Sieben Mythen über Passwörter

Erstellt von Lara Kris­tin Zei­tel | |   Aktuelle Meldungen

Pass­wör­ter sind für viele ein lei­di­ges Thema. Sich damit aus­ein­an­der­zu­set­zen ist müh­sam, gleich­zei­tig möch­te man seine Ac­counts schüt­zen.

Ei­ni­ge der größ­ten Miss­ver­ständ­nis­se im Um­gang mit Pass­wör­tern im pri­va­ten Kon­text haben die Bo­chu­mer IT-Ex­per­ten Prof. Dr. Mar­kus Dür­muth, Ma­xi­mi­li­an Golla und Phil­ipp Mar­kert aus der Ar­beits­grup­pe Mo­bi­le Se­cu­ri­ty zu­sam­men­ge­stellt.

My­thos 1: Ein si­che­res Pass­wort muss acht Zei­chen lang sein, eine Zif­fer, ein Son­der­zei­chen und Groß­buch­sta­ben ent­hal­ten.

Was aus die­ser An­for­de­rung an ein Pass­wort her­aus­kommt, sind nicht sel­ten Dinge wie „P@​ssw0rt“. Solch eine Zei­chen­fol­ge sieht zwar auf den ers­ten Blick kom­pli­ziert aus. Si­cher ist sie des­halb aber nicht. Denn Pass­wort-Ra­ter ken­nen gän­gi­ge Trans­for­ma­tio­nen, wie den Buch­sta­ben O zu einer Null zu ma­chen oder ein A durch ein @-Zei­chen zu er­set­zen. Mit einem Satz wie „Mitt­wochs gehe ich in den Bio­markt“ ist man oft si­che­rer un­ter­wegs. Au­ßer­dem kann man ihn sich bes­ser mer­ken und meist auch leich­ter auf der Smart­pho­ne-Tas­ta­tur ein­tip­pen.

My­thos 2: Pass­wör­ter soll­te man re­gel­mä­ßig än­dern.

Stu­di­en haben ge­zeigt, dass Nut­zer Pro­ble­me haben, sich all ihre Pass­wör­ter zu mer­ken, und daher häu­fig ihre Pass­wör­ter bei jedem Wech­sel nur leicht ver­än­dern. So wer­den die Pass­wör­ter im Lauf der Zeit immer schwä­cher. Die RUB-For­scher emp­feh­len daher, Pass­wör­ter nicht re­gel­mä­ßig zu än­dern, son­dern nur, wenn die Daten in die fal­schen Hände ge­ra­ten sein könn­ten.

Pass­wort­dieb­stahl her­aus­fin­den Auf der Web­sei­te „Have I been pwned“ kön­nen Nut­ze­rin­nen und Nut­zer durch Ein­ga­be ihrer E-Mail-Adres­se über­prü­fen, ob ihre Zu­gangs­da­ten ir­gend­wo ge­stoh­len wur­den.

My­thos 3: Man darf nie zwei­mal das glei­che Pass­wort nut­zen.

In einer idea­len Welt hät­ten User für jeden Ac­count ein ei­ge­nes Pass­wort, das sich deut­lich von dem Pass­wort aller an­de­ren Ac­counts un­ter­schei­det. Rea­lis­tisch sei das aber nicht, sagen die RUB-For­scher. Sie emp­feh­len daher, die Ac­counts in Grup­pen ein­zu­tei­len – etwa E-Mail-Kon­ten, Shop­ping, Ban­king oder So­zia­le Me­di­en – und sich für jede Grup­pe ein ei­ge­nes Pass­wort aus­zu­den­ken. Wenn An­grei­fer die Zu­gangs­da­ten für einen eher un­wich­ti­gen Shop­ping-Ac­count er­beu­ten, soll­ten sie sich damit nicht in wich­ti­ge Sei­ten wie das On­line­ban­king ein­log­gen kön­nen. Für ex­trem wich­ti­ge Kon­ten wie E-Mail oder On­line­ban­king soll­te man immer ein ein­zig­ar­ti­ges Pass­wort ver­wen­den.

My­thos 4: Pass­wör­ter soll­te man nie auf einen Zet­tel schrei­ben.

Na­tür­lich soll­te man als Mit­ar­bei­ter eines Un­ter­neh­mens kei­nen No­tiz­zet­tel mit sei­nen Pass­wör­tern am Mo­ni­tor kle­ben haben. Im Pri­vat­haus­halt sind mit dem Auf­schrei­ben der Lo­gin-Da­ten aber eher ge­rin­ge Ri­si­ken ver­bun­den. Im To­des­fall kann es sogar sinn­voll sein, eine sol­che Liste an­ge­legt zu haben, damit An­ge­hö­ri­ge die Ac­counts ma­na­gen oder lö­schen kön­nen.

My­thos 5: Nur sehr kom­pli­zier­te Pass­wör­ter schüt­zen aus­rei­chend.

Die Si­cher­heit eines Ac­counts hängt oft nicht al­lei­ne von der Kom­ple­xi­tät des Pass­worts ab. Viele Diens­te schüt­zen ihre Nut­ze­rin­nen und Nut­zer, indem sie bei ver­mu­te­tem Miss­brauch den Login blo­ckie­ren, zum Bei­spiel, wenn je­mand zehn­mal hin­ter­ein­an­der das fal­sche Pass­wort ein­gibt. Für die meis­ten Platt­for­men sind daher Pass­wör­ter wie „Ba­na­nen­bro­t489“ aus­rei­chend si­cher, da sie nicht in we­ni­gen Ver­su­chen ge­knackt wer­den kön­nen.

Man­che Diens­te nut­zen zu­sätz­lich GPS-Da­ten und Uhr­zeit, um zu über­prü­fen, ob der Nut­zer sich vom ge­wohn­ten Ort und zur ge­wohn­ten Zeit an­mel­det. Ist dies nicht der Fall, kann der Login blo­ckiert oder er­schwert wer­den.

Auf Zah­len­kom­bi­na­tio­nen wie 1–2–3–4 oder 0–0–0–0 soll­te man aber auf alle Fälle ver­zich­ten. Und wer im An­dro­id-Sys­tem ein Mus­ter zum Ent­sper­ren des Han­dys nutzt, soll­te sich eine an­de­re als eine L- oder Z-Form ein­fal­len las­sen. Laut einer Bo­chu­mer Stu­die be­gin­nen mehr als 50 Pro­zent aller User in Mit­tel­eu­ro­pa das Ent­sperr­mus­ter oben links. Si­che­rer wäre es, einen an­de­ren Start­punkt zu wäh­len.

My­thos 7: Der Fin­ger­ab­druck­scan­ner ist da­ten­schutz­recht­lich be­denk­lich.

Bio­me­tri­sche Daten wie Fin­ger­ab­drü­cke sind be­son­ders schüt­zens­wer­te per­sön­li­che Daten, da man diese im Falle des Fal­les nicht wech­seln kann. Viele Han­dys wer­den heute je­doch per Fin­ger­ab­druck oder Ge­sichts­er­ken­nung ent­sperrt – ein Graus für manch einen Nut­zer, dem der Da­ten­schutz am Her­zen liegt. Doch die Fin­ger- oder Ge­sichts­da­ten kön­nen meist nur sehr schwer in frem­de Hände ge­lan­gen. Zum Bei­spiel spei­chert App­les I-Pho­ne die Daten nur auf dem Gerät und dort in einem be­son­ders ab­ge­si­cher­ten Be­reich. Viel leich­ter ist es da, den Fin­ger­ab­druck in der rea­len Welt von einer Tür­klin­ke, einem Be­cher, oder einem Foto der Hand ab­zu­grei­fen. Mit die­sem Trick wur­den tat­säch­lich schon die Fin­ger­ab­drü­cke hoch­ran­gi­ger Po­li­ti­ker ent­wen­det.

Mehr dazu fin­den Sie unter https://​news.​rub.​de/​wissenschaft/​2019-02-01-it-sicherheit-sieben-mythen-ueber-passwoerter. (Foto: RUB/Mar­quard)