Inhalt

Problemfall Passwort


 

Zentrales Element der IT-Sicherheit ist der Schutz von Computern oder Programmen durch Passwörter. Zugleich sind sie Gegenstand vieler Witze: Einerseits finden es viele User lästig, sich komplizierte und auch noch mehrere Passwörter zu merken, oder sie vergessen sie häufig. Andererseits ist klar, dass beliebte einfache Codes wie etwa „passwort“ oder „123456“ keinen wirklichen Schutz vor einem unbefugten Zugriff darstellen. Vielen ist jedoch unklar, welche Passwörter sicher und welche unsicher sind und welcher Aufwand für Sicherheit tatsächlich getrieben werden sollte.
 
 

Passwort mit hoher Sicherheit

 

Wie sollte ein schwer zu knackendes Passwort aussehen? Es sollte weder ein sinnvoller Begriff (ein Eigenname, Ortsname oder ähnliches) noch eine naheliegende Zahlenfolge (etwa ein Geburtsdatum) sein. Solche Kombinationen lassen sich bei einem Angriff auf die IT mehr oder weniger leicht erraten. Das lässt sich nur auf einem Weg verhindern: durch eine zufällige Auswahl von Zeichen aus den auf der Tastatur verfügbaren Zeichensätzen: Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen (etwa „§“, „&“ oder „?“).

 

Schutz vor Brute-Force-Attacken

 

Ein solcher Code ist zwar nicht zu erraten, kann aber durch Ausprobieren ermittelt werden, wofür es eigene Computerprogramme gibt (sogenannte Brute-Force-Attacken). Hier gilt: Je mehr Stellen der Code besitzt, desto länger dauert es, bis er durch Ausprobieren gefunden ist (unter Umständen Stunden oder Tage). Eine automatische Sperre verhindert dann, dass ein Angreifer tatsächlich alle Varianten durchprobieren kann. Oder er wird allein dadurch abgeschreckt, dass das Suchprogramm eventuell mehrere Stunden braucht, um alle denkbaren Varianten durchzuprobieren.

 

Passwort unzugänglich halten

 

Zugegeben, ein zufällig zusammengewürfeltes Passwort ist schwer zu merken. Dennoch sollte man es nicht aufschreiben und an einem leicht zugänglichen Ort – etwa per Aufkleber am Bildschirm oder unter der Schreibtischunterlage – deponieren. Ebenso wenig sollte es auf dem PC oder dem Smartphone offen gespeichert werden. Man kann dafür einen Passwortmanager nutzen, ein Programm, das Passwörter verschlüsselt speichert und anwendet. Dieser Manager sollte am besten aus zwei Komponenten bestehen, die nur zusammen angewendet einen Zugang zur IT öffnen.

 
 

Merkhilfe fürs Passwort

 

Eine Möglichkeit, ein zufällig erzeugtes Passwort im Kopf zu behalten, ist, einen Merksatz zu Grunde zu legen. Ein Beispiel: „Am liebsten gehe ich sonntags im Wald spazieren.“ Wenn Sie bei jedem Wort den zweiten Buchstaben verwenden, erhalten Sie „miecomap“; Sie müssen dann mindestens einen Klein- durch einen Großbuchstaben ersetzen und je einen durch eine Zahl und ein Sonderzeichen. Ergebnis könnte sein: „mi6Com+P“.

 
 

Weitere Vorsichtsmaßnahmen

 

Wichtig ist auch, ein Passwort nicht bei mehreren Zugängen zu verwenden. Auch das würde es Angreifern erleichtern, sich selbst Zugang zu verschaffen. Außerdem sollte ein Passwort nicht an fremden Geräten eingesetzt und niemandem verraten werden, insbesondere nicht bei einer telefonischen Anfrage. Wird ein Passwort durch eine Administration zugeteilt, so müssen Sie es nach der ersten Verwendung sofort ändern. Achten Sie darauf, dass Sie beim Eingeben eines Passworts niemand sieht – warten Sie im Zweifel, bis Sie unbeobachtet sind. Wenn Sie ein Passwort für einen Notfall hinterlegen wollen, sodass andere Firmenmitarbeiter Zugriff auf Ihren Rechner haben, so gehört es in einen Tresor.

 
 

Passwort regelmäßig ändern?

 

Ein Passwort immer wieder zu ändern, ist grundsätzlich nicht zu empfehlen. Bei Einhaltung der oben angeführten Regeln ist das unnötig, es sei denn, es ist gerade eben geknackt worden. Dann muss es natürlich so schnell wie möglich geändert werden. Tut man das aber ohne Anlass, so besteht die Gefahr, dass man immer wieder einen ähnlich strukturierten Code verwendet. Damit wird das Passwort unsicherer.

 
 

Die Zukunft der Authentifizierung

 

Der Zugang zu einer IT mittels eines Passworts ist heute das gängige Verfahren. Es ist allerdings absehbar, dass die Sicherheit, die ein Passwort bietet, in naher Zukunft nicht mehr ausreichen wird. Man wird sich dann zunehmend durch andere Verfahren als berechtigter Nutzer ausweisen, also authentifizieren. Am sichersten erscheint im Augenblick der Einsatz biometrischer Merkmale, das heißt, Stimm- oder Gesichtserkennung, ein Fingerabdruck, das Scannen des Augenhintergrunds (Retina) oder ähnliches. Alle diese Merkmale sind bei jedem Menschen einzigartig und nach Stand der Dinge nicht nachahmbar oder fälschbar. Die Zukunft könnte aber auch der Einsatz von Quantencomputern sein. Bei dieser Technik haben Speicherinhalte gleichzeitig mehrere einander überlagernde Werte. Auf diesem Weg verschlüsselte Codes könnten von konventionellen Computern nicht mehr bewältigt werden. Umgekehrt ließen sich aber auch konventionelle Codes wesentlich schneller als bislang entschlüsseln. Die Quantentechnik ist jedoch derzeit noch nicht ausgereift; leistungsfähige, große Quantencomputer können noch nicht gebaut werden.