So machen Sie Ihr Passwort unknackbar

Letzte Woche wurde Christopher Chaney vom FBI in Florida verhaftet. Berühmt wurde Chaney als Promi-Hacker, der sich Zugang zu den E-Mail-Accounts von Schauspielerin Scarlett Johansson, Sängerin Christina Aguilera und weiteren Stars verschafft hatte. Kurze Zeit später kursierten im Internet Nacktbilder aus Johanssons privatem Mail-Konto.

Der 35-Jährige hatte sich via Facebook und Twitter durch zahlreiche Beiträge der Opfer geklickt und nach möglichen Passwörtern für die E-Mail-Konten der Stars gesucht. Kaum hatte er eines gefunden, das ihm Zugang zu einem E-Mail-Dienst ermöglichte, hatte er den Jackpot geknackt.

Dumme Promis halt, die bestimmt den Namen des Freundes als Passwort gewählt haben, denken Sie nun vermutlich - ertappt? Falls Ihnen der Gedanke tatsächlich durch den Kopf ging, könnten Sie sich gründlich täuschen. Die meisten von uns – selbst Informatiker – verwenden dasselbe, oft zu kurze Kennwort zum Anmelden bei Online-Shops, Facebook, oder gar beim Online-Banking.

Viel zu leicht erratbare Passwörter werden nicht ohne Grund gewählt: Wir müssen uns immer mehr Passwörter merken und entledigen uns daher der nervenden Passwort-Last durch ein Universal-Kennwort, das uns als Passepartout die Pforten der digitalen Welt öffnet. Kriminelle kennen diese Schwäche und nutzen sie gnadenlos. Zu kurze Passwörter ohne Sonderzeichen lassen sich beispielsweise oft mit Wörterbuch-Angriffen in Sekunden knacken. Der Angreifer nutzt hierfür Datenbanken mit häufig genutzten Passwörtern (siehe Kasten).

Ein handelsüblicher PC kann in einer Sekunde Millionen von allen erdenklichen Zeichenkombinationen des Alphabets ausprobieren. Für ein sechsstelliges Passwort aus Kleinbuchstaben ohne Sonderzeichen – wie es häufig genutzt wird – ergeben sich rund 309 Millionen Zeichenkombinationen. Ein gewöhnlicher PC wird ein simples Passwort wie «tobias» daher in wenigen Sekunden knacken. Hiesse es «tOBi99», müsste der Rechner bereits 57 Milliarden Kombinationen ausprobieren.

Wie sicher Ihre Passwörter sind, können Sie im Passwort-Check auf der Website des Datenschutzbeauftragten des Kantons Zürichs im Detail testen. Die Seite empfiehlt korrekterweise nicht das eigene Kennwort anzugeben, sondern ein ähnliches. Lautet ihr Geheimcode «sonne?12», können Sie beispielsweise das fiktive Passwort «sonne!21» testen.

Je länger Ihr Kennwort ist, desto besser. Bereits grossen Schutz bieten zehn Zeichen. Grossbuchstaben, Sonderzeichen und Zahlen erhöhen die Sicherheit zudem massiv. Ein Passwort wie «IchWurdeInZürich8001GEBoren*» ist daher leicht zu merken und so gut wie unknackbar.

Noch sicherer sind Passwörter mit Sonderzeichen, die nicht auf der Tastatur stehen, da diese seltenen Zeichen bei Angriffen oft unbeachtet bleiben. Beispielsweise kann das ®-Zeichen nur über das Eintippen der Zahlen 0174 bei gedrückter ALT-Taste eingegeben werden. Ebenfalls auf der sicheren Seite ist, wer auf ein General-Passwort verzichtet und die individuellen Kennwörter weder auf dem PC, Handy noch im E-Mail-Konto speichert.

Wer befürchtet, dass sein Passwort bereits bei Cyberkriminellen in Umlauf ist, kann dies auf der Seite ShouldIChangeMyPassword.com «prüfen». Hinter der Website verbirgt sich laut dem Betreiber eine Datenbank mit in Hackerforen veröffentlichten E-Mail-Zugangsdaten. Tatsächlich hilfreich ist die Website allerdings nicht. Sucht man nach seiner E-Mail-Adresse und wird das Passwort von ShouldIChangeMyPassword.com nicht gefunden, heisst dies nicht, dass es nicht trotzdem in Umlauf ist, da die durchsuchte Datenbank der Website nur einen Bruchteil aller gestohlenen E-Mail-Passwörter enthält. Fraglich ist auch, warum man einer Website im Internet «grundlos» seine E-Mail-Adresse anvertrauen soll.