Die Anatomie der Passwörter – Cyberattacken verstehen, besser schützen

Auf einen Blick:

• Im Internet kursieren die Zugangsdaten von Milliarden privater Nutzerkonten. Sie sind oft frei zugänglich für jedermann. Hauptursache der erfolgreichen Hacks: schlechte Passwörter.
• Darum sind schwache Passwörter leicht zu knacken. Hier erfahren Sie, mit welcher Methode die Hacker gleichzeitig Millionen von Nutzerkonten hacken und warum das nur mit schlechten Passwörtern funktioniert.
• Starke Passwörter sind schwer zu knacken, aber leicht zu erstellen und zu merken. Wie das geht und was in ein starkes Passwort gehört, lesen Sie in der zweiten Artikelhälfte.

Yahoo, Linkedin, Dropbox - die Liste gehackter Nutzerkonten zählt viele bekannte Namen. Und sie ist gigantisch: Die Datensätze von drei Milliarden geklauter Accounts kursieren im Netz, berichtet das Computerfachmagazin c’t im Herbst 2016. Das Berliner Heinz-Priest-Institut weiß von 34 Millionen gehackten deutschen Accounts, die für jedermann frei zugänglich im Netz abrufbar sind. Wie ist das überhaupt möglich?

„Die Ursache liegt meist in schlechten Passwörtern“, erklärt der Datenforensiker Christian Perst. Perst ist IT-Spezialist und hackt zur Verbesserung der Sicherheit gezielt Unternehmen in ihrem Auftrag, um Schwachstellen rechtzeitig aufzuspüren. Er weiß, wie Cyberkriminelle Nutzerkonten mit schwachen Passwörtern kapern.

Wie kommen Hacker an Ihr Passwort? Die Hacker greifen in der Regel nicht Sie persönlich an, sondern einen Internet-Dienst, auf dem Sie und Millionen andere ein Nutzerkonto haben. Ziel: Möglichst viele Nutzerkonten knacken. Dazu gehen sie gezielt vor.

Beispiel Online-Shop: Zunächst greift ein Hacker den Online-Shop-Anbieter an. Er stiehlt alle Nutzerkonten und in verschlüsselter Form auch die dazugehörigen Passwörter. Die Passwörter lassen sich so aber noch nicht nutzen. Der Online-Shop hat sie verschlüsselt.

Der Hacker kennt nun aber von jedem Passwort seine Verschlüsselung: den Hashwert. „Diese Art der Verschlüsselung ist nicht umkehrbar“, sagt IT-Spezialist Christian Perst. Aus dem Hash kann der Hacker Ihr Passwort also nicht zurückgenerieren. Also Glück gehabt? Nicht ganz.

Denn: Aus einem Passwort, zum Beispiel „schalke04“, wird immer derselbe Hashwert erzeugt. Beispiel: c8a03a9ed15d. So hat jedes Nutzerkonto mit dem Passwort „schalke04“ in der Liste der gestohlenen Hashwerte den Namen c8a03a9ed15d.

Das nutzt der Hacker. Er nimmt Listen bekannter Passwörter, dazu den gesamten Inhalt von ein paar Wörterbüchern und lässt sich von jedem dieser Millionen möglichen Passwörter Hashes erzeugen. Er macht also genau das, was der Online-Shop zur Verschlüsselung gemacht hat. 8,4 Milliarden Hashes pro Sekunde erzeugt der Hacker mit einem gewöhnlichen Heimcomputer und einer 600-Euro-Grafikkarte, erklärt Christian Perst: „In einer Stunde haben Sie somit sehr viele Passwörter mit den dazugehörigen Hashes erzeugt.“

Fehlt nur noch der Abgleich der erzeugten Hashes mit der gestohlenen Hashliste – jeder Treffer verrät ein Passwort.

Hacker nutzen Listen mit Millionen bekannten Wörtern und Passwörtern, erzeugen daraus Hashes und knacken so Millionen Nutzerkonten in atemberaubender Geschwindigkeit. Das funktioniert ohne Ausnahme, wenn das Nutzerpasswort zum Beispiel in einem Wörterbuch steht. Passwörter wie „schalke04“ tauchen in solchen Listen garantiert auf.

„Kennwörter aus dem Wörterbuch sind tabu“, stellt Datenforensiker Christian Perst klar. Ebenso tabu sind laut Perst Wörter, die einen persönlichen Bezug zu Ihnen haben, etwa Geburtsdatum oder Mädchenname der Ehefrau. „Diese sind nur allzu leicht zu erraten.“

Und wie steht es mit Passwörtern wie „1hh3AüP+IT-Sg.“? Dieses Passwort taucht garantiert nicht in der Liste der Hacker auf. Dieses Passwort ist gegen Hackerangriffe sicher, selbst wenn die Gauner Ihren E-Mail-, Shopping- oder Online-Banking-Dienstleister hacken. Aber kann man sich so ein Passwort auch merken?

Passwörter wie „1hh3AüP+IT-Sg.“ sind verblüffend einprägsam. Sie bauen auf einem Schema auf, das auch Datenforensiker Christian Perst empfiehlt:

Nehmen Sie sich einen Satz, den Sie sich gut merken können.

• Notieren Sie sich nun alle Anfangsbuchstaben in dem Satz - achten Sie dabei auf Groß- und Kleinschreibung.
• Ersetzen Sie nun einzelne Buchstaben durch Sonderzeichen. Ein „e“ wird zum Beispiel zur „3“, ein „i“ zur „1“, ein „s“ wird zur „5“.

So wird aus dem unmöglich zu merkenden Passwort „1hh3AüP+IT-Sg.“ der einfache Satz: „1ch habe heute 3inen Artikel über Passwörter und IT-Sicherheit geschrieben.“

Früher galt für starke Passwörter:

• Sie sind mindestens acht Zeichen lang.
• Sie beinhalten Groß- und Kleinbuchstaben.
• Nach Möglichkeit beinhalten sie auch Zahlen und Sonderzeichen.

Heute sind die Anforderungen schärfer geworden, weil immer leistungsfähigere Computer Passwörter immer effizienter knacken können. „Ich empfehle eine Mindestlänge von zwölf Zeichen für ein Passwort, um einigermaßen sicher zu sein“, erklärt IT-Spezialist Christian Perst.

Perst empfiehlt zudem, möglichst viele Zeichenarten im Passwort zu verwenden. Wer lediglich Groß- und Kleinbuchstaben verwendet bedient sich einem Zeichensatz von 52 Zeichen, mit entsprechend weniger Kombinationsmöglichkeiten. Nutzen Sie auch den Sonderzeichensatz, erhöht sich die Zeichenzahl auf 95, was die Zahl möglicher Kombinationen enorm steigert.

Faustregel von Christian Perst: Ein Kennwort nur mit Groß- und Kleinbuchstaben ist erst sicherer als eines mit Sonderzeichen, wenn es wenigstens zwei Zeichen länger ist. Gleichzeitig gilt: Ein Kennwort mit Sonderzeichen dauert 5000 mal länger zu knacken, als ein ebenso langes Kennwort ohne Sonderzeichen. (Mehr dazu lesen Sie in Christian Persts Info-PDF zum Passwortschutz hier).

Außerdem gilt: „Jedes Zugangskonto sollte mit einem eigenen Passwort geschützt werden“, erklärt Perst. Denn kennt ein Hacker das Passwort von einem Ihrer Nutzerkonten, probiert er die gleiche Kombination gern bei anderen Internetdiensten. „Verwendet der gehackte Nutzer bei E-Mail-Konto, Amazon und anderswo das gleiche Passwort, dann ist Feuer in der Hütte“, warnt Perst.