Cyberkriminalität fruchtet auf unsicheren Passwörtern

Aus Wiki.mag
Wechseln zu: Navigation, Suche


Wir leben in einer vernetzten Welt, deren Grenzen zunehmend immer mehr mit der Analogen verschmelzen. Online wird eingekauft, Musik gestreamt, gechattet, Behördengänge erledigt und Bankgeschäfte abgewickelt. Für jeden Webdienst - ob ein Forum oder Handyvertrag mit hinterlegten Bankdaten - wird ein Zugang benötigt. Leider schwächelt bei den Passwörtern die Sicherheit. Und zwar gewaltig.

Hacker am Werk
Bild: Eigenes Werk
Der Zutritt zu den Daten ist nur so sicher, wie der hinterlegte Schlüssel. Kaum jemand würde auf die Idee kommen, seine Haustür mit einem Ein-Euro-Schloss vom Discounter abzusichern. Mit unseren digitalen Schlössern gehen wir kurioserweise viel leichtfertiger um. Geburtstage, Buchstabenabfolge auf der Tastatur oder Haustiernamen sind die Lieblinge unter den Passwörtern. Bei solchen Logins haben Hacker ein leichtes Spiel. Mit der sogenannten Brute-Force-Methode, bei der ein Computerprogramm mit Hilfe eines Wörterbuchs verschiedene Kombinationen ausprobiert, werden solche Passwörter innerhalb von Sekunden geknackt.

Da die meisten Internetnutzer sich Dutzende verschiedener Zugänge merken müssen, verwenden sie leichtfertig immer dieselbe Loginkombination. Wenn ein harmloser Forum-Zugang dieselben Zugangsdaten wie das der größten Shoppingportale hat, dann wird es gefährlich.

Wie der jüngste Hacker-Fall Yahoo es nahe legt, sind die Daten der Nutzer auch bei dem größten Anbietern nicht sicher, auch wenn sie stets absolute Sicherheit vorgaukeln. Die Hacker sollen in Besitz der Daten von rund einer halben Million Nutzern gekommen sein. Laut Yahoo seien keine Kreditkarteninformationen betroffen. Doch da Yahoo den Datenklau mehrere Monate lang zu vertuschen versuchte, ist die Aussage des kalifornischen Unternehmens nicht besonders glaubwürdig. Deshalb sind die ersten Klagen unterwegs.

Selbst wenn Hacker keine Kreditkarteninformationen geklaut hätten, wäre es für sie ein leichtes Spiel, sich mit den Login-Kombinationen bei anderen Diensten einzuloggen, wo Bankverbindungen hinterlegt sind. Daher sei es ratsam, für Nutzer der Yahoo-Dienste die Passwörter zu ändern. Aufgefallen sei der Angriff in der Öffentlichkeit, als ein Hacker, der sich selbst als "Peace" bezeichnete, Daten von mehreren Nutzerkonten für 2.000 Dollar zum Verkauf anbot.

Wie sieht ein sicheres Passwort aus?

Ein sicheres Passwort sollte aus einer Kombination von Groß-/Kleinbuchstaben mit einer Zahlenfolgen und einem oder zwei Sonderzeichen bestehen. Die Zeichenkette sollte aus nicht weniger als zwölf Zeichen lang sein. Zum Vergleich: Mit Hilfe der sogenannten Brute-Force-Methode, bei der ein Rechner methodisch alle möglichen Zahlenkombinationen ausprobiert, würde das Knacken einer neunstelligen numerischen Zeichenkette bei angenommenen einer Milliarde Rechenoperationen des Computers, gerade mal 1 Sekunde dauern. Bei einer Buchstabenkette aus Kleinbuchstaben wäre das Passwort in zwei Stunden geknackt, während bei einer Zahlen- und Buchstabenkombination das Ermitteln des Passworts bereits 159 Tage dauern würde. Dagegen würde das Knacken der zuvor erwähnten zwölfstelligen Zeichenkette mit einem Sonderzeichen 19 Millionen Jahre dauern!

Hackerangriffe und Datenklau werden in jüngster Zeit zunehmend zu einem ernsten Problem. Während noch in den 1990ern junge Hacker das Überwinden der elektronischen Systeme als sportlichen Ehrgeiz ansahen, stecken heute hinter den meisten Cyberangriffen kriminelle Netzwerke oder politisch motivierte Machenschaften. Selbst die Rechner des Bundestags wurden monatelang von Hackern infiltriert. Hacker zapfen Überwachungskameras in privaten Wohnungen an, um einen Wohnungseinbruch vorzubereiten, knacken Autofunkschlüssel und verschaffen sich sogar Zugang zu Dialysegeräten in Krankenhäusern.

Kommende Authentifizierungsmethoden

Die bloße Passworteingabe ist eine sehr unsichere Verschlüsselungsmethode. Um unser vernetztes Leben künftig sicherer zu gestalten, muss Umdenken bei Entwicklern, Herstellern und Endnutzern einsetzen. Die nichtkommerzielle FIDO-Allianz (FIDO = Fast IDentity Online ‚schnelle Identität bei digitalen Verbindungen') ist eine im Jahr 2013 gegründete Organisation, die sich für die Entwicklung für lizenzfreie Industriestandards für sichere Authentifizierung im Internet verschreibt. Sicher ist, dass in Zukunft der Schwerpunkt zunehmend auf Einbindung von biometrischen Verfahren setzen wird. Bis die technischen Lösungen standardisiert sind, muss der Verbraucher selbst für seine Sicherheit Sorge tragen. Und sie besteht aus sicheren, nur einmal verwendeten Passwörtern.