Tech

V3rd@mMt! Alles, was wir über Passwörter gelernt haben, stimmt nicht

10.08.2017, 15:52

Eine Mischung aus Groß- und Kleinschreibung, dazwischen Zahlen und Sonderzeichen: So sieht ein sicheres Passwort aus, oder? Zum Beispiel Pa$$w0rt oder G3h31mn!s. Und am besten ändert man dieses Passwort alle 90 Tage, richtig?

Falsch.

Das sagt jetzt ausgerechnet der Mann, der uns diese Regeln überhaupt erst eingebracht hat: Bill Burr. Vor 14 Jahren veröffentlichte er einen technischen Leitfaden namens "NIST Special Publication 800-63. Appendix A". Mittlerweile ist er 72 Jahre alt, im Ruhestand – und er bereut, was er damals geschrieben hat. (Wall Street Journal)

Sein Leitfaden galt viele Jahre lang als unumstößliches Passwort-Gesetz. Kein Wunder, denn sein damaliger Arbeitgeber war das Nationale Institut für Standards und Technologie in den USA. Eine mächtige Behörde, die sich unter anderem darum kümmert, dass alle die gleiche Uhrzeit haben, oder dass ein Meter wirklich ein Meter ist.

Als Bill Burr damals seine Passwort-Regeln aufstellte, gab es noch keine großen Studien oder Daten über die tatsächliche Sicherheit von Passwörtern. Die IT-Experten in seiner Behörde ließen ihn nicht einmal einen Blick auf die Passwörter der Mitarbeiter werfen. Burr verließ sich auf ältere, theoretischen Abhandlungen.

Mittlerweile sind die Burr-Regeln hoffnungslos veraltet. Vor allem durch zwei Entwicklungen:

  1. Die Rechenleistung von Computern hat sich seit 2003 vervielfacht. Ein Smartphone hat mehr Power als ein riesiger Computerklotz von damals. Passwörter, die nur ein paar Zeichen lang sind, lassen sich deswegen heute viel schneller knacken.
  2. Durch spektakuläre Hackerangriffe gibt es mittlerweile lange Listen mit Millionen von Passwörtern. Selbst wenn sich Menschen an die Burr-Regeln halten und nicht 123456 als Passwort nutzen, heißt das noch lange nicht, dass sie besonders kreativ oder einzigartig sind.

Was ist denn nun ein sicheres Passwort?

Es kommt auf die Länge an. 8 Zeichen, besser 20 oder mehr Zeichen. Zum Beispiel mehrere Wörter aneinanderreihen, ohne dass sie einen Sinn ergeben, wie zum Beispiel Clown Hannover Drei Springen Öffentlich – das lässt sich immer noch besser merken als vm2$tC#%ajQR #U6QZxv K1qG MvtbCuzw#HXnf5z 9bnW82Krh^snB7FRFR9y.

Zahlen und Sonderzeichen sind auch gut – aber in den neuen Empfehlungen des Nationalen Instituts für Standards und Technologie wird geraten, Nutzern keine starren Vorschriften zu machen. Denn die führen eher dazu, dass zu viele Nutzer sich dieselben Muster ausdenken. Auch die 90-Tage-Regel ist abgeschafft.

Ein Passwort allein reicht aber nicht!

Ganz wichtig: Nicht dasselbe Passwort für verschiedene Dienste nutzen. Wenn einer dieser Dienste gehackt wird, oder jemand ein Passwort ausspäht oder knackt, sind sonst gleich alle Nutzerkonten in Gefahr. Dabei helfen Passwort-Manager, die sich im Hintergrund um sichere Passwörter kümmern – merken muss man sich dann nur noch einen Zugangscode. Wie das geht, steht zum Beispiel hier:

Noch mehr Sicherheit gibt es durch doppelte Anmeldung.

Noch sicherer ist eine doppelte Anmeldung, wie sie von Diensten wie Facebook, Apple, Google oder WhatsApp angeboten wird. Bei einer doppelten Anmeldung – oder Zwei-Faktor-Authentifizierung – hat man nicht nur ein Passwort, sondern braucht zusätzlich einen Code. Das Prinzip kennst du vielleicht schon vom Online-Banking, wenn du eine Überweisung noch durch einen Code bestätigen musst, der extra per SMS kommt.

Die Idee dahinter: Selbst wenn Hacker ein Passwort erbeuten, reicht das nicht, um sich einzuloggen. Der zusätzliche Code kann per SMS kommen, über eine Handy-App oder sogar über einen USB-Stick am Schlüsselanhänger. Hinweise dazu finden sich in den Einstellungen zum Nutzerkonto, bei Facebook zum Beispiel unter "Einstellungen" und dann "Sicherheit".

Geht das nicht einfacher?

Weil das mit den Passwörtern ziemlich nervt, arbeiten Entwickler daran, sie künftig ganz abzuschaffen. Google überlegt zum Beispiel, Nutzer von Android-Handys anhand vieler Datenpunkte zweifelsfrei zu identifizieren. Ein Selfie, der aktuelle Aufenthaltsort und die Art zu tippen könnten künftig dabei helfen, den Nutzer zu erkennen.

Wer das unheimlich findet, muss eben weiter sein Gedächtnis trainieren.


Today

Wo bleibt der verdammte Wahlkampf?

10.08.2017, 15:49 · Aktualisiert: 10.08.2017, 15:50

Verratet mir eure Ideen!

Der Abstieg von der neuen Kanzler-Hoffnung bis hin zum – scheinbar! – aussichtslosen Kandidaten dauerte nur ein paar Wochen. Erst sah es so aus, als hätte Deutschland einen Politik-Star wie Emmanuel Macron oder einen Justin Trudeau. Einen, der sogar junge Wähler begeistern kann: Martin Schulz.

Kurzzeitig wollten fast 50 Prozent der Wähler den SPD-Schulz als Kanzler. Aktuell liegt die SPD aber wieder abgeschlagen bei rund 24 Prozent, die CDU bei 38 (bento). Alles schon aussichtslos für Schulz?