Eigentlich sollte man meinen, dass Passwörter heutzutage mit großem Sicherheitsanspruch erstellt werden, allerdings ist noch immer das Gegenteil der Fall. Unter den meistgenutzten Passwörtern im Internet tauchen millionenfach so simple Kombinationen wie 123456, passwort oder qwerty123 auf und wenig überraschend sind die innerhalb von wenigen Sekunden geknackt.
Genau wie vielleicht auch euer Passwort, denn selbst wahllose Symbolkombinationen können unter Umständen schneller gefunden werden als ihr vielleicht denkt.
So sicher sind eure Passwörter
Bei der Frage nach einem sicheren Passwort entscheiden vor allem zwei wichtige Faktoren – die Länge und die verwendete Art der Zeichen. Um den Unterschied zu verdeutlichen haben wir hier ein kleines Quiz:
Was ist das sicherste Passwort?
- gAmePRo
- G4mePr0
- G4%mEP
Würdet ihr euch für das untere Passwort entscheiden, lägt ihr falsch. Das kann trotz Sonderzeichen in knapp 12 Stunden geknackt werden, das mittlere würde hingegen zwei Wochen standhalten und das obere immer noch vier Tage (via Hive Systems).
Denn Sonderzeichen erhöhen die Zeit, die es benötigt, das Passwort zu knacken, lediglich um das Zwei- bis Dreifache. Die Länge sorgt jedoch für eine deutlich höheren "Hack-Schwierigkeitsgrad" – in unserem Beispiel dauert es 56-mal länger das Passwort zu entschlüsseln.
Wichtig! Dabei handelt es sich um absolute Werte, die nicht in Betracht ziehen, dass ihr häufig verwendete Worte oder Phrasen verwendet oder der Hacker einen frühen Zufallstreffer landet. Dann kann sich die Zeit deutlich verkürzen.
Wollt ihr also auf der sicheren Seite sein, dann solltet ihr euch für ein Passwort mit wahllos platzierten Zahlen, kleingeschriebenen Buchstaben, Großbuchstaben und Sonderzeichen mit mindestens zwölf Zeichen Länge entscheiden.
Dann braucht selbst ein schneller PC mit gleich mehreren High-End-Recheneinheiten bei einem unsicheren Verschlüsselungsstandard wie MD5 maximal 226 Jahre, um jede einzelne mögliche Kombination auszuprobieren.
Zumeist schlägt euch euer Browser eine solche Kombination vor, alternativ könnt ihr aber auch ein Passwort von einem Generator vorschlagen lassen. Auch Passwort-Manager wie 1Password oder Proton Pass funktionieren auf diese Weise, sie erstellen lange und sichere Kennwörter und ihr müsst euch lediglich das Master-Passwort für die Software merken.
Wie wird ein Passwort überhaupt gehackt?
Im seltensten Fall wird ein halbwegs sicheres Passwort dadurch entdeckt, dass ein Angreifer mehrfach versucht, sich bei einem Dienst einzuloggen. Moderne Online-Server sind zumeist darauf ausgelegt, häufige Login-Versuche in kurzer Zeit zu erkennen und den Account dann zu sperren oder die Zeit zwischen den Versuchen drastisch zu erhöhen.
Stattdessen werden viele Brute Force-Attacken – wie das pausenlose Durchprobieren aller möglichen Passwortkombinationen genannt wird – zumeist offline durchgeführt.
Dabei wird die Datenbank mit den verschlüsselten Passwörter gestohlen und der Angreifer probiert ohne Einschränkungen so lang alle möglichen Kombinationen durch, bis er das entsprechende Verschlüsselungsgegenstück findet, also das Passwort aufdeckt.
Daraus resultieren auch die oben genannten Zeiten, denn diese Methode ist die für Passwort-Attacken "normalere" Variante.
22:52
Tencent übernimmt Gaming - wie gefährlich ist der Mega-Publisher wirklich?
Ob ihr Teil eines solches Passwortdiebstahls seid oder wart, findet ihr beispielsweise über den Leak-Checker der Universität Bonn heraus. Im Passwort-Manager von Google Chrome und vielen anderen Browsern werdet ihr ebenfalls darauf hingewiesen, sobald ein Passwort im Netz auftaucht.
Konten können auch anderweitig gestohlen werden
Neben dem Brute Force-Ansatz gibt es noch ein paar zusätzliche Methoden, um Passwörter zu stehlen. Darunter fallen beispielksweise:
- Phishing: Beim Phishing werdet ihr beispielsweise per Mail auf eine gefälschte Seite weitergeleitet, auf der ihr Kreditkartendaten oder Passwörter eingeben könnt. Checkt daher stets die URL und die aufgerufenen Seiten auf Rechtschreibfehler oder seltsame Grafiken!
- Spoofing: Spoofing funktioniert ganz ähnlich wie Phishing, damit ist im Normalfall jedoch das vortäuschen einer vetrauenswürdigen Seite oder E-Mail-Adresse gemeint.
- Social Engineering: Angreifer können versuchen, sich als eure Person auszugeben und über kommunikative Techniken ein Unternehmen hinters Licht führen, um an euren Account zu kommen. Das funktioniert aber auch andersherum, wenn ihr also nach bestimmten Daten und Passwörtern am Telefon oder per Chat gefragt werdet, geht niemals darauf ein!
- Mal- und Ransomware: In heruntergeladenen Dateien kann sich Schad-Software verstecken, die euren Computer infiziert und somit zum Verlust von sensiblen Daten führt. Sie kann komplett verschiedene Ausprägungen haben und beispielsweise zur Eingabe von Passwörter aufrufen oder eure Tasteneingaben aufzeichnen.
Seid ihr aufmerksam und behaltet eure (sicheren) Passwörter immer für euch, kann euch in der Regel aber wenig passieren. Auch solltet ihr niemals einer Person per Remote-Funktion Zugriff auf euren PC oder euer Handy geben. Das geht beispielsweise über Apps wie Team Viewer oder AnyDesk.
Denn sonst kann es ganz schnell passieren, dass Schadsoftware heruntergeladen und aktiviert wird, die eure Daten stiehlt und vielleicht sogar Hinweise auf eure Online-Konten liefert.
E-Mail-Anhänge und heruntergeladene Daten solltet ihr in der Regel ebenfalls mit dem Windows Defender, Malwarebyte, Virustotal oder einem anderen aktuellen Virenscanner überprüfen, sofern ihr euch nicht einhundertprozentig sicher seid, dass sie aus einer seriösen Quelle stammen.
Noch sicherer wird es mit der Zwei-Faktor-Authentifizierung
Nicht nur ein sicheres Passwort schützt eure Online-Accounts vor einem fremden Zugriff, sondern auch eine sogenannte Zwei-Faktor-Authentifizierung, kurz: 2FA. Dabei dient ein zusätzliches Aktivierungsgerät als zusätzlicher Faktor beim Login, daher auch der Name.
Viele Dienste bieten solch eine Funktion an, beispielsweise über eine Smartphone-App wie den Google Authentificator. Meldet ihr euch bei einem Service an, müsst ihr dann von eurem Handy einen Code ablesen und ihn beim gewünschten Gerät eingeben. Erst dann erhaltet ihr Zugriff auf das Konto.
Ganz ohne Passwort geht es zudem via Passkey. Dabei werden lange Zeichenfolgen hinter Erkennungsmerkmalen versteckt, die lediglich ihr liefern könnt. Beispielsweise ein Gesichts-Scan, ein Fingerabdruck oder eine PIN-Abfrage, die nicht via Remote-Steuerung gesehen werden kann.
Das PlayStation Network unterstützt diese Funktion beispielsweise:
Ihr habt also verschiedene Optionen, um sicher im Internet unterwegs zu sein. Ein Daten- oder Kontendiebstahl kann erhebliche Folgen haben, weshalb ihr euch auch mit Bedacht agieren solltet.
Welche Maßnahmen nutzt ihr in der Regel? Habt ihr vielleicht sogar noch ein paar weitere Tipps, die die Sicherheit im Internet erhöhen? Hättet ihr gedacht, dass die Länge entscheidender ist als zusätzliche Symbole?
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.