Studie: Auch starke Passworte halten nur noch weniger als sechs Stunden
90 Prozent der Passworte, die heutzutage von Nutzern verwendet werden, sind angreifbar. Auch vermeintlich starke Passworte mit acht Buchstaben, Ziffern und Sonderzeichen sind nur noch bedingt sicher. Davon geht das Beratungsunternehmen Deloitte aus.
Seit Jahren gelten Passworte, die mindestens acht Zeichen lang sind und Groß-und Kleinbuchstaben, mindestens eine Zahl und ein Sonderzeichen beinhalten, als relativ stark. Kein Wunder: Ein solches Passwort hat dann 6,095,689,385,410,816 verschiedene Kombinationen – ein relativ schneller Desktop-Computer würde knapp ein Jahr brauchen, sie zu entschlüsseln.
Trotzdem sind auch solche vermeintlich sicheren Passworte eben nicht mehr sicher. Das liegt an menschlichen Faktoren – und technischen. Ein Problem ist laut Deloitte, dass viele Menschen ähnlich gestrickt sind, wenn sie sich ein Passwort suchen:
- Sie verwenden im Passwort Wörter und Namen in ihrer Sprache und tauchen nur den Anfangsbuchstaben gegen ein Symbol oder setzen Zahlen ans Ende
- Sie wiederholen Zahlen oder setzen sie in aufsteigender Reihenfolge.
- Die meisten Menschen verwenden höchstens sechs verschiedene Passworte
Bei einer Untersuchung von sechs Millionen nutzergenerierten Passworten stellte sich heraus, dass die 10.000 häufigsten Passwörter Zugang zu 98,1 Prozent aller Konten ermöglichten. Das ermögliche Hackern die Erstellung von regelrechten Wörterbüchern, mit denen sie auf die Jagd nach den richtigen User/Passwort-Kombinationen gehen.
Der Durchschnittsnutzer hat fünf Passworte für 26 Zugänge
Noch größer ist allerdings das Problem der Mehrfach-Verwendung. „Der durchschnittliche Benutzer hat 26 passwortgeschützte Konten, aber nur fünf verschiedene Passwörter für sie“, stellt Deloitte fest. Eine Sicherheitslücke auf einer weniger sicheren Spiele- oder Social-Network-Seite reiche dann aus, auch auf andere Konten des betroffenen Nutzers zugreifen zu können.
Hinzu komme der technische Fortschritt, heißt es in der Analyse weiter. Bei einer sogenannten Brute-Force-Attacke (übersetzt: rohe Gewalt) wird per Computer einfach jede der 6,1 Billiarden Kombinationen für einen Acht-Zeichen-Passwort ausprobiert, bis eine funktioniert. Eine High-end-Maschine für 30.000 Dollar schaffe das in knapp 5,5 Stunden. Und Hacker müssten gar nicht so viel Geld hinlegen. Per Crowd-Hacking können Hacker die Rechenaufgabe einfach auf tausende langsamerer Rechner verteilen.
So werden Passworte wirklich sicher
Deloitte hat eine Reihe von Empfehlungen aufgestellt, wie Nutzer und Firmen die Passwortsicherheit erhöhen können:
- Passworte sollten so lang wie möglich sein. Um ein Zehn-Zeichen-Passwort zu knacken braucht ein Computer fünf Jahre länger als bei einem Acht-Zeichen-Passwort.
- Offensichtliche Passwörter wie „Passwort“ oder „abc123“ sollten bereits systermseitig nicht erlaubt sein
- Multi-Faktor-Authentifizierung: Statt einer einfachen Nutzer-/Passwort-Kombination sind mehrere Identifikationsfaktoren erforderlich, etwa ein zusätzlich auf das Handy geschickter Code, ein Dongle oder ein biometrisches Merkmal wie ein Fingerabdruck
- Keine Passwort-Zurücksetzung durch einfach herauszufindende Fragen wie „Wie heißt Ihre Mutter mit Nachnamen“.
Mehr zum Thema sichere Passworte lesen Sie bei Computerbetrug.de in einem eigenen Kapitel.