Das perfekte Passwort ... gibt es leider nicht

25. Juli 2005, 13:29
20 Postings

Nach leicht merkbarer Methode verschlüsselte Codes schützen aber wenigstens vor Trivialangriffen

Nachdem zwei Fälle von Passwort-Hacking bei der Internet-Auktionsplattform eBay bekannt geworden sind - der WebStandard berichtet - , machen sich viele Web-User Sorgen um die Sicherheit ihrer Daten beim Surfen und Einkaufen im Netz. Sie sind auf der Suche nach dem "perfekten" Passwort. Das gibt es leider nicht, bedauern Computerexperten. Allerdings könne man sehr wohl Maßnahmen ergreifen, um sich besser zu schützen.

"Je einfacher ein Passwort gestrickt ist, desto leichter kann man es durch reines Raten herausfinden"

"Je einfacher ein Passwort gestrickt ist, desto leichter kann man es durch reines Raten herausfinden", sagte Thomas Mandl, technischer Leiter beim Wiener Virenschutzhersteller Ikarus, im APA-Gespräch. Auf leicht herzuleitende Codes, wie den Namen der Ehefrau, des Kindes oder des Lieblingshaustiers, sollte man daher verzichten.

'Meine Freundin ist blond'

Andererseits wird Kombinationen wie "x53F$-HuGo" kaum jemand auf Dauer im Gedächtnis behalten. Der Fachmann empfiehlt daher folgende Methode zur Kreation komplexerer Passwörter, die man sich merken kann: "Man nehme einen bestimmten Satz her, etwas aus dem persönlichen Umfeld. Zum Beispiel: 'Meine Freundin ist blond' oder 'Mein Auto ist rot und sehr alt'". Davon extrahiere man beispielsweise jeweils die Anfangsbuchstaben inklusive Groß- und Kleinschreibung sowie aller Satzzeichen. Das daraus gewonnene Passwort lautet hier: "MAirusa."

Grundsätzlich gelte, so Mandl: "Je länger ein Passwort ist, desto besser. Außerdem sollte man Sonderzeichen wie Punkt, Beistrich oder Ausrufungszeichen hineinnehmen und Zahlen einbauen." Das könnte beim vorliegenden Beispiel so aussehen: Beim Satz "Mein Auto ist rot und schon sehr alt" komprimiert man die beiden "s" aus "schon" und "sehr" zur Formel "2s", daraus ergibt sich: "MAiru2sa".

"Brute-Force"-Angriff

Wird das System, in dem sich ein User bewegt, etwa der Webserver, geknackt, sind aber auch auf solche Weise generierte Codes nicht sicher. Hacker könnten mit einem "Brute-Force"-Angriff auf die verschlüsselt gespeicherten Passwörter kommen. Dazu braucht es laut Mandl Spezialprogramme, die alle möglichen Zahlen- und Buchstabenkombinationen durchprobieren - und von denen mehrere frei im Internet heruntergeladen werden könnten. Je nachdem, wie kompliziert ein Code angelegt wurde, dauere so ein Verfahren "zwei Stunden oder Tage".

Fazit: Das Gehirnschmalz, das man in ein vermeintlich sicheres Passwort investiert, hilft nicht gegen professionelle Hacker, die im großen Stil vorgehen, schützt aber vor trivialeren Angriffen.

"Meiner Meinung nach wird es aber noch lange dauern, bis sich das durchsetzt"

Viel mehr Sicherheit würde die Verwendung einer Signatur bringen, wie sie beim Telebanking im Einsatz ist, glaubt Mandl. "Meiner Meinung nach wird es aber noch lange dauern, bis sich das durchsetzt, weil die Anwendung für den normalen User noch zu kompliziert ist. Man müsste seine Signaturkarte immer dabei haben, etwa wenn man auswärts im Internetcafe surft."

Passwörter aufzuschreiben ist nur "in den eigenen vier Wänden" erlaubt, am Arbeitsplatz könnten sie sonst leicht ausspioniert werden. "Wenn schon, dann bitte in der Geldbörse verwahren - und bitte verschlüsseln", mahnt Mandl. Grundsätzlich wäre die Verwendung vieler verschiedener Passwörter wünschenswert. "In der Praxis werden es nicht mehr als drei oder vier sein, aber das ist besser als ein einziges."

Luxus

Bei den beiden jüngsten Hackattacken auf dem virtuellen Marktplatz eBay hatten Unbekannte auf fremde Accounts eine Vielzahl von Luxuskarossen "gekauft". Die Geschädigten, zwei Niederösterreicher, könnten auf den Schadenersatzforderungen der Verkäufer sitzen bleiben. (APA)

Share if you care.