(Bild: © Mila Gligoric – Fotolia.com)
Düsseldorf – Sicherheit scheint nach wie vor ein stark vernachlässigter Aspeket bei der Internetnutzung zu sein. Dies ist Kriminellen offensichtlich deutlich bewusst, da sie kräftig Gebrauch von der Unwissenheit der Deutschen machen. Laut der polizeilichen Kriminalstatistik 2013 erreichte die sogennante Cyberkriminalität, dass heißt Delikte, die im Internet begangen wurden (z.B. Ausspähen von Daten wie Bankverbindung, Computersabotage) einen Rekordwert.
Von The Safe Shop
Das Erschreckende: Nur 25% der Straftaten im Bereich Internetkriminalität werden aufgeklärt. In Zeiten von Heartbleed und groß angelegten Datenklaus ist diese Entwicklung nicht verwunderlich. Ein Grund für den Anstieg der Cyberkriminalität ist, dass viele Internetnutzer ein viel zu leichtes Passwort haben und so Hackern einfach Zugang zu ihrem E-Mail- oder sogar Bankkonto ermöglichen.
Unwissenheit der Benutzer
Der Grund für den zu leichtfertigen Umgang mit den eigenen Passwörtern und dafür, dass bei Smartphones zum Teil ganz darauf verzichtet wird, liegt meist in der Unwissenheit der User. Manche denken sich sicherlich, dass niemand ihre Daten für so wichtig hält, dass er Stunden oder Tage damit verbringt, viele Kombinationen durchzugehen. Oder aber sie glauben, dass Leute im Internet nicht wissen können, dass ihre Katze „Susi“ heißt. Den Usern ist häufig nicht klar, dass Opfer häufig nicht gezielt sondern durch Zufall ausgewählt werden. Man sollte aber wissen, dass Hacker in den meisten Fällen nicht einfach versuchen ein Konto gezielt zu knacken. Hack-Experte und wissenschaftlicher Mitarbeiter am Institut für Internet Sicherheit der Westfälischen Hochschule Frank Timmermann gibt hierzu zu bedenken: „In der Regel wird nicht gezielt ein System angegriffen, sondern es wird versucht viele Systeme gleichzeitig anzugreifen.
Wie sicher ist mein Passwort?
Es gibt kein hunderprozentig sicheres Passwort. Bei der sogenannten Brute-Force-Methode werden einfach, wie der Name nahelegt, mit „roher Gewalt“ alle möglichen Kombinationen ausprobiert. Jedes Passwort kann also theoretisch geknackt werden, wenn man es nur lang genug versucht. Ziel ist es daher, mit einem Passwort die Zahl der möglichen Kombinationen zu vergrößern, damit ein Hackerangriff zu lange dauern würde und somit für den Angreifer unwirtschaftlich wird. Ihr Passwort sollte also lang sein und aus Klein- und Großbuchstaben, Zahlen sowie Sonderzeichen bestehen.
Nehmen wir zum Verständnis zunächst an, dass wir nur 3 Stellen und lediglich 3 Zeichen („1“, „2“ und „3)“ zur Verfügung haben. Insgesamt ergeben sich 27 Möglichkeiten, „1“, „2“ und „3“ miteinander zu kombinieren. Der wichtigste Hinweis für die Sicherheit eines Passwortes ergibt sich nun aus der Anzahl der nötigen Kombinationen (K) und der Anzahl der Kombinationen, die ein Hacker in einer bestimmten Zeit ausprobieren kann (A). Gehen wir der Einfachheit halber nun davon aus, dass eine Person 20 Kombinationen pro Minute ausprobieren kann. Die Zeit (T), die jemand maximal braucht um das Passwort zu knacken errechnet sich wie folgt. T=K/A (also in unserem Fall 27/20). Daraus ergibt sich, dass ein Hacker, wenn er 20 Kombinationen pro Minute ausprobieren kann, nicht einmal 2 Minuten brauchen um alle Kombinationen durchzugehen. Auf den ersten Blick sieht man, dass dies nicht sicher genug ist.
Mehr Zeichen, längeres Passwort
Es gibt zwei Möglichkeiten: Erstens können wir die Anzahl der Symbole erhöhen. Nehmen wir an, dass wir zusätzlich zu „1“, „2“ und „3“ auch die restlichen Zahlen sowie das Alphabet in Groß- und Kleinschreibung hinzunehmen. Somit erhöht sich die Anzahl der Zeichen auf insgesamt 62 (10 für die Zahlen „1“-„9“ und „0“, 26 für das kleine Alphabet sowie 26 für das große Alphabet). Die Anzahl der Kombinationsmöglichkeiten ist demnach 62^3 oder 238.328. Der Exponent „3“ steht hier wieder für die 3 Stellen, die unser Passwort hat. Die maximale Hackzeit ergibt sich nun, wenn wir diese Zahl durch 20 (die Anzahl der Versuche pro Minute) teilen. Schlagartig erhöht sich die nötigte Zeit, um alle Kombinationen durchzugehen, auf 8 Tage, 6 Stunden, 36 Minuten und 24 Sekunden. Das sieht schon besser aus. Zusätzlich sollten Satz- („!“, „.“, „?“ etc.) sowie Sonderzeichen („€“; „$“, „%“ etc.) im Passwort verwendet werden, da man die Anzahl der Zeichen so auf über 90 erhöhen kann.
Die zweite Möglichkeit zur Verbesserung des Passwortes ist die Anzahl der Stellen zu erhöhen. Wir benutzen dafür nun 12 Stellen, wobei wir die Zeichenanzahl unverändert bei 3 lassen. Die Anzahl der Kombinationen ist somit bei 3^12 oder 531.441. Diese Zahl ist mehr als doppelt so groß wie die Anzahl der Möglichkeiten die wir bekommen, wenn wir 3 Stellen aus 62 Zeichen wählen würden. Dementsprechend verändert sich auch die Zeit auf 18 Tage, 10 Stunden, 52 Minuten und 3 Sekunden. Das sieht auf den ersten Blick auch sehr gut aus. Jedoch haben wir der Einfachheit halber ja die Anzahl der Versuche, die pro Minute unternommen werden können, stark unterschätzt. In der Realität kann die Anzahl der Versuche leicht im zwei- bis dreistelligen Milliardenbereich pro Sekunde liegen. Die logische Konsequenz ist ein Passwort aus möglichst vielen verschiedenen Zeichen und mit möglichst vielen Stellen zu erstellen Schauen wir mal, wie sich die Sicherheit verändert, wenn wir für 12 Stellen aus 62 (Zahlen, Groß- und Kleinbuchstaben) Zeichen auswählen. Wir erhalten nun 62^12, also 3.226.266.762.397.899.821.056 Kombinations-möglichkeiten und eine Hackzeit, die 3 Jahre überschreitet. Bei dieser Berechnung gehen wir davon aus, dass das Passwort in der Hälfte der Zeit geknackt wird. Dies ist sinnvoll, da man wie oben erwähnt selten alle Kombinationen durchgehen muss, bis man auf das Passwort stößt. Ein Passwort, für das man sehr wahrscheinlich über 3 Jahre zum Hacken braucht, klingt schon relativ sicher, doch da Hackersysteme immer leistungsfähiger werden und sich mittlerweile für viele ein großer Teil des Lebens am PC und im Internet abspielt, sollte man lieber auf ein sehr sicheres Passwort setzen. Dieses kann man durch noch mehr Stellen sowie Satz- und Sonderzeichen bekommen.
Warum sollte mein Passwort kein Wort oder Satz sein?
Wie wir gesehen haben, ist die Länge eines Passwortes (viele Stellen) entscheidender als die Komplexität (viele Zeichen). Da liegt es nahe, sich zu fragen, ob man dann nicht einfach einen ganzen Satz oder ein langes Wort nutzen kann, um sich sein Passwort leicht merken zu können. Die kurze Antwort auf diese Frage ist „nein“. Der Grund hierfür liegt in der Vorgehensweise der Hacker. Sie wenden verschiedene Strategien an, um Systeme mit Passwörtern zu knacken.
Wenn man sich vor Augen führt, dass Sprachen selten mehr als 1 Millionen Wörter umfassen und der Grundwortschatz noch weit geringer ist, wird deutlich, dass ein modernes Hackersystem nicht lange brauchen wird, um das richtige Wort zu finden. Außerdem werden Wörter ausprobiert, in denen einzelne Buchstaben mit ähnlich aussehenden Zahlen oder Sonderzeichen ersetzt wurden (z.B. „Hallo“ wird zu „H@llo“). Wörter aus dem Duden in Kombination mit anderen Zeichen (z.B. „12Hallo34“) werden genauso ausprobiert, wie häufige Passwörter (darunter z.B. „passwort“, „123456“), sogenannte Common Word Attacks. Aus diesem Grund scheiden auch Wörter in Kombination mit Zeichen sowie veränderte Wörter (Mehrzahl von Nomen, Vergangenheit von Verben usw.) aus. Das letzte Mittel ist dann das Durchprobieren von allen möglichen Kombinationen. Dies möchte man erreichen, da es die meiste Zeit in Anspruch nimmt.
Sowohl unser Interviewpartner vom Chaos Computer Club als auch Frank Timmermann von der Westfälischen Hochschule raten deshalb zu Passwörtern, die möglichst lang (mindestens 10 Zeichen) und komplex (Groß- und Kleinbuchstaben, Zahlen, Sonder- und Satzeichen) sind.
Wie kann ich mir ein sicheres Passwort merken?
Wie wäre es mit einem Satz? „Ich liebe meine Katze über alles“. Der Satz ist einfach und gut zu merken, sollte jedoch nicht als Satz verwendet werden, da er bei Wörterbuch- oder Grundwortschatzattacke wahrscheinlich nicht lange standhalten würde.
Man kann jedoch einfach bestimmte Buchstaben aus jedem Wort auswählen und daraus das Passwort entstehen lassen. Nehmen wir zum Beispiel immer den ersten und letzten Buchstaben der Wörter. „Ich liebe meine Katze über alles“ wird so zu „IhlemeKeüras“. Jetzt können wir das Ganze noch etwas verbessern, indem wir einige Sonderzeichen einfügen, die ein bisschen wie die jeweiligen Buchstaben aussehen. „I“ kann durch ein „!“ und „L“ durch eine „1“ ersetzt werden „€“ statt „E“ oder „$“ anstatt „S“. Wie wäre es somit mit „!h1€MeKeÜrA$.“. Hier haben wir jedes Wort entweder mit einem Sonderzeichen oder Großbuchstaben begonnen, damit neben Groß- auch noch Kleinschreibung vorhanden ist. Zusätzlich wird der Satz nun mit einem Punkt beendet. Eventuell sollte man das „Ü“ noch durch „Ue“ ersetzen, um im Ausland keine Probleme zu bekommen. Denken Sie also bei der Passwortwahl daran, dass manche Buchstaben und Sonderzeichen auf ausländischen Tastaturen nicht vorhanden sind.
Unser Passwort ist nun also „!h1€MeKeUErA$.“, hat 14 Zeichen und bedient sich beim Gesamtsortiment der verfügbaren Zeichen (Klein- und Großbuchstaben, Zahlen, Sonderzeichen). Es wird zwar nie einen hundertprozentigen Schutz geben, doch sinkt das Risiko einer erfolgreichen Attacke erheblich, wenn die Anzahl der möglichen Kombination sehr groß ist. Bei unserem Passwort wären 96^14 (über 5 Quadrilliarden) Kombinationen möglich und das Hacken würde laut Passwortchecker der Uni Emden selbst mit einem sehr leistungsfähigen Hacker-System über 5 Millionen Jahre dauern (bei 150 Milliarden getesteten Passwörtern pro Sekunde und der angenommenen Wahrscheinlichkeit, dass das Passwort nach der Hälfte der Zeit geknackt wird).
Da dies nun unglaublich viele Informationen waren, haben wir das Wichtigste in der folgenden Infografik zusammengefasst:
