Experte gibt Tipps für sichere Passwörter: Besser zufällig generiert statt „hallo123“

„123456“ ist das weltweit am häufigsten benutzte Passwort, haben Forscher kürzlich herausgefunden. Bei derart einfachen Kombinationen haben Hacker leichtes Spiel, an die persönlichen Daten von Millionen Nutzern zu kommen. Wir haben Prof. Dr. Sebastian Schinzel, Experte für IT-Sicherheit, gefragt, wie man die eigenen Accounts besser schützen kann.

Prof. Dr. Sebastian Schinzel ist Experte für IT-Sicherheit an unserem Fachbereich Elektrotechnik und Informatik.
Prof. Dr. Sebastian Schinzel ist Experte für IT-Sicherheit an unserem Fachbereich Elektrotechnik und Informatik.

Herr Prof. Schinzel, Analysen zeigen, dass in Deutschland simple Passwörter wie „hallo“, „passwort“ und „hallo123“ sehr beliebt sind. Was macht hingegen ein sicheres Passwort aus?

Ein sicheres Passwort ist eins, das sehr kompliziert ist, zufällig generiert wurde und nur für eine einzige Anwendung verwendet wird. Und weil sich niemand solche Passwörter merken kann, sollten sie verschlüsselt in einem Passwort-Programm gespeichert werden. Die sind mittlerweile sehr komfortabel und synchronisieren sich sogar über verschiedene Endgeräte hinweg. Ein Beispiel für ein solches Programm ist Lastpass.com. Ein weiteres immer häufiger verwendetes Sicherheitsfeature ist die Multifaktor-Authentifizierung. Möchte man sich an einer Anwendung anmelden, dann braucht man einerseits das Passwort und andererseits eine Art Pin, die per SMS oder App auf ein Handy geschickt wird. Das Passwort ist daher praktisch nutzlos, wenn der Angreifer nicht auch noch Zugriff auf das Smartphone bekommt.

 

Wieso ist es wichtig, dass das Passwort nur für eine einzige Anwendung verwendet wird?

Passwort-Datenbanken werden leider immer wieder gestohlen. Verwendet man jetzt bei einer solchen Anwendung, deren Daten abhandengekommen sind, das gleiche Passwort wie für andere Seiten, dann können sich Angreifer auch dort anmelden.

 

Wie kann man prüfen, ob die eigenen Accounts bereits geknackt wurden?

Webseiten wie haveibeenpwned.com sammeln Passwort-Datenbanken, die zuerst gestohlen und dann öffentlich gemacht wurden. Darin kann jeder mit seiner Emailadresse und seinem Benutzernamen suchen, ob dort das eigene Passwort steht und somit öffentlich verfügbar ist. Ansonsten wird sich ein behutsamer Angreifer so vorsichtig verhalten, dass man seinen Zugriff auf die eigenen Daten kaum bemerkt.

Für Unternehmen bieten wir übrigens sogenannte Penetrationstests an, in denen wir beispielsweise prüfen, ob wir Anwendungen des Betriebs kompromittieren können, etwa um Passwörter abzugreifen. Wir beraten Unternehmen auch dahingehend, was sie tun können, um die Mitarbeiter rund um das Thema Passwortsicherheit zu unterstützen. 

Seite drucken