Direkt zum Inhalt
Computersicherheit

Verbreitete Passwort-Ratschläge führen in die Irre

Zahlen und Großbuchstaben machen ein Passwort sicherer? Falsch, zeigt eine aktuelle Untersuchung. Der auf Webseiten häufig anzutreffende Ratschlag führt nicht zu mehr Sicherheit.
Passworteingabe

Auf vielen Webseiten gilt bei der Anmeldung: "Ihr Passwort muss mindestens einen Großbuchstaben und eine Zahl enthalten." Kryptische Kennwörter sollen die Sicherheit gegenüber Hackerangriffen erhöhen, doch die gut gemeinte Idee bringt weniger als gedacht – sofern man die Raffinesse mitbedenkt, mit der Computerkriminelle derzeit vorgehen.

Zu diesem Resultat kommen die Wissenschaftler Frederico Dell'Amico von Symantec Research und Maurizio Filippone vom französischen Forschungsinstitut Eurecom. Sie schlagen nun vor, Webseitenbetreiben sollten ihre Nutzer dazu anhalten, längere Passwörter zu verwenden oder Sonderzeichen in das Passwort hinzuzufügen, statt auf die altbekannte Kombination von großen und kleinen Buchstaben und Zahlen zu pochen.

Wie "Technology Review" berichtet, haben die beiden Forscher dazu ein Verfahren entwickelt, das die Stärke eines Passworts gegenüber aktuell gebräuchlicher Hackersoftware anzeigt. Heutzutage lassen Angreifer den Computer nicht mehr stupide sämtliche Zeichenkombinationen durchprobieren, sondern orientieren sich an gestohlenen Passwortlisten, wie beispielsweise einer 130 Millionen Einträge umfassenden Datenbank, die 2013 bei Adobe entwendet wurde. In einem solchen gewaltigen Datensatz können Hacker nach gängigen Mustern fahnden und dadurch die Zahl der auszuprobierenden Kombinationen drastisch verringern. Beispielsweise setzen Menschen, die zur Verwendung von Großbuchstaben und Zahlen gezwungen werden, Erstere an den Anfang und Letztere ans Ende: Ein "Typischespasswort123" entspricht eben unseren Sprachgewohnheiten viel besser und ist insofern leichter zu behalten.

Auch Dell'Amico und Filippone machten sich auf die Suche nach solchen Mustern und berechneten daraus eine Maßzahl, die angibt, wie leicht ein gegebenes Passwort zu raten ist. Hierbei spielten insbesondere die langen Passwörter und mit Sonderzeichen versehenen Passwörter ihren Vorteil aus. Vielleicht ließe sich ihr Messverfahren sogar in Webseiten integrieren, um den Nutzern bei der Anmeldung eine dem Stand der Angriffstechnik angemessene Einschätzung der Passwortstärke zu geben, hoffen die Forscher.

Länge und Sonderzeichen bleiben allerdings nur so lange empfehlenswert, solange noch nicht die Mehrheit der Nutzer auf diese Merkmale umgestiegen ist – denn auch dabei werden sich mit Sicherheit Vereinfachungen einschleichen, die dann von der Angriffssoftware ausgebeutet werden. Im Grunde genommen helfe nur eins, sagt Dell'Amico: Man müsse sein Passwort so wählen, dass es möglichst unvorhersehbar ist.

Lesermeinung

4 Beiträge anzeigen

Wir freuen uns über Ihre Beiträge zu unseren Artikeln und wünschen Ihnen viel Spaß beim Gedankenaustausch auf unseren Seiten! Bitte beachten Sie dabei unsere Kommentarrichtlinien.

Tragen Sie bitte nur Relevantes zum Thema des jeweiligen Artikels vor, und wahren Sie einen respektvollen Umgangston. Die Redaktion behält sich vor, Leserzuschriften nicht zu veröffentlichen und Ihre Kommentare redaktionell zu bearbeiten. Die Leserzuschriften können daher leider nicht immer sofort veröffentlicht werden. Bitte geben Sie einen Namen an und Ihren Zuschriften stets eine aussagekräftige Überschrift, damit bei Onlinediskussionen andere Teilnehmer sich leichter auf Ihre Beiträge beziehen können. Vielen Dank!

SciViews