Lesedauer ca. 3 Minuten

Es ist die tägliche Routine – jeder Arbeitstag beginnt erst einmal mit der Eingabe des Passworts oder Zugangscodes in den  PC, Laptop oder das mobile Device – mühsam ausgedacht und erinnert und aus Bequemlichkeit selten verändert. Wie steht es um die Sicherheit unserer Passwörter?

Bruder Leichtfuß auf Reisen

Ganz Mutige verzichten gleich ganz auf einen Zugangscode, wie kürzlich im ICE am Frankfurter Flughafen erlebt. Einem eiligen Passagier war sein Smartphone aus der Tasche gefallen und mit einem Klick lag die gesamte Persönlichkeit offen, samt der Möglichkeit Passwörter über Email-Bestätigung zu verändern und Transaktionen zu tätigen.

Wie bemisst man in einem solchen Fall eigentlich den Finderlohn? Der so exponierte Bruder Leichtfuß vermisste seine Identität schnell – auch die Bordkarte war digital – und kam vor Abfahrt des Zuges zurück. So viel Glück muss man haben.

Passwort = Menschliche Faulheit + Mangelnde Kreativität

Aber auch wenn es ein Passwort oder -code gibt, ist das für die bösen Jungs oft keine Hürde. Die üblichen vierstelligen Passcodes bieten eigentlich 9.999 Kombinationsmöglichkeiten. Tatsächlich reichen aber 20 Kombinationen, von 1111 über 1234 bis 4321, um 26,8% der benutzten Codes zu knacken. Und wenn man noch die Varianten mit 19xx und DDMM dazu nimmt, gehen die Chancen schon an die 50:50.

Man kann an den Häufigkeitsverteilungen der Codes sogar sehen, welche Monate 30 oder 31 Tage haben. Wenn die menschliche Faulheit, gepaart mit fehlender Kreativität und schlechtem Gedächtnis schon bei vierstelligen Codes so durchschlägt, braucht einen bei den Passwörtern nichts mehr zu wundern.

Informatiker sind kreativer als BWLer

Mit wenigen Standard-Passwörtern (rund 100 allgemein bekannten wie „iloveyou“ oder „123456“) kommt man in fast 10% der frei zugänglichen Services rein. Selbst wenn der Dienstebetreiber Regeln festlegt mit Sonderzeichen, Groß- und Kleinschreibung etc., hilft das nicht viel. Wenn mehr als 40% der Sonderzeichen in Passwörtern „!“ oder „@“ lauten und damit dann auch nur offensichtliche Positionen besetzt werden, ist das keine Herausforderung für eine gute Cracking-Software.

Auch lange, gute merkbare Sätze oder beliebig zusammengestellte Begriffe verbessern die Sicherheit nach Ansicht der Experten nicht merklich. Viele Webseiten zeigen bei der Eingabe die Stärke von Passworten an. Oft sind diese Meter viel zu soft eingestellt, wiegen die Nutzer in falscher Sicherheit.

Optimal wären natürlich computergenerierte 16-stellige Passwörter, aber das ist halt aufwändig und schwer zu merken. Fun Fact am Rande: Statistisch sind die Passwörter von Informatikstudenten 1,8fach stärker als diejenigen von BWLern.

Was ist wirklich sicher?

Eigentlich sind reine Passwort-Logins ohnehin ein Ding der Vergangenheit. Dual Factor Authentification, mit einem Bestandteil, den man weiß und einem, den man hat, sind auch im End-User-Bereich mit wenig Aufwand implementierbar. Die Einsetzbarkeit über alle Devices in allen Use Cases ist halt noch schwierig. Da sind die Anbieter gefordert.
Bleibt nur zu sagen, dass man die User wenigstens auffordern sollte, drei einfache Regeln zu beachten: Vorhersehbarkeit minimieren, keine multiple Nutzung von Passworten und – wo immer möglich – Zwei-Faktor-Authentifizierung. Also einfach die Faulheit überwinden, bevor etwas schief geht.