Technik
(Foto: picture alliance / dpa)

Phreaker, Hacker, Identifikationen: Der Mythos vom sicheren Passwort

Von Roland Peters

Trojaner auf dem PC, säuselnde Hacker bei Telefonhotlines oder schlicht "123abc": Die Zugangsbarrieren zu Online-Nutzerkonten sind erschreckend einfach zu überwinden. Passwörter sind die Achillesferse der Sicherheit. Schwach sind sie alle.

Es könnte so schön sein. Das Ende der Privatsphäre würde fast alle Probleme lösen. Datenschutz ade. Das ewige Gezerre darum, wem welche Informationen zugänglich sein dürfen. Welche Unternehmen sie wie lange speichern sollten. Was Strafverfolgungsbehörden nutzen können. Der Mensch sollte sich der Technik anpassen. Das wäre praktisch, aber unrealistisch.

Um persönliche Informationen zu schützen, sind Passwörter das Mittel der Onlinewelt. Der Augenscan oder Fingerabdruck wäre eine Option, Ja, sogar Geruchsmuster. Zum Einsatz kommen sie kaum.

Online-Banking, Einkaufen, Foren, E-Mail-Konten, alles funktioniert über Passwörter. Die sind erschreckend schwach. Noch immer ist "password" das Häufigste, zeigt eine Top 25 gestohlener Zugangsdaten im Jahr 2012. Es folgt "123456", "12345678", "abc123" und "qwerty" (auf internationalen Tastaturen ist das "Y" rechts neben dem "T"). Dass inzwischen häufig die E-Mail-Adresse als Nutzername verwendet wird, hilft ebenfalls nicht.

"Bello" und "Meier"

Video

Die Zugangsschranken sind auch umgehbar, weil Menschen Informationen verwenden, um andere Informationen zu schützen. Der Name des Hundes, des Kindes, der Geburtsname der Mutter oder der Name der Schule, auf die der Nutzer gegangen ist. Wer es darauf anlegt, kann alles erfahren. Hacker wie Kevin Mitnick in den 1980er Jahren waren Vorreiter.

Es gibt verschiedene Methoden, Passwörter herauszufinden. Mitnick manipulierte Mitmenschen. Er rief an, nutzte spärliche Informationen und soziales Geschick, um weitere zu bekommen. Bis er das hatte, was er wollte. Der US-Amerikaner war ein "Phreaker". Er rief in einem Unternehmen an und gab sich als Mitarbeiter aus, um an Passwörter zu gelangen oder sie zurückzusetzen. Er wurde mehrfach verurteilt und saß im Gefängnis. Er schrieb Bücher über seine kriminelle Zeit, inzwischen besitzt er eine Sicherheitsfirma.

Heutzutage ist der Weg viel einfacher. Ein aktueller Laptop hat mehr Rechenkraft als das komplette Schullabor vor 20 Jahren. Und es gibt Software, die etwa komplette Wörterbücher durchgeht, auf der Suche nach der gesuchten Zeichenfolge. Wie kann es sein, dass kein Passwort sicher ist? Sie werden erraten. Sie werden bei einem Datenbank-Hack kopiert. Ein falscher Klick auf den Anhang einer E-Mail genügt, und der Rechner ist mit einem Key-Logger oder Trojaner infiziert, der Eingaben überträgt. Das Motiv ist meistens Geld.

Schneller als der Mensch

In den USA fielen dem Klau in den vergangenen Monaten zwei bekannte Journalisten zum Opfer. Bei Mat Honan vom Technikmagazin "Wired" lief es so: Ein Hacker rief bei Apple an. Er hatte nur zwei Dinge, Teile der Adresse und die letzten vier Nummern von Honans Kreditkarte. Der Anrufer ließ das Passwort zurücksetzen und verschaffte sich Zugang zu persönlichen E-Mails. Der Rest war ein Kinderspiel.

Natürlich, es gibt Wege, die Zeichenschlüssel sicherer zu machen. Doch technisch gesehen ist jedes Passwort unsicher. Es gibt eine Tabelle mit sogenannten ASCII-Zeichen, dem "American Standard Code for Information Interchange". Darin enthalten sind Buchstaben, Zahlen und Sonderzeichen, wie sie jeder Computer versteht. Das sind 128 Möglichkeiten bei jedem Anschlag. Je länger das Passwort, desto schwieriger, es zu erraten. Software ist wesentlich schneller als der Mensch.

Triviales und Tipps

Auf keinen Fall sollten Passwörter kurz sein, sollten keine Namen, Geburtsdaten oder andere persönliche Informationen enthalten. Es sollte nicht aus einem Wörterbuch stammen, denn auch Angreifer verwenden sie. Zahlen als Buchstabenersatz – etwa "H4cker" statt "Hacker", sind inzwischen trivial.

Empfehlenswert ist es hingegen, Sicherheitsfragen mit Fantasieantworten, bestehend aus mehreren Wörtern, zu versehen – das kann niemand so schnell herausfinden. Passwörter selbst sollten so viele Zeichen wie möglich enthalten.

Doppelte Identifizierung ist zudem besser als einfache. Facebook etwa bietet eine Option, bei Zugriff von einem ungewohnten Ort einen Code zu verlangen. Auch bei Google kann eine Zwei-Stufen-Identifizierung eingestellt werden. Etwas aufwändig, aber sinnvoll ist, eine E-Mail-Adresse nur für Nutzerkonten und zurückgesetzte Passwörter zu nutzen und nicht für Alltagskommunikation.

Trotz dieser Hinweise ist das Passwort, wie auch der Fingerabdruck oder Augenscan fast immer nur eine einzelne Stufe, die Hacker erklimmen müssen. Manchmal etwas niedriger, manchmal höher. Wirklich sicher ist das nicht.

"Das Phantom im Netz" von Kevin Mitnick online kaufen

Quelle: n-tv.de

Empfehlungen