Als Admin muss man ganz schön aufpassen. Vor sechs Jahren war ich Berufseinsteiger — „der, der sich nebenbei auch um die Computer kümmert“ — und prompt wurde ein iMac gehackt, für den ich zuständig war. Riesenbockmist und echt peinlich. Das zugrunde liegende Problem war schnell gefunden: ein zu schwaches Passwort. Heute würde mir das zum Glück nicht mehr passieren.
Nach wochenlangen, leider unbemerkt gebliebenen automatisierten Login-Versuchen mit zufälligen Anmeldedaten hatte der Angreifer damals Erfolg: mit der äußerst einfallsreichen Kombination „Martin“ und „Martin“ (danke, Martin!). Und so wurde der betroffenene iMac für einige Stunden zum Teil eines Botnetzes. Aber auch alle späteren Fälle von Identitätsdiebstahl und Betrug mit gehackten E-Mail-Konten, mit denen ich zu tun hatte, wären mit besseren Kennwörtern nicht passiert.
Aber wie sieht ein gutes Passwort aus? Darüber wurde schon so oft geschrieben, dass man lieber nochmal schnell den Abwasch macht, als das Thema schon wieder durchzukauen. Weil ich ständig mit den Kennwörtern anderer Leute oder Unternehmen konfrontiert bin, kenne ich die Situation nur zu gut: Fast alle Passwörter, die mir unterkommen, sind so sicher wie eine offen stehende Wohnungstür. Um ein Passwort wie „Snoopy“ oder das Geburtsdatum der Ehefrau zu knacken, braucht ein handelsüblicher Desktop-PC ungefähr zwei Hunderstelsekunden.
Teilt eure Online-Dienste nach Wichtigkeit in Gruppen ein
Trotzdem hat sich über Jahrzehnte nichts an diesen Passwörtern oder dem Umgang damit geändert, weder bei kleinen Unternehmen noch in internationalen Großkonzernen. Es scheint unmöglich, den Spagat zwischen Sicherheit und Bequemlichkeit zu schaffen: Kennwörter müssen ausreichend kompliziert sein, um unsere digitale Identität gegen Angriffe zu schützen. Gleichzeitig muss man sie sich einfach merken können, damit wir nicht beim Kauf des nächsten neuen Smartphones die Hälfte unserer Accounts zurücksetzen müssen.
Vor der Masse an Regeln für den richtigen Umgang mit Passwörtern kann man schon mal resignieren: Niemals das gleiche Kennwort für verschiedene Dienste verwenden, auf ausreichende Länge achten und immer Zahlen, Groß- und Kleinschreibung sowie Sonderzeichen benutzen; Leetspeak ist längst passé, das Kennwort sollte regelmäßig geändert werden und so weiter und so fort. Am Ende benutzt man dann doch nur ein einziges, ziemlich simples Kennwort für alle möglichen Dienste. „123456“ und „password“ führen die ewigen Hitlisten der Kennwörter seit Jahren an.
Na, ertappt? Falls nicht, solltet ihr euch trotzdem fragen, ob ihr nicht vielleicht doch neue Passwörter braucht. Es genügt meistens, dem eigenen Bauchgefühl zu vertrauen, Websites wie shouldichangemypassword.com und howsecureismypassword.net können darüber hinaus eine Orientierung bieten. Klebezettel mit Passwörtern am Bildschirm oder unter der Tastatur sind ein sehr sicheres Anzeichen dafür, dass ihr euren Umgang mit Passwörtern überdenken solltet. Beliebt sind auch Passwortlisten im Portemonnaie — Ärger gibt es spätestens dann, wenn der Admin sie nach Feierabend im Kopierer findet.
Wichtigste Passwort-Regel: Länge ist wichtiger als Komplexität
Aber in zwei Schritten könnt ihr alle eure Passwörter verbessern: Zuerst teilt ihr alle verwendeten Online-Dienste in zwei oder drei Gruppen ein. Das ist sehr einfach, aber fürs Erste recht wirkungsvoll. Diese Unterteilung nehmt ihr am Besten nach Wichtigkeit vor. Jede dieser Gruppen erhält ein eigenes Passwort, welches dann im zweiten Schritt für die einzelnen Dienste variiert wird. Wird nun beispielsweise die Adobe-ID gehackt, bleibt so der Zugang zum Homebanking oder zum Mail-Account sicher.
Beim Erstellen von Passwörtern gilt vor allem eine Regel: Länge ist wichtiger als Komplexität. Am besten eignet sich eine Abfolge von Worten oder sogar ein vollständiger Satz. Vor oder nach diesem Satz wird dann ein Kürzel platziert, das sich aus dem Namen der jeweiligen Website ableitet. Zum Beispiel „Is-it-definitely-plugged-in?fB“ für Facebook und „Is-it-definitely-plugged-in?gO“ für Google und so weiter. So geht ihr für alle Accounts einer Gruppe vor, beantwortet — falls möglich — die Sicherheitsfragen und schaltet nebenbei auch immer gleich die Zwei-Faktor-Authentifizierung per Mobiltelefon ein, sofern diese angeboten wird. Das lohnt sich, denn selbst wenn ein Passwort geknackt wird, müsste der Identitätsdieb sich für eine Anmeldung noch Zugang zu eurem Handy verschaffen. Schafft er das nicht, werdet ihr sogar per SMS über den Einbruchsversuch informiert.
Die momentan überzeugendste Lösung für den Umgang mit Passwörtern bieten allerdings Passwort-Manager. Diese kleinen Programme verbinden Sicherheit mit Komfort: Sie nehmen nach und nach alle Kennwörter in ihre verschlüsselten Datenbanken auf, analysieren sie und machen Verbesserungsvorschläge. Sie tragen die Kennwörter automatisch dort ein, wo sie gebraucht werden und vergessen sie nicht ständig. Ich empfehle die plattformübergreifenden Apps LastPass und 1Password. Wer ausschließlich Apple-Geräte benutzt, sollte sich auch unbedingt den iCloud-Schlüsselbund genauer ansehen.
Biometrische Verfahren haben den Charme einer Sicherheitskontrolle am Flughafen
In Zukunft werden wir aber vielleicht gar keine Passwörter mehr brauchen. Eine Zukunft, in der biometrische Erkennungsverfahren dafür sorgen, dass wir uns keine Kennwörter mehr merken müssen, scheint gar nicht mehr so weit weg zu sein. Marktreif, sicher und bequem ist allerdings noch keine dieser Methoden. Apple traut dem Touch-ID-System im iPhone nur in Verbindung mit regelmäßigen Passworteingaben und Samsung experimentiert schon seit Jahren mit Iris-Scans per Smartphone-Kamera, begnügt sich bisher aber mit vagen Ankündigungen. Und immer neue Hacks von Fingerabdruck- oder Iris-Lesern fördern das Vertrauen in diese Ideen nicht gerade. Um sicherer zu werden, müssten sie beispielsweise mit einer Lebenderkennung ausgestattet sein. Stattdessen hat ihr Erfassungsprozess bisher eher den Charme einer Sicherheitskontrolle am Flughafen. Und zuletzt ist es auch nicht die beste Idee, Geheimnisse mit etwas zu schützen, das man immer und überall hinterlässt und bei Bedarf nicht einfach ändern kann.
Es wäre auch möglich, persönliche und häufig getragene Gegenstände mit Funktechnologie auszustatten. So würde zum Beispiel die Kombination aus Piercing, Gürtel, Ehering und Halskette den Zugang zur eigenen Wohnung, zum Mail-Account oder zum Büro regeln. Ein verloren gegangener Gegenstand wäre schnell ersetzt, einzeln nur schwierig zu missbrauchen und könnte bei Diebstahl wie eine Kreditkarte gesperrt werden. Denkbar wäre es natürlich auch, biometrische Methoden und ein solches Token-System miteinander zu kombinieren.
Bis eine derart sichere und praktische Lösung auf dem Markt ist, probiert aber doch lieber einfach nochmal einen Passwort-Manager aus.
ARMIN HEMPEL ist Systemadministrator — obwohl er Musik- und Theaterwissenschaft studiert hat. Wenn er nicht gerade mit Konsolen und Festplatten-Arrays ringt, schreibt er für WIRED Germany über Technologie- und Kulturthemen.