Problemfall Passwort

Zentrales Element der IT-Sicherheit ist der Schutz von Computern oder Programmen durch Passwörter. Zugleich sind sie Gegenstand vieler Witze: Einerseits finden es viele User lästig, sich komplizierte und auch noch mehrere Passwörter zu merken, oder sie vergessen sie häufig. Andererseits ist klar, dass beliebte einfache Codes wie etwa „passwort“ oder „123456“ keinen wirklichen Schutz vor einem unbefugten Zugriff darstellen. Vielen ist jedoch unklar, welche Passwörter sicher und welche unsicher sind und welcher Aufwand für Sicherheit tatsächlich getrieben werden sollte.

Passwort mit hoher Sicherheit

Wie sollte ein schwer zu knackendes Passwort aussehen? Es sollte weder ein sinnvoller Begriff (ein Eigenname, Ortsname oder ähnliches) noch eine naheliegende Zahlenfolge (etwa ein Geburtsdatum) sein. Solche Kombinationen lassen sich bei einem Angriff auf die IT mehr oder weniger leicht erraten. Das lässt sich nur auf einem Weg verhindern: durch eine zufällige Auswahl von Zeichen aus den auf der Tastatur verfügbaren Zeichensätzen: Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen (etwa „§“, „&“ oder „?“).

Schutz vor Brute-Force-Attacken

Ein solcher Code ist zwar nicht zu erraten, kann aber durch Ausprobieren ermittelt werden, wofür es eigene Computerprogramme gibt (sogenannte Brute-Force-Attacken). Hier gilt: Je mehr Stellen der Code besitzt, desto länger dauert es, bis er durch Ausprobieren gefunden ist (unter Umständen Stunden oder Tage). Eine automatische Sperre verhindert dann, dass ein Angreifer tatsächlich alle Varianten durchprobieren kann. Oder er wird allein dadurch abgeschreckt, dass das Suchprogramm eventuell mehrere Stunden braucht, um alle denkbaren Varianten durchzuprobieren.

Passwort unzugänglich halten

Zugegeben, ein zufällig zusammengewürfeltes Passwort ist schwer zu merken. Dennoch sollte man es nicht aufschreiben und an einem leicht zugänglichen Ort – etwa per Aufkleber am Bildschirm oder unter der Schreibtischunterlage – deponieren. Ebenso wenig sollte es auf dem PC oder dem Smartphone offen gespeichert werden. Man kann dafür einen Passwortmanager nutzen, ein Programm, das Passwörter verschlüsselt speichert und anwendet. Dieser Manager sollte am besten aus zwei Komponenten bestehen, die nur zusammen angewendet einen Zugang zur IT öffnen.

Merkhilfe fürs Passwort

Eine Möglichkeit, ein zufällig erzeugtes Passwort im Kopf zu behalten, ist, einen Merksatz zu Grunde zu legen. Ein Beispiel: „Am liebsten gehe ich sonntags im Wald spazieren.“ Wenn Sie bei jedem Wort den zweiten Buchstaben verwenden, erhalten Sie „miecomap“; Sie müssen dann mindestens einen Klein- durch einen Großbuchstaben ersetzen und je einen durch eine Zahl und ein Sonderzeichen. Ergebnis könnte sein: „mi6Com+P“.

Weitere Vorsichtsmaßnahmen

Wichtig ist auch, ein Passwort nicht bei mehreren Zugängen zu verwenden. Auch das würde es Angreifern erleichtern, sich selbst Zugang zu verschaffen. Außerdem sollte ein Passwort nicht an fremden Geräten eingesetzt und niemandem verraten werden, insbesondere nicht bei einer telefonischen Anfrage. Wird ein Passwort durch eine Administration zugeteilt, so müssen Sie es nach der ersten Verwendung sofort ändern. Achten Sie darauf, dass Sie beim Eingeben eines Passworts niemand sieht – warten Sie im Zweifel, bis Sie unbeobachtet sind. Wenn Sie ein Passwort für einen Notfall hinterlegen wollen, sodass andere Firmenmitarbeiter Zugriff auf Ihren Rechner haben, so gehört es in einen Tresor.

Passwort regelmäßig ändern?

Ein Passwort immer wieder zu ändern, ist grundsätzlich nicht zu empfehlen. Bei Einhaltung der oben angeführten Regeln ist das unnötig, es sei denn, es ist gerade eben geknackt worden. Dann muss es natürlich so schnell wie möglich geändert werden. Tut man das aber ohne Anlass, so besteht die Gefahr, dass man immer wieder einen ähnlich strukturierten Code verwendet. Damit wird das Passwort unsicherer.

Die Zukunft der Authentifizierung

Der Zugang zu einer IT mittels eines Passworts ist heute das gängige Verfahren. Es ist allerdings absehbar, dass die Sicherheit, die ein Passwort bietet, in naher Zukunft nicht mehr ausreichen wird. Man wird sich dann zunehmend durch andere Verfahren als berechtigter Nutzer ausweisen, also authentifizieren. Am sichersten erscheint im Augenblick der Einsatz biometrischer Merkmale, das heißt, Stimm- oder Gesichtserkennung, ein Fingerabdruck, das Scannen des Augenhintergrunds (Retina) oder ähnliches. Alle diese Merkmale sind bei jedem Menschen einzigartig und nach Stand der Dinge nicht nachahmbar oder fälschbar. Die Zukunft könnte aber auch der Einsatz von Quantencomputern sein. Bei dieser Technik haben Speicherinhalte gleichzeitig mehrere einander überlagernde Werte. Auf diesem Weg verschlüsselte Codes könnten von konventionellen Computern nicht mehr bewältigt werden. Umgekehrt ließen sich aber auch konventionelle Codes wesentlich schneller als bislang entschlüsseln. Die Quantentechnik ist jedoch derzeit noch nicht ausgereift; leistungsfähige, große Quantencomputer können noch nicht gebaut werden.