Rechnet man private und berufliche Anwenderkonten zusammen, kommt ein durchschnittlicher Deutscher auf über 78 Online-Accounts – ein Amerikaner sogar auf 150! Dementsprechend werden wir tagtäglich mit der Auswahl, Eingabe und Verwaltung von Passwörtern konfrontiert, die vor dem Zugang unbefugter Dritter auf Anwendungen und Dienste schützen sollen.

Im privaten Bereich liegt es in der Eigenverantwortung, die Passwörter zu wechseln und für die eigene Sicherheit zu sorgen. Im Unternehmen hingegen ist jedem die quartalsmäßige Anzeige, in der zum Wechsel aufgefordert wird, ein neues sicheres Passwort zu wählen, das den firmeninternen Vorgaben entspricht, bekannt. Die Vorgaben der Unternehmensleitung ein „sicheres“ Kennwort zu wählen, können unterschiedlicher nicht sein.

Aber was ist ein sicheres Passwort überhaupt?

Zur Beantwortung dieser Fragen ist es erforderlich die genauen Methoden der Hacker zu betrachten und deren Vorgehen zu untersuchen. Infolge vergangener Angriffe auf Großunternehmen, wurden Unmengen von Benutzerkonten und die dazugehörigen Passwörter geknackt. Die Ergebnisse sind in Listen zusammengetragen mit teilweise mehreren Millionen Kennwörtern, die Benutzer zum Schutz ihrer Konten verwendet haben. Neben diesen Listen werden Wörterbücher aller bekannten Sprachen verwendet. Die Einträge dieser Tabellen werden dann in rasender Geschwindigkeit in das Passwortfeld eines Benutzerkontos automatisiert eingegeben, bis der Account geknackt ist. Diese Methode wird als „Dictionary-Attack“ bezeichnet.

Ein Brute-Force-Angriff ist eine weitere Herangehensweise zur Entschlüsselung von Passwörtern, wobei einfach so lange alle Zeichen und Zahlen miteinander kombiniert werden, bis die Lösung vorliegt. Die Dauer der Entschlüsselung ist daher maßgeblich von der Anzahl der möglichen Kombinationen abhängig, die sich errechnen lässt aus der verfügbaren Zeichenanzahl und der Passwortlänge, bspw. bei Groß- und Kleinbuchstaben (52) sowie Ziffern (10) und einer Länge von 6 Zeichen, ergibt sich eine Möglichkeit von 62 hoch 10 (=56.800.235.584).

Ein durchschnittlicher PC benötigt wenige Sekunden um alle Kombinationsmöglichkeiten für ein Kennwort aus 6 Ziffern zu ermitteln, bei 8 Ziffern sind es bereits Monate bis Jahre und 10 Ziffern können mitunter erst in Jahrhunderten entschlüsselt werden.
Der Mensch ist allerdings berechenbar und bedient sich gerne bekannter Muster bei der Passwortauswahl. Die gängigsten Muster sind vor allem Großbuchstaben am Anfang, Kleinbuchstaben in der Mitte und Zahlen bzw. Sonderzeichen am Ende. Auch die sogenannte „L33T-Sprache“ (Ersetzen von Zeichen, wie a durch @) ist bereits in jedem Wörterbuch berücksichtigt und führt zu keiner erheblichen Steigerung der Passwortsicherheit.
Der Hacker kann die beiden Angriffsmethoden entsprechend modifizieren und die Muster berücksichtigen, wodurch die Zeit sich erheblich verringert und auch Passwörter von 10 Zeichen recht schnell geknackt werden können.

Aus dieser Auswertung lassen sich für den Benutzer wertvolle Erkenntnisse ziehen und es können damit Kriterien für ein sicheres Kennwort festgelegt werden:

– Es müssen Groß- und Kleinbuchstaben, Sonderzeichen sowie Zahlen verwendet werden
– Es müssen mindestens 8 Ziffern, besser 10 verwendet werden
– Es dürfen keine Muster erkennbar sein (Großbuchstaben nicht am Anfang, keine Zahl am Ende)
– Zeichen dürfen in keinem sinnlogischen Zusammenhang stehen (Keine Namen, Abkürzungen)
– Passwörter sollten regelmäßig gewechselt werden, mindestens alle 6 Monate
– Für jede Anwendung sollte ein gesondertes Passwort verwendet werden
– Alternativ können 5 ungebräuchliche Wörter aneinandergereiht werden

Aber auch das sicherste Passwort kann nur dann seinen Zweck erfüllen, wenn der Benutzer es sich nicht öffentlich notiert oder leicht zugänglich abgespeichert hat. Zudem kann das ganze Kartenhaus zusammenbrechen, falls ein Einheitspasswort für alle Anwendungen und Dienste verwendet wurde und dieses ungewollt bekannt wird.

Ein hervorragendes Tool zur Umsetzung der komplexen Regelungen ist ein Passwort-Manager, der den Prozess erheblich vereinfacht. In einem verschlüsselten Datei-Container können alle Zugänge und die passenden Kennwörter hinterlegt werden. Zudem bietet die Anwendung die Möglichkeit Passwörter in beliebiger Länge nach dem Zufallsprinzip zu generieren.