IT-Sicherheit: Passwörter und Log-in-Informationen

Praxis: Online-Accounts müssen mit »starken« Passwörtern geschützt werden

8. Oktober 2009, 14:36 Uhr | Bernd Reder
Die Log-in-Namen, sprich E-Mail-Adressen, und Passwörter mehrerer Tausend Hotmail-Nutzer wurden auf einer Web-Seite publiziert.

Die jüngsten Angriffe auf Web-Mail-Dienste von Google, Microsoft und Yahoo haben gezeigt, dass viele User simpel gestrickte Log-in-Namen und Passwörter verwenden. Dies ist ein Sicherheitsrisiko. In einem Beitrag im Gmail-Weblog von Google gibt ein Fachmann des Unternehmens Hinweise, wie sich Nutzer von Online-Diensten vor Passwort-»Phishern« schützen können. Das A und O sind »starke« Passwörter.

Die jüngsten Phishing-Angriffe auf Web-Mail-Dienste wie Google Mail, Hotmail und Yahoo haben an den Tag gebracht, dass viele Nutzer solcher Dienste zu einfache Passwörter verwenden. Diese lassen sich relativ leicht knacken.

Viel schlimmer ist, dass viele User dieselben Authentifizierungsdaten für mehrere Online-Dienste verwenden, etwa für Google Mail und das Online-Banking – ein enormes Sicherheitsrisiko. In einem Beitrag im Gmail-Blog von Google gibt Michael Santerre, Mitarbeiter im Consumer-Operations-Bereich der Firma, Hinweise, wie »gute« Passwörter aussehen sollten.

Problem Nummer 1: Passwörter für mehrere Online-Dienste nutzen

Viele Online-Services, etwa E-Mail-Dienste, Ebay, Amazon oder E-Tailer, verlangen vom User, dass er einen Log-in-Namen und ein Passwort angibt. Ohne diese Daten erhält er – verständlicher Weise – keinen Zugang zum Angebot und zu seinen Adress- und Kontodaten, die auf dem Server des Anbieters gespeichert sind.

Kein Wunder, dass angesichts dieser Datenflut viele User dazu übergehen, dieselben Authentifizierungsdaten für mehrere Services nutzen. Die Gefahr: Ein Hacker, der einen Account knackt, erhält dadurch Zugang zu anderen Internet-Angeboten, die der User nutzt.

Lösung: Auch wenn es aufwändig ist, sollte der Nutzer für unterschiedliche Diente separate Log-in-Namen und Passwörter verwenden. Das gilt zumindest für wichtige Accounts, etwa für Online-Bankgeschäfte, Ebay oder Bezahldienste wie Paypal.

Eine Möglichkeit besteht laut Santerre darin, dass Nutzer einen Satz formuliert, der mit der betreffenden Site in Verbindung steht, und die ersten Buchstaben der Wörter verwendet. Ein Beispiel für einen Bank-Account: Aus »Wie viel Geld habe ich noch auf meinem Konto?« könnte das Passwort »Wvghinamk« entstehen.

Noch sicherer ist es, das Schlüsselwort mit Groß- und Kleinschreibung sowie Sonderzeichen und Zahlen zu ergänzen. Das könnte dann im Falle des Online-Bankzugriffs so aussehen: »1Wvg$HinaM8k?«

Problem Nummer 2: Passwörter auf Basis geläufiger Begriffe

Viele Passwörter enthalten Begriffe wie »Passwort« oder »admin«. Sehr beliebt sind auch simple Zahlen- und Buchstabenfolgen wie »1,2,3,4,5«, »qwertz« und »abcde«. Solche Begriffe lassen sich relativ einfach mit sogenannten Dictionary-Angriffen ermitteln.

Lösung: Wie bereit erwähnt, besser ein Passwort verwenden, das Buchstaben, Zahlen und Sonderzeichen enthält. Laut Michael Santerre gibt es bei einem Schlüsselwort mit acht Buchstaben in Kleinschreibweise »nur« 26 hoch 8 mögliche Kombinationen. Bei einem Begriff mit Groß-/Kleinschreibung, Ziffern und Sonderzeichen sind es 94 hoch 8. Das erschwert Angriffe erheblich.


  1. Praxis: Online-Accounts müssen mit »starken« Passwörtern geschützt werden
  2. : Persönliche Informationen aus dem Passwort heraushalten. Leider hat das den Effekt, dass ein solcher Begriff schwerer zu merken ist. Dafür ist er sicherer.</p

Matchmaker+