Das Passwort: Die einzige Konstante im Leben

41 Prozent der Bundesbürger verändern aus eigener Initiative niemals ihre Zugangscodes für Online-Konten, E-Mail-Postfächer, Auktionsplattformen, PCs oder das Handy. Das ergab eine repräsentative Forsa-Umfrage im Auftrag des Branchenverbands Bitkom. Nur jeder Sechste (17 Prozent) ändert seine wichtigsten Geheimzahlen und Passwörter wenigstens einmal im Quartal. "Bei Passwörtern zahlt sich Treue nicht aus – die wichtigsten Passwörter sollten alle drei Monate geändert werden", kommentiert Dieter Kempf vom Präsidium des Bitkom die Umfrage.

Jeder Zwölfte (8 Prozent) ändert seine Zugangscodes nur alle paar Jahre, jeder Neunte (11 Prozent) immerhin jährlich. 6 Prozent wechseln im Schnitt halbjährlich ihre Kennwörter, 9 Prozent quartalsweise, 7 Prozent monatlich, jeder Hundertste gar wöchentlich. Frauen ändern laut der Auswertung ihre wichtigsten Kennwörter seltener als Männer: 45 Prozent tun dies nie (Männer: 38 Prozent), nur 12 Prozent mindestens einmal im Quartal (Männer: 24 Prozent). Sensibilisiert sind laut Bitkom aber Jugendliche und junge Erwachsene bis 29 Jahre. In dieser Gruppe soll jeder Vierte (27 Prozent) seine wichtigsten Kennwörter mindestens quartalsweise ändern. Faul sind dagegen Senioren: Bei Personen über 60 Jahren sind es nur rund 4 Prozent.

"Private Nutzer und Unternehmen sind gleichermaßen gefordert. Die Firmen sollten die PCs ihrer Mitarbeiter so einstellen, dass Kennwörter regelmäßig geändert werden müssen. Zudem sollte es Vorgaben zur Mindestlänge und dem Schwierigkeitsgrad des Passwortes geben", fordert Kempf. Zuletzt veröffentlichte Bitkom Anfang des Monats eine Studie zu Passwörtern, wonach 37 Prozent private Passwörter für ihren PC, Internet-Seiten und Co. an andere weitergeben.

Aktuelle Fälle zeigen, inwieweit die Wahl des Passworts die Widerstandsfähigkeit gegen Knackversuche beeinflussen kann. So hat sich das FBI einem Bericht des brasilianischen TV-Senders Globo zufolge zwölf Monate mit einer Wörterbuchattacke an einem per Truecrypt-verschlüsselten Container die Zähne ausgebissen. Das FBI hatte die Dateien von den brasilianischen Behörden erhalten, nachdem diese sich bereits 5 Monate daran versucht hatten. Die Datei stammte von dem wegen betrügerischer Transaktionen angeklagten Banker Daniel Dantas.

Auf der anderen Seite ist gerade ein französischer Hacker zu einer Bewährungsstrafe verurteilt worden, der sich illegal Zugang zu etlichen Nutzer-Konten des Kurzmitteilungsdienstes Twitter verschafft – darunter auch zu denen von Barack Obama und Britney Spears. Der Zugriff gelang ihm, weil er die Passwörter von Twitter-Admins erraten hatte und mit (damals) verfügbaren Support-Tools Tweets auf beliebige Konten veröffentlichen konnte.

Ob nun besonders lange und kryptische Passwörter und regelmäßige Wechsel ein Konto länger schützen, als kurze, aber nicht leicht erratbare, kommt auf den jeweiligen Anwendungsfall an. Im Fall von Truecrypt vs Wörterbuchattacke lohnt sich sicherlich ein langes Passwort mit Sonderzeichen und Drumherum. Auch den Twitter-Admins hätte das vermutlich gereicht, um den gezielten Angriff abzuwehren. Stattdessen haben sie offenbar persönliche Informationen wie Namen und dergleichen in die Passwörter einfließen lassen, die sich über Social-Networking-Seiten herausfinden ließen.

Der Privatanwender steht jedoch selten unter direktem Beschuss, da etwa eine ungezielte Wörterbuchattacke für Kriminelle zu viel Aufwand bedeutet. Zudem blockieren oder erschweren viele Webseiten weitere Login-Versuche nach einer gewissen Zahl von Fehlschlägen. Wesentlich häufiger kommen Passwörter durch Phishing-Attacken abhanden – und da hilft dann auch kein hunderstelliges Passwort mehr. Immerhin kann der Einsatz verschiedener Passwörter für unterschiedliche Seite dann den Schaden begrenzen.

Ist der PC jedoch mit einem Passwort-stehlenden Trojaner (wie ZeuS ) infiziert, hilft auch das nicht mehr. Denn dann liest der Trojaner ohnehin alles mit. Immerhin könnte ein regelmäßiger Passwortwechsel die Betrüger aus dem Tritt bringen: Da diese nicht in Echtzeit die Daten missbrauchen oder weitergeben können, vergeht bis zum Missbrauch der Daten etwas Zeit. Wechselt man (trotz Unkenntnis der Infektion) rechtzeitig die Daten, so läuft der Login-Versuch der Betrüger ins Leere.
(dab)