Passwörter begleiten uns unser ganzes Leben. Sei es der gesperrte Computer oder der Zugang zu PayPal – die meisten Internetnutzer müssen täglich Passwörter eintippen oder durch einen Passwortmanager eintippen lassen. Gedanken macht sich kaum jemand darum. Dabei wurden Bürger sogar bereits angeklagt, weil sie sich keine Gedanken gemacht hatten. Ganz zu schweigen von den üblichen gehackten Nutzeraccounts und leergeräumten Bankkonten. Am heutigen „Ändere dein Passwort“-Tag geben wir einen Überblick über zahlreiche wichtigen Passwort-Themen. Angefangen damit, wieso Daniels, Michaels, Thomase und Dennisse besonders häufig gehackt werden.
Passwörter: Der Name ist Programm
Dass Passwörter wichtig sind und sowohl unser Erspartes als auch unsere Identität schützen, dürfe jedem Internetnutzer bekannt sein. Dennoch vernachlässigt die Mehrzahl diesen Umstand. Und so fand sich 2023 abermals das Passwort „123456“ auf dem ersten Platz wieder. Dicht gefolgt von geistigen Meisterleistungen wie „password“, „123456789“, „12345“, „hallo“, „passwort“ und „ficken“.
Interessant ist in diesem Kontext auch, dass hochrangige Führungskräfte und Geschäftsführer genauso gerne schwache Kennwörter verwenden. Beispielsweise setzen diese neben den üblichen Zahlenfolgen mit überwältigendem Abstand auf den Namen „Tiffany“. Auch Tiere und Fabelwesen werden oftmals von Führungskräften als Passwörter verwendet. Das gilt insbesondere für die beiden Geschöpfe „Dragon“ (Drache) und „Monkey“ (Affe). Und zu guter Letzt: Als LinkedIn-Passwort nutzen Manager anscheinend des Öfteren „linkedin“.
Passwortmanager nur teilweise sicher
Wer sich keine Passwörter ausdenken und merken möchte, kann zu sogenannten Passwortmanagern greifen. Diese generieren sichere Kennwörter und speichern diese auch – so, dass der Internetnutzer entspannt im Netz herumsurfen kann. Bloß ist Passwortmanager nicht gleich Passwortmanager. Das bestätigte auch der 2022 durchgeführte Test von Stiftung Warentest. Dieser ergab, dass aus 15 Programmen 4 in den unterschiedlichen Testbereichen gravierende Mängel aufwiesen: „AceBit Password Depot 16“, „Enpass Individual Plan“, „KeePassXC“ und „SafeInCloud Individual“ Pro.
Ob die Mängel auch heute noch vorhanden sind, ist unklar. Der Entwickler Tool AceBit Password Depot 16 besserte etwa unmittelbar nach und weitete die Mindestpasswortlänge auf 15 Zeichen aus. Dennoch zeigt der Test, dass man auch Passwortmanagern nicht uneingeschränkt vertrauen und sich über das jeweilige Tool gut informieren sollte.
Kennwörter umgehen leicht gemacht
Im Vergleich zu biometrischen Schutzmechanismen stellen starke Passwörter nach wie vor die sicherere Option dar. Doch auch diese sind nicht unüberwindbar. Das bewiesen unter anderem britische Sicherheitsforscher. Sie entwickelten unabhängig voneinander mehrere Algorithmen, mit dem Ziel, Passwörter zu knacken. Im ersten von zwei Verfahren werden Wärmebildkameras verwendet, um anhand der Restwärme auf Tastaturen das Passwort bestimmen zu können. In einem weiteren Verfahren kommt ein akustischer Algorithmus zum Einsatz, der Tastenanschläge und damit ganze Passwörter mit einer hohen Genauigkeit am Geräusch erkennt.
So viel zur Forschung, doch auch Kriminelle haben sich Methoden ausgedacht, um an Kartendaten sowie PINs von Bankkunden zu kommen. Die Rede ist vom sogenannten Skimming. Dabei werden Geldautomaten manipuliert und mit täuschend echten Aufsätzen versehen, um elektronische Kartendaten auszulesen, Karten gänzlich einzubehalten oder eben PINs in Erfahrung zu bringen. Letzteres gelingt über versteckte Kameravorrichtungen oder gefälschte Frontplatten mitsamt einer Vorschalt-Tastatur.
100 Millionen Passwörter gestohlen
Wer im digitalen Raum sein Dasein fristet, sollte aus den bereits zuvor aufgeführten Gründen starke Passwörter verwenden. Wie sich Kennwörter das Adjektiv „stark“ verdienen können, verrät unser Passwort-Ratgeber. Nur leider können Cyberkriminelle in solchen Fällen an anderer Stelle ansetzen. Mittels Phishing oder Computerviren lassen sich auch grundsätzlich sichere Passwörter knacken. Zuletzt ist beispielsweise eine Darknet-Datenbank mit gleich 100 Millionen einzigartigen Passwörtern und 71 Millionen dazugehörigen E-Mail-Adressen aufgetaucht. Daher gilt es, seine Konten nach Möglichkeit auch auf anderem Wege zu sichern.
Eine sogenannte Zwei-Faktor-Authentifizierung kann das Konto selbst dann schützen, wenn das Passwort kompromittiert ist. Ferner arbeitet Google gemeinsam mit der FIDO Alliance, Apple und Microsoft bereits seit einigen Jahren an den sogenannten Passkeys – einer sicheren Alternative, die Passwörter künftig überflüssig machen soll. Bis es so weit ist, dürfte es jedoch noch eine ganze Weile dauern.
