1. Startseite
  2. Kultur

Update: Passw0rt!

Erstellt:

Von: Kathrin Passig

Kommentare

Male hacker locking computer by using chain and padlock, malware ransomware Trojan concept. Internet security concept (zephyr18)
Immer alles schön sichern. © Imago

Ich registriere mich irgendwo im Internet. Als Passwort trage ich „nudelholz“ ein. (Das ist nicht das Passwort, das ich wirklich eintrage, aber das echte ist exakt so schlecht.) Die Kolumne „Update“.

Ich nutze schlechte Passwörter nicht aus Faulheit oder mangelnder Ahnung von Passwortsicherheit, sondern weil ich undramatische Folgen erwarte, wenn jemand meine Zugangsdaten für eine Seite hackt, auf der man Bastelbogen für Papier-Pokémon ausdrucken kann. Aber die Bastelbogen-Website lehnt mein Passwort ab, es ist nicht sicher genug für diesen wichtigen Anlass. Stattdessen soll ich eines eintragen, das eine Zahl enthält, ein Sonderzeichen sowie mindestens einen Großbuchstaben. Macht nichts, ich habe ja einen Passwortmanager. Kurzer Erklär-Ausflug für diejenigen, die keinen haben: Ein Passwortmanager ist Software, mit deren Hilfe man den Überblick über alle Passwörter behalten kann. Merken muss man sich dann nur noch eines, das für den Passwortmanager. Die verbreitetsten Lösungen heißen LastPass, 1Password und KeePass.

Man kann damit komplizierte Passwörter neu erzeugen, und das mache ich jetzt: „HbMtmNuc>DRyw@ky68“ schlägt der Passwortmanager vor. „Nein“, sagt die Bastelbogen-Website, „dieses Passwort entspricht nicht unseren Anforderungen. Es enthält unzulässige Sonderzeichen (wir sagen dir aber nicht, welche), mehr als eine Zahl und überhaupt ist es zu lang!“

An dieser Stelle kann man als fachfremde Person vermuten, dass dieses Sicherheitsverfahren gar nicht für mehr Sicherheit sorgt, sondern eher für weniger. Und man hätte mit dieser Vermutung recht: Die Forschung sagt das auch. Aber Forschungsergebnisse finden erstaunlich selten den Weg in die Praxis des Website-Betreibens. Auch Unternehmen, die eigene Abteilungen nur für Sicherheitsfragen haben, machen beim Erlauben oder Verbieten von Passwörtern fast alles falsch. „Password policies of most top websites fail to follow best practices“ heißt deshalb auch eine gerade veröffentlichte Studie, in der der Informatiker Kevin Lee und sein Team genau zu diesem Schluss kommen. Die Autoren haben in mühsamer Kleinarbeit ausprobiert, ob die Passwortvorgaben der 120 beliebtesten englischsprachigen Angebote irgendwas mit dem Stand der Sicherheitsforschung zu tun haben.

Hier schreibt Kathrin Passig jede Woche über Themen des digitalen Zeitalters. Sie ist Mitbegründerin des Blogs „Techniktagebuch“. www.kathrin.passig.de
Hier schreibt Kathrin Passig jede Woche über Themen des digitalen Zeitalters. Sie ist Mitbegründerin des Blogs „Techniktagebuch“. www.kathrin.passig.de © privat

Nur 23 von den 120 zeigen während der Wahl eines Passworts an, ob es sich um ein leicht erratbares handelt. Dargestellt wird das oft durch einen Balken, der bei sichereren Passwörtern länger und grüner wird. Zehn von den 23 haben zwar so eine Live-Anzeige für bessere Passwörter, missbrauchen sie aber, um – genau wie meine fiktive Bastelseite – stattdessen schlechtere einzufordern. Facebook zum Beispiel lehnt das zufallsgenerierte Passwort „bkmmafwexucnvnsgppdk“ ab, akzeptiert aber „Passw0rd“ mit einer Null statt dem Buchstaben o. Für das Erraten von „bkmmafwexucnvnsgppdk“ braucht ein Passwortknack-Werkzeug ein paar Millionen Jahre, für „Passw0rd“ nicht mal eine Sekunde.

54 der 120 untersuchten Websites verlangen den Einbau von Zahlen, Großbuchstaben oder Sonderzeichen. Auch hierzu gibt es Forschung, und sie besagt, dass viele Menschen auf diesen Wunsch vorhersehbar reagieren: Sie schreiben den ersten Buchstaben des Passworts groß und hängen hinten ein “!“ oder „1!“ an. Weil das (und alle Varianten davon) nicht nur in der Sicherheitsforschung, sondern auch im Hackergeschäft bekannt ist, bringt es gar nichts. Es schadet sogar, weil das neue Passwort jetzt schlechter zu merken ist und deshalb auf ein Post-it geschrieben und an den Monitor geklebt wird.

Tröstliche Zukunftsversprechen enthält die Studie keine. In den vergangenen zwanzig Jahren habe es zwar Fortschritte bei den Anmeldeverfahren gegeben, Passwörter seien aber immer noch essenziell und daran werde sich wahrscheinlich so bald nichts ändern. Weder Universitäten noch Unternehmen werden uns also in absehbarer Zeit vor unseren ungünstigen Passwortvorlieben retten. Die einen können nicht, weil man nicht auf sie hört, und die anderen wollen nicht, weil, ja, warum eigentlich? Die Autoren der Studie vermuten ein bisschen herum, wissen es aber auch nicht.

Wenn es um Passwortsicherheit geht, haben viele Menschen eine Idee, die mit „Man muss doch nur“ beginnt und mit „das kriegt jetzt wirklich jeder hin“ endet. Gleichzeitig sind wir alle mit mindestens einer anderen Person befreundet oder verwandt, für die extrem schlechte, leicht merkbare Passwörter die einzige realistische Option sind. Das ist halt so, man muss sich damit abfinden und hoffen, dass einfach nicht genug Kriminelle existieren, um jeder dieser Passw0rt!-Personen Schaden zuzufügen. Aber falls Sie finden, dass Sie eigentlich nicht unbedingt selbst die Person mit den riskanten Praktiken sein müssen, dann erwägen Sie doch vielleicht die Anschaffung eines Passwortmanagers. Schon weil Sie dann bei allen zukünftigen Texten über dieses Thema „man muss doch nur“ denken können und „das kriegt jetzt wirklich jeder hin“.

Auch interessant

Kommentare