Die Anfang Juni im Netz veröffentlichten Daten von Linkedin-Nutzern haben einmal mehr gezeigt, wie gefährlich es werden kann Zugangsdaten bei mehreren Diensten zu nutzen. Die Passwörter waren nur schlecht abgesichert und somit leicht zu entschlüsseln. Amazon und Netflix setzten daher Kundenpasswörter vorsorglich zurück, die auch bei Linkedin in Verwendung waren. Sicherheitsexperte Christian Haschek hat sich im Zuge des Linkedin-Hacks angesehen, wie es um die Passwort-Mentalität der Österreicher aussieht.

105.386 österreichische Email-Adressen

In der Datenbank der veröffentlichten Linkedin-Zugangsdaten fand Haschek demnach 105.386 Accounts mit einer .at-Email-Adresse. Von 76.344 Passwörtern zu diesen Accounts konnten fast 43 Prozent mit herkömmlicher Consumer-Hardware in weniger als einer Stunde geknackt werden könnten. 1.011 Accounts wurden mit einer behördlichen Email-Adresse angemeldet – erkennbar an der Endung gv.at.

Die fünf am häufigsten genutzten Passwörter waren laut Haschek 123456, linkedin, michael und 111111. Allgemein zeigt sich, dass viele österreichische Linkedin-Nutzer gerne Vornamen als Passwort angeben. 67 Prozent der analysierten Passwörter waren laut dem Sicherheitsexperten schwach.

Mit ein paar Regeln, lässt sich die Sicherheit von Online-Diensten allerdings stark erhöhen.

Niemals ein Passwort mit echten Begriffen oder Namen verwenden. Durch sogenannte Wörterbuchattacken können Passwörter, die ein reales Wort als Bestandteil haben, sehr schnell geknackt werden. Hacker setzen Software ein, die so lange verschiedene Kombinationen durchprobiert, bis es quasi "Klick" macht.

Keine persönlichen Informationen im Passwort verwenden. Wer das eigene Geburtsdatum, den Spitznamen oder die Namen der Kinder verwendet, merkt es sich selbst vielleicht besser. Allerdings können so ein Passwort auch Hacker leichter erraten, wenn sie ihren Opfern private Informationen entlocken – etwa über E-Mail.

Längere Passwörter sind tendenziell bessere Passwörter. Ein vierstelliger Code ist einfacher zu knacken als ein achtstelliges Passwort. Erlaubt es der jeweilige Online-Dienst, sollte man also längere Varianten wählen. Natürlich ist aber 12345678 kein sichereres Passwort als 1234. Daher ist auch die Komplexität wichtig.

Eine Kombination aus Buchstaben, Zahlen und Sonderzeichen verwenden. Je komplexer, desto besser. Passwortmanager helfen dabei, dass man sich für zehn Dienste nicht zehn verschiedene, schwierige Passwörter merken muss, sondern nur ein Masterpasswort. Wer darauf verzichten und sich komplizierte Passwörter selbst merken will, kann auf einen Trick zurückgreifen. So kann man einen Satz bilden und das jeweils erste Zeichen für das Passwort heranziehen. Etwa: "Mein Lieblingslokal hat die Hausnummer 25, meine erstes Haustier hieß Schnuffi". Daraus ergäbe sich das Passwort "MLhdH2,meHhS".

Vorsicht bei Tricks wie Leetspeak oder Rückwärtsschreiben. Wer etwa seinen Lieblingssong in Leetspeak oder rückwärts schreibt, hat zwar ein sicheres Passwort gegen eine Wörterbuchattacke. Hacker, die private Informationen auskundschaften, oder auch nur der eifersüchtige Lover, könnten solche Passwörter aber erraten.

Zwei-Faktor-Authentifizierung aktivieren, wenn möglich. Viele Dienste wie Facebook, Twitter, Apples iCloud oder Google bieten dieses Feature an. Dabei muss der Nutzer beim Login zu einem Dienst seine Identität über ein zweites Gerät bestätigen. Beispielsweise wird ein Zahlencode per SMS verschickt, den man beim Login angeben muss. Erfolgt ein Login-Versuch von einem fremden Computer, wird der Nutzer gewarnt. Auch wenn Unbefugte das Passwort kennen, können sie sich so nicht einloggen.

Niemals ein Passwort für mehrere Dienste verwenden. Das Passwort kann noch so sicher gewählt sein, wird ein Dienst mit geringen Sicherheitsstandards gehackt und gelangt so eine Liste mit E-Mail-Adressen und Passwörtern ins Netz, haben Kriminelle somit auch Zugang zu anderen Diensten.

Passwörter öfter wechseln. Aus dem gleichen Grund, wieso man Passwörter nicht öfter verwenden sollte, sollte man sie ab und zu ändern. Denn bei einem Hack eines Anbieters kann es beispielsweise auch vorkommen, dass Datensätze erst nach längerer Zeit über einschlägige Foren veröffentlicht oder verkauft werden. Hat man inzwischen das Passwort geändert, ist der Datensatz für Kriminelle nichts mehr wert.

Passwörter nicht für andere sichtbar notieren. Zu Hause oder auch im Büro mag man sich sicher genug fühlen, um ein kompliziertes Passwort irgendwo aufzuschreiben. Das kann nicht nur bei einem Einbruch zum Verhängnis werden, wenn der Einbrecher das Passwort zum teuren Laptop serviert bekommt. Auch neugierigen Gästen, Putzpersonal oder Handwerkern könnte man so ungewollt die Türe zum eigenen Facebook-Account öffnen. Schließlich sollte man nur selbst die eigenen Passwörter kennen.

Auf die Sicherheit von Computer, Smartphone und Tablet achten. Damit auch sichere Passwörter nicht heimlich über Viren wie Keylogger ausspioniert werden können, sollte man auch auf die allgemeine Sicherheit der Gerät achten, auf denen man die Passwörter eingibt. Sicherheitsupdates sollten schnell installiert werden, um Lücken zu schließen. In E-Mails sollte man nicht achtlos Attachments herunterladen. Virenscanner und Firewalls schützen vor den gängigsten Bedrohungen. (Birgit Riegler, 5.7.2016)