merken, und deswegen immer wieder auf schwache Varianten zurückgreift, kann alternativ einen Passwort-Manager nutzen. Diesen Tipp geben die Expertinnen und Experten von Keeper zwar wohl nicht ohne Hintergedanken – immerhin bietet ihr Unternehmen unter anderem auch solche Software an – er wird aber nichtsdestotrotz in der Branche vielfach und zu Recht vertreten. Übrigens bringen viele Betriebssysteme und Webbrowser mittlerweile eine derartige Funktionalität auch schon mit.

Provider in der Pflicht

Neben den Nutzerinnen und Nutzern sieht Keeper – zu Recht – aber vor allem die Betreiber-Firmen von Online-Angeboten in der Pflicht. Diese, so wird vorgeschlagen, sollen mit Hilfe technischer Maßnahmen durchsetzen, dass Passwörter gewisse Mindeststandards erfüllen. Das ist angesichts der Studien-Ergebnisse offensichtlich nötig und zumindest eine kurzfristige Lösung, um Schlimmeres zu verhindern.

Die Hoffnung stirbt zuletzt

Daneben darf aber auch die Schulung der Nutzerinnen und Nutzer nicht vernachlässigt werden. Kein Zweifel, Statistiken wie diese sind entmutigend. Dennoch wäre es der gänzlich falsche Weg, wie von den Kollegen von The Register (nicht ganz ernst gemeint) vorgeschlagen, „einfach aufzugeben“ angesichts der Lernresistenz einiger Menschen. Manche Lernerfolge benötigen einfach Zeit, stellen sich aber irgendwann doch noch ein.

Aktuelles Beispiel dafür ist die Verwendung von Verschlüsselungs-Technologien. Jahrelang schien sich diese trotz unbestreitbarer Vorzüge nicht durchsetzen zu können. Im letzten Jahr jedoch schien endlich der Knoten sowohl bei der Industrie als auch bei den Nutzerinnen und Nutzern zu platzen und starke Kryptographie erreichte den Mainstream. Hoffentlich wird die Nutzung sicherer Passwörter, ruhig durch Rückgriff auf technische Hilfsmittel, auf ähnlichem Wege auch noch zu einer Selbstverständlichkeit. 


Image „datenschutz“ (adapted) by succo (CC0 Public Domain)


schreibt regelmäßig über Netzpolitik und Netzaktivismus. Sie interessiert sich nicht nur für die Technik als solche, sondern vor allem dafür, wie diese genutzt wird und wie sie sich auf die Gesellschaft auswirkt.


Artikel per E-Mail verschicken
Schlagwörter: , , , , , , , , , ,

2 comments

  1. Neben den Nutzerinnen und Nutzern sieht Keeper – zu Recht – aber vor
    allem die Betreiber-Firmen von Online-Angeboten in der Pflicht. Diese,
    so wird vorgeschlagen, sollen mit Hilfe technischer Maßnahmen
    durchsetzen, dass Passwörter gewisse Mindeststandards erfüllen

    Natürlich gibt es dann auch die, die durch schlechte Vorgaben übers Ziel hinaus schießen. Eine Versicherung z.B. zwingt mich, ein absolut unmerkbares Passwort einzusetzen, verhindert aber zugleich, dass dieses Passwort im verschlüsselten Passwortmanager des Browsers gespeichert wird. Damit landet das Passwort irgendwo als unverschlüsselte Notiz und ist sofort wieder unsicher.

    1. Da hast du recht. Manche Passwörter sind zwar theoretisch sicher, aber vollkommen unpraktikabel. Ich empfehle auch den xkcd zum Thema…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert