Auf vielen Webseiten gilt bei der Anmeldung: "Ihr Passwort muss mindestens einen Großbuchstaben und eine Zahl enthalten." Kryptische Kennwörter sollen die Sicherheit gegenüber Hackerangriffen erhöhen, doch die gut gemeinte Idee bringt weniger als gedacht – sofern man die Raffinesse mitbedenkt, mit der Computerkriminelle derzeit vorgehen.

Zu diesem Resultat kommen die Wissenschaftler Frederico Dell'Amico von Symantec Research und Maurizio Filippone vom französischen Forschungsinstitut Eurecom. Sie schlagen nun vor, Webseitenbetreiben sollten ihre Nutzer dazu anhalten, längere Passwörter zu verwenden oder Sonderzeichen in das Passwort hinzuzufügen, statt auf die altbekannte Kombination von großen und kleinen Buchstaben und Zahlen zu pochen.

Wie "Technology Review" berichtet, haben die beiden Forscher dazu ein Verfahren entwickelt, das die Stärke eines Passworts gegenüber aktuell gebräuchlicher Hackersoftware anzeigt. Heutzutage lassen Angreifer den Computer nicht mehr stupide sämtliche Zeichenkombinationen durchprobieren, sondern orientieren sich an gestohlenen Passwortlisten, wie beispielsweise einer 130 Millionen Einträge umfassenden Datenbank, die 2013 bei Adobe entwendet wurde. In einem solchen gewaltigen Datensatz können Hacker nach gängigen Mustern fahnden und dadurch die Zahl der auszuprobierenden Kombinationen drastisch verringern. Beispielsweise setzen Menschen, die zur Verwendung von Großbuchstaben und Zahlen gezwungen werden, Erstere an den Anfang und Letztere ans Ende: Ein "Typischespasswort123" entspricht eben unseren Sprachgewohnheiten viel besser und ist insofern leichter zu behalten.

Auch Dell'Amico und Filippone machten sich auf die Suche nach solchen Mustern und berechneten daraus eine Maßzahl, die angibt, wie leicht ein gegebenes Passwort zu raten ist. Hierbei spielten insbesondere die langen Passwörter und mit Sonderzeichen versehenen Passwörter ihren Vorteil aus. Vielleicht ließe sich ihr Messverfahren sogar in Webseiten integrieren, um den Nutzern bei der Anmeldung eine dem Stand der Angriffstechnik angemessene Einschätzung der Passwortstärke zu geben, hoffen die Forscher.

Länge und Sonderzeichen bleiben allerdings nur so lange empfehlenswert, solange noch nicht die Mehrheit der Nutzer auf diese Merkmale umgestiegen ist – denn auch dabei werden sich mit Sicherheit Vereinfachungen einschleichen, die dann von der Angriffssoftware ausgebeutet werden. Im Grunde genommen helfe nur eins, sagt Dell'Amico: Man müsse sein Passwort so wählen, dass es möglichst unvorhersehbar ist.