- Bessere Passwörter sichern Ihre Privatsphäre - Uwe Wolfrum
Passwörter auszuspionieren ist inzwischen eine eigene verbrecherische "Industrie" geworden. Jeden Tag müssen sich sowohl private Computer- und Internetnutzer als auch Firmen und Netzwerke gegen die Angriffe von Hackern, Spionen, Trojanern und feindlicher Softwareprogramme wehren.
Den wirksamsten Schutz bieten natürlich die aktuellste Version einer Anti-Viren-Software, ein Anti-Spam-Filter in der Mailbox, hohe Sicherheitseinstellungen auf dem Rechner und Browser – und natürlich die nötige Vorsicht gegen alle verdächtigen Links und Nachrichten, die Hacker per E-Mail, Messenger-Nachrichten oder in den gängigen Online-Netzwerken versenden – und die die User auf verhängnisvolle Tarnseiten locken, die Ihre Daten in Erfahrung bringen oder Viren auf Ihrem Rechner installieren.
Hackern wird Ihr Treiben durch einfallslose Passwörter erleichtert
Trotz all dieser technischen Sicherheitsmaßnahmen wird Bösewichten gerade durch einfallslose und simple Passwörter der Eintritt in Ihre Privatsphäre erleichtert – und auch durch verräterische Usernamen, die die Inhalte des Passworts wiederholen.
Die Situation ist häufig die gleiche – man sitzt vor einer Registrierungsmaske für ein neues E-Mail-Postfach, einen Online-Shop oder eine Online-Community, gibt seine Namen und seine persönlichen Daten ein und muss sich schnell für einen persönlichen Usernamen und ein geheimes Passwort entscheiden.
Die Wahl fällt dabei leider häufig auf sehr offensichtliche Wörter – meistens sind es der eigene Name oder der von nahen Freunden und Familienmitgliedern, die Heimatstadt, das Geburtsjahr oder Kombinationen derselben. Und obwohl die Passwortwahl inzwischen bei vielen Registrierungsprozessen eine Mindestlänge von sechs bis zehn Zeichen vorsieht und eine Pflichtkombination aus Buchstaben und Zahlen, um das Sicherheitslevel zu erhöhen, fehlt vielen Menschen die Phantasie für ein sicheres Passwort.
Schlimme Phantasielosigkeit bei der Passwortwahl
Das amerikanische IT-Unternehmen Imperva hat jüngst 32 Millionen Passwörter analysiert, die aus einem großen Datendiebstahl stammen und im Internet an die Öffentlichkeit gelangt sind. Der Report bestätigt wieder einmal, dass sich viele Nutzer des Risikos nicht bewusst sind, das von einem zu simplen und gängigen Passwort ausgeht.
In einem Top-10-Ranking über die beliebtesten Passwörter steht die Zahlenkombination "123456" auf Platz 1, dicht gefolgt von "12345" und "123456789". Auf den weiteren Plätzen folgten das besonders unoriginelle „password“ auf Platz 4, danach folgen "iloveyou", "princess", "rockyou", "1234567", "12345678" und "abc123".
Hacker haben inzwischen erstaunliche Programme entwickelt, um Passwörter zu knacken – und gehen dabei nach dem Wahrscheinlichkeitsprinzip vor. Die oben genannten schlimmen Beispiele sind schon längst Pflichtprogramm beim Ausspionieren von Passwörtern, und die Trefferquote ist dabei leider immer noch sehr hoch.
Aufgepasst bei Nutzernamen in Communities
Gerade wer sich für Communities und Foren registriert, gibt der Öffentlichkeit einige Informationen von sich preis. Ob Business-Netzwerke wie Xing und Stepstone, Special-Interests-Gemeinschaften wie Groops und Lokalisten oder die gängigen Communities wie Facebook, MySpace, YouTube, Jappy, Twitter und Yahoo – überall sind Userprofile mit persönlichen Informationen wie dem Namen, dem Wohnort, dem Alter bzw. Geburtstag und persönlichen Interessen und Vorlieben sichtbar. Und diese werden häufig vom Usernamen bzw. Log-in auf die Passwörter übertragen.
Wenn z.B. der eingefleischte HSV-Fan Oliver mit seinem Lieblingsverein auf seinem Profil prahlt und ausgerechnet z. B. "hsvoliver" als Passwort wählt, können sich schlaue Hacker das fast schon ausrechnen und probieren diese Variante sicherlich aus.
Auch der fiktive 30-jähige Michael aus Berlin ist mit Passwörtern wie "michael1980", "mike30" oder "berlin2010" nicht gut beraten. Als Nutzername mag das in Ordnung gehen, aber wer sich versucht, mit einem solchen einfachen Namenskonstrukt bei einem E-Mail-Anbieter oder einer Internet-Community anzumelden, wird in den meisten Fällen feststellen, dass solche unsicheren Nutzernamen bereits vergeben sind.
Schon der Nutzername sollte nicht zuviel verraten
Deshalb fangen Die schon bei der Wahl Ihres Nutzernamens an und verraten Sie darin nicht zuviel über sich. Außer für offizielle und geschäftliche E-Mail-Adressen, bei denen meistens die Struktur Vorname.Nachname@Firma.de gilt, sollten Sie für den persönlichen Gebrauch auf Ihren Namen, Alter, Geburtsjahr oder Ihren Heimatort verzichten. Wählen Sie sich lieber einen Inkognito-Namen aus, gerne in Verbindung mit einer unverfänglichen Zahl, der nichts von Ihnen verrät.
Bei der Wahl eines Nutzernamens können Sie Ihrer Phantasie freien Lauf lassen, aber er sollte dem Zweck entsprechen – gerade bei E-Mail-Adressen. Mit lustigen Comicnamen oder Anzüglichkeiten wie "Hotpussy82", "Stutenreiter_Berlin" oder "Minnymaus25" erzielen Sie vielleicht bei einer Flirt-Community oder einem Erotikportal die gewünschte Aufmerksamkeit – als Absender für Geschäftspost oder Bewerbungen sind diese Mail-Accounts aber völlig ungeeignet und werfen nur ein negatives Licht auf Sie.
Auch bei den Passwörtern sollten Sie so verfahren – wählen Sie einen Begriff und eine Zahl, die nicht unbedingt auf Sie schließen lassen, z.B. einen Berg, einen Fluss, ein fernes Land oder eine historische Persönlichkeit die sich sich leicht merken können.
Passwörter sollten nicht auf die Person schließen lassen
Wenn besagter Michael statt "michael1980" z. B. "mauretanien1925" wählt, ist der Zusammenhang mit seiner Person sicherlich unwahrscheinlicher als seine Kombination aus Vornamen und Geburtsjahr. Intuitiv wählen die meisten User zuerst ein Wort und dann die Zahl – drehen Sie deshalb die Kombination um (z. B. "1925mauretanien"), dann entspricht Ihr Passwort noch etwas weniger den gängigen Konventionen.
Sonderzeichen wie Umlaute, das deutsche "ß" oder Satzzeichen wie Doppelpunkte und Klammern sind natürlich nicht erlaubt, bis auf den Unterstrich ("Underscore") irgendwo in Ihrem Passwort - "1925_mauretanien" ist also noch etwas sicherer.
Ein absolut sicheres Passwort gibt es allerdings nicht – aber die Wahrscheinlichkeit, dass findige Hacker Ihren Gedanken bei der Passwortwahl auf die Schliche kommen, sinkt mit diesen Maßnahmen erheblich. Vorausgesetzt natürlich, Sie bleiben vorsichtig und vertrauen niemandem Ihre Passwörter an – vor allem niemals den dreisten, gefälschten "Phishing-Mails", die nach Ihren Daten und Passwörtern fragen und diese somit "fischen" wollen.
Phishing-Mails – die simpelste Methode zur Spionage von Passwörtern
Meistens erzählen Ihnen diese gefälschten Mails, die im Namen von Yahoo, Ebay, PayPal und Co. verschickt werden, dass es zu einem Datenbankcrash gekommen ist und Ihre Angaben gelöscht wurden, oder dass Ihr Account kurz vor der Schließung steht, wenn Sie nicht unverzüglich Ihre persönlichen Daten, Nutzernamen und Passwörter zurücksenden. Das ist in allen Fällen völliger Quatsch, denn alle diese Firmen haben Ihre Daten und Passwörter sicher in ihren Datenbanken gespeichert und würden niemals danach in einer E-Mail fragen!
Leider fehlen gerade neuen und unerfahrenen Internetnutzern ("Newbies") und älteren Menschen auf diese simpelste Masche der Betrüger herein – mit bösen Folgen, die zum Ausspionieren Ihres Mail-Kontos über den Missbrauch zum Versenden von Spam-Mails reicht bis hin zu Verbrechen wie Betrug und Geldwäsche – in Ihrem Namen!
Und gerade wenn Sie wie die meisten Leute heute mehrere Passwörter für Ihre zahlreichen Mail-Postfächer, Netzwerke, Shop- und Online-Banking-Konten etc. haben, sollten Sie auf jeden Fall für jede Seite ein neues Passwort wählen - und nicht aus Bequemlichkeit überall dasselbe. Und wechseln Sie Ihre Passwörter regelmäßig.
Auch die Passwortverwaltung sollte sicher sein
Die Flut der Registrierungsprozesse macht es aktiven Internetnutzern kaum möglich, sich alle Usernamen und Passwörter zu merken. Zu groß ist dann die Versuchung, sich diese Daten fein säuberlich in einem Textdokument zu notieren.
Wenn dann den Hackern im schlimmsten Fall der Eingriff auf Ihren Rechner gelingen sollte und sie dieses Dokument entdecken, vor allem wenn Sie es noch offensichtlich als z.B. "MeinePasswoerter.doc" betitelt haben, kann der Schaden immens werden. Benennen Sie dieses Dokument notfalls mit einem unverfänglichen Namen und schützen Sie es mit einem eigenen Passwort. Textverarbeitungsgprogramme wie MS Word bieten diesen Dokumentenschutz serienmäßig an.
Und am sichersten ist immer noch die altmodische Offline-Methode - notieren Sie sich Ihre Passwörter auf ein Blatt Papier oder in ein Notizbuch und hinterlassen Sie keine Hinweise auf Ihrem Rechner oder in Ihrem E-Mail-Postfach - denn dorthin gelangen Hacker zum Glück noch nicht.
Uwe Wolfrum - Geboren 1967 in Oberfranken, aufgewachsen in Hessen, gestrandet in Hamburg. Studium der Germanistik, Medienwissenschaften, Anglistik und ...
