Jeder kennt das fortlaufend auftretende Problem der Passwortvergabe, sei es zur Registrierung eines neuen Kundenkontos auf einer Webseite oder zur Inbetriebnahme eines neuen Computers oder Telefons. An Passwortvergaben führt mittlerweile kein Weg mehr vorbei, um den Zugang oder den Zugriff für Dritte auf persönliche Daten und Informationen zu verhindern.
Doch mittels welcher Passwörter haben die Deutschen im Jahre 2021 diese sensiblen Inhalte geschützt? Nach welchen Kriterien gilt ein Passwort überhaupt als „sicher“?
In den jährlich veröffentlichten Pressemitteilungen des Hasso-Plattner-Instituts wird eine Auflistung der Top Ten der beliebtesten deutschen Passwörter zum Ende des jeweiligen Jahres bekannt gegeben. Diese Liste resultiert aus einer Auswertung einer riesigen Datenbank beim Hasso-Plattner-Institut Identity Leak Checkers. Registrierte E-Mail-Adressen der .de-Domäne, welche 2021 geleakt wurden, bilden die Datengrundlage für dieses Tool. Im vergangenen Jahr 2021 wurden 1,8 Millionen Zugangsdaten zur Prüfung herangezogen [1].
Den ersten Platz der beliebtesten Passwörter 2021 belegt die Zahlenfolge „123456“, welche seit Jahren an der Spitze dieser Auflistung steht, gefolgt von dem ebenfalls ungeschlagenen bekannten „passwort“. Auf dem dritten Platz ist die kürzere Zahlenfolge der Sieger-Variante „12345“ vorzufinden. Zudem sind simple Wörter in den Top Ten vertreten wie „hallo“, „qwertz“, „schatz“ oder „basteln“. Auch die zum Ausdruck gebrachte Liebe zu dem eigenen Land und dessen Hauptstadt wird mittels des Passworts „berlin“ auf dem neunten Platz besiegelt [1].
Wie anhand dieser Auflistung von realen Wörtern und Zahlenfolgen zu sehen ist, wird es Angreifern praktisch erleichtert, Online-Konten und somit sensible sowie persönliche Daten zu knacken.
Die Vergabe eines sorgfältig durchdachten und somit sicheren Passworts hätte den vorgefallenen Hacker-Angriff auf die Tageszeitung (taz) Ende letzten Jahres vermutlich verhindern können. Per Botnet haben Angreifer das E-Mail-Konto der taz zur Verwaltung von Digitalabos gehackt, wodurch sie Zugriff auf einige tausend Daten der Leser wie Name, Anschrift, E-Mail-Adresse sowie die Kennung zum Download der digitalen taz erhalten konnten. Das Passwort dieser Mailbox der taz wies eine mangelhafte Komplexität auf, weswegen die Angreifer durch Ausprobieren aller möglichen Zeichenkombinationen dieses letztendlich knacken konnten [2].
Doch nach welchen Kriterien sollte ein Passwort ausgewählt werden, damit es als „sicher“ gilt?
Auch hier hat das Hasso-Plattner-Institut klare Empfehlungen ausgesprochen. Es sollten lange Passwörter, bestehend aus mehr als 15 Zeichen, gewählt werden. Innerhalb dieser Zeichenfolge sollten alle Zeichenklassen, also Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen, integriert sein. Vom Zurückgreifen auf Wörter aus dem Wörterbuch oder auf Passwörter, die bei unterschiedlichen Diensten bereits vergeben wurden, wird abgeraten. Sollte ein Sicherheitsvorfall eintreten, sollte das betroffene Passwort sofort geändert werden [1].
Darüber hinaus wird geraten, einen Passwortmanager zu benutzen, um all diese Regeln einzuhalten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht diesbezüglich eine Empfehlung für das kostenlose und quelloffene Keepass aus. Nach Möglichkeit sollte zusätzlich die Zwei-Faktor-Authentifizierung bei Online-Konten und -Diensten aktiviert werden, sofern sie verfügbar ist [3].
Neben der manuellen Eingabe eines Passworts nutzen mittlerweile Unternehmen wie Apple oder Microsoft die biometrische Authentifizierung. Dabei wird der Nutzer anhand biometrischer Merkmale wie Fingerabdruck, Gesicht oder Stimme identifiziert. Diese sind bei jeder Person einzigartig sowie nicht veränderbar. Infolgedessen erweist sich diese Authentifizierungsmethode in der Regel als deutlich sicherer, da beispielsweise bei einer manuellen korrekten Passworteingabe nicht sichergestellt werden kann, dass tatsächlich die berechtigte Person diese Eingabe getätigt hat [4].
Verweise
[1] Hasso-Plattner-Institut. (16. Dezember 2021). Die beliebtesten deutschen Passwörter 2021. Von https://hpi.de/pressemitteilungen/2021/die-beliebtesten-deutschen-passwoerter-2021.html abgerufen.
[2] heise. (03. Januar 2022). Passwort geknackt: taz stellt Anzeige nach Datenleck beim Digitalabo. Von https://www.heise.de/news/Passwort-geknackt-taz-stellt-Anzeige-nach-Datenleck-beim-Digitalabo-6316937.html abgerufen.
[3] Bundesamt für Sicherheit in der Informationstechnik. (21. April 2020). Sicherer Umgang mit Passwörtern Schritt-für-Schritt erklärt. Von https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/Umgang-mit-Passwoertern/umgang-mit-passwoertern_node.html abgerufen.
[4] CANCOM.INFO. (10.Mai 2019). Authentifizierung ohne Passwort: Das bieten Gesichtserkennung und Co. Von https://www.cancom.info/2019/05/authentifizierung-ohne-passwort-das-bieten-gesichtserkennung-und-co/ abgerufen.
