Internet: Sicherheit: Passwort
Ein sicheres Passwort verwenden
BearbeitenEin Passwort nützt herzlich wenig, wenn es mit einem gängigen Tool aus dem Internet schon in wenigen Minuten geknackt werden kann. Ein Passwort sollte kein Wort sein! Bei einem sogenannten Wörterbuchangriff probiert ein Hackerprogramm jedes Wort eines Wörterbuches durch. Ein Standard-PC braucht für den kompletten Durchlauf mit einem Dutzend Sprachen nur wenige Sekunden. Verwenden Sie deshalb kein Wort, das in irgendeinem Wörterbuch der Welt stehen könnte! Ein Passwort sollte aus möglichst vielen und unterschiedlichen Zeichentypen bestehen, z. B. „a72:B5*3“. So ein Passwort kann nur mit der „Brute-Force-Methode“ geknackt werden. Mit Brute-Force, deutsch etwa „Brutale Gewalt“, bezeichnet man das Ausprobieren aller möglichen Zeichenkombinationen, bis das Passwort gefunden ist.
- Bei einem Passwort, das aus 6 Kleinbuchstaben besteht, gibt es 266 = 308.915.776 Kombinationen. Ein PC mit Dual-Core-CPU braucht etwa 15 Sekunden, um sie alle durchzuprobieren.
- Bei einem Passwort aus sechs Groß- und Kleinbuchstaben sowie Ziffern gibt es (26+26+10)6 = 626 = 56.800.235.584 Kombinationen. Alle durchzuprobieren dauert eine knappe Stunde. Kommt ein siebentes Zeichen dazu, dauert es 62 mal länger, also etwa zwei Tage. Mit einem achten Zeichen sind es vier Monate.
- Wenn Sie außerdem Sonderzeichen einstreuen, wächst die Zeit um ein Vielfaches.
- Am einfachsten kommen Sie an wirklich sichere Passwörter, wenn Sie sich einen eigenen Satz ausdenken und jeweils die Anfangsbuchstaben nehmen - z. B. aus "Mein alter Computer stürzt 3* am Tag ab!" wird "MaCs3*aTa!" Dieses Passwort ist leicht zu merken und ein handelsüblicher PC würde 2,5 Millionen Jahre brauchen, um es zu knacken. Anderes Beispiel: "An jeden Morgen stehe ich um 7 Uhr auf." ergibt "AjMsiu7Ua.", das Knacken würde eine halbe Million Jahre dauern.
- Eine weitere Möglichkeit ist es, Zahlen und Sonderzeichen in ein Wort einzustreuen. Aus „Computer“ wird dann: "C,o.m-p,u.t-er", das Knacken würde eine Billion Jahre dauern. Selbst "Com-pu-ter!" ist noch akzeptabel.
- Wenn es Ihnen an Phantasie mangelt, können Sie einen Passwortgenerator verwenden. Nachteil: Ein Passwörter wie "d$Af-5%d)#Y" kann man sich nicht merken, und es fehlerfrei einzutippen ist auch nicht leicht.
Allerdings bietet auch ein kompliziertes Passwort keinen absoluten Schutz. Geheimdienste mit ihren Supercomputern schaffen es in einem Tausendstel der Zeit. Außerdem wird die maximale Berechnungsdauer nur benötigt, wenn die gesuchte Kombination zufällig die letzte aller berechneten Möglichkeiten ist. Schon die erste berechnete Kombination könnte zufällig ein Volltreffer sein, was allerdings extrem unwahrscheinlich ist.
Wenn die „Brute-Force-Methode“ nicht verwendet werden kann, kann die „soziale Methode“ zum Erfolg führen. Viele Leute benutzen den Namen eines Haustiers oder Familienangehörigen als Passwort, vielleicht noch gefolgt vom Geburtsjahr. Wenn es dem Hacker gelingt, Informationen über das persönliche Umfeld zu finden (z. B. bei Facebook), lässt er seinen Computer Kombinationen vom Namen der Kinder mit dem Geburtsjahr, dem Namen des Partners mit dem Jahr der Hochzeit u.ä. ausprobieren. Das klappt verblüffend oft.
Weitere Tipps zum Umgang und zur Auswahl:
Keine Einheitspasswörter!
BearbeitenEin einziges Passwort für viele Zwecke zu verwenden ist riskant. Wenn Sie ein „Einheitspasswort“ für eine leicht zu „knackende“ Anwendung nehmen oder jemand Sie beim Eintippen des Passworts beobachtet, kann mit diesem Passwort großer Schaden angerichtet werden. Auch wenn es unbequem ist: Verwenden Sie viele verschiedene Passwörter! Die einfacheren für Chat und Communities, die mittleren für Online-Bestellungen, die anspruchsvollsten für das Online-Banking.
Passwörter nicht aufschreiben!
BearbeitenAll diese Vorsichtsmaßnahmen nützen nichts, wenn Sie die Passwörter in einer unverschlüsselten Datei auf Ihrem PC speichern! Andererseits kann sich niemand merken, welches von mehreren Passworten er für welchen Zweck verwendet hat. Sie könnten ein zweistufiges System verwenden:
- Schreiben Sie ein Sortiment Passwörter auf einen Zettel. Wenn Sie ein halbes Dutzend Passwörter haben, werden Sie diese mit der Zeit auswendig wissen. Schreiben Sie nicht auf diesen Zettel, wofür jedes einzelne Passwort verwendet werden soll.
- Schreiben Sie auf einen anderen Zettel, welches Passwort Sie für welche Anwendung benutzen. Dadurch ist nicht auf Anhieb erkennbar, welche Passwörter für welchen Zweck verwendet werden. Notieren Sie in dieser Liste der Anwendungen nicht die Passwörter, sondern nur deren ersten Buchstaben oder deren Länge, falls alle Ihre Passwörter verschieden lang sind (z. B. „ebay 8“ bedeutet: Für ebay das aus acht Zeichen bestehende Passwort verwenden). Diese Passwortverwendungsliste können Sie neben den heimischen PC oder in die Brieftasche legen oder auf dem PC speichern, aber in einer Datei mit unverfänglichem Namen. Achtung! Der Browser bietet Ihnen an, das Passwort zu speichern. Zumindest bei den wichtigeren Passwörtern sollten Sie dieses Angebot ablehnen. Die Datei zu knacken, in der Windows die Passwörter speichert, ist ein Kinderspiel.
- Sie können dieses System noch verschärfen. „ebay 8x“ bedeutet „das aus acht Zeichen bestehende Passwort verwenden und den Buchstaben x anhängen“. „ebay v8-3“ bedeutet „das Passwort beginnt mit einem "v", es folgt das aus acht Zeichen bestehende Passwort, ein Minuszeichen und dahinter das aus drei Zeichen bestehende Passwort anhängen“.
Internetnutzung an öffentlichen PCs
BearbeitenBei PCs in Internetcafes, Unis und Hotels weiß man nie, wie gut sie geschützt sind. Einige wenige Betreiber versetzen den PC nach jeder Benutzung automatisch zurück in den Ursprungszustand. In der Regel sind die Sicherheitsvorkehrungen leider mangelhaft. Vielleicht hat der Benutzer vor Ihnen das System infiziert? Vermeiden Sie es, Ihren USB-Speicherstick in einen fremden Computer zu stecken! Sie können nicht wissen, ob der Benutzer vor Ihnen einen Keylogger hinterlassen hat (so nennt man ein Hintergrundprogramm, welches heimlich Passwörter protokolliert). Ebenso wenig können Sie wissen, ob der nächste Benutzer die von Ihnen hinterlassenen Cookies und andere Daten auswertet.
Minimieren Sie das Risiko:
- Lassen Sie niemanden zusehen, während Sie ein Passwort eintippen
- Passwörter niemals auf fremden PCs abspeichern
- Die Passwörter ausreichend oft ändern
- Wenn der Anbieter es gestattet, benutzen Sie einen „Anti-Keylogger“. Ein solches Programm verhindert, dass Tastatureingaben protokolliert werden können. Gut geeignet ist das Programm http://myplanetsoft.com/free/antikeylog.php, welches nicht installiert werden muss. Manche Internet-Schutzprogramme stellen eine „virtuelle Tastatur“ zur Verfügung.
- Benutzen Sie den „inPrivate-Modus“. Falls das nicht geht, sollten Sie temporäre Internetdateien, Cookies und den Verlauf vor Verlassen des Computers löschen.