Nach dem Hackerangriff auf Yahoo
Wenn Passwörter nicht mehr schützen

Es ist der nächste große Datendiebstahl: Hacker haben bei Yahoo Informationen über 500 Millionen Nutzer erbeutet. Mit jedem Vorfall wird das Prinzip Passwort geschwächt. Welche Gefahren drohen – und was noch hilft.
  • 2

Millionen Nutzer haben letzte Woche eine schlechte Nachricht in ihrem E-Mail-Postfach vorgefunden: Angreifer sind in die Systeme von Yahoo eingedrungen und haben 500 Millionen Datensätze samt verschlüsselter Passwörter kopiert – der Internetriese rät nun dazu, die Zugangsdaten schleunigst zu ändern und nach „verdächtigen Aktivitäten“ Ausschau zu halten.

Das Ausmaß des Schadens ist zwar rekordverdächtig, doch der Datendiebstahl an sich kein Einzelfall. In den vergangenen Jahren gelang es Angreifern wiederholt, Millionen von Datensätzen zu stehlen. Jedes Mal müssen die Nutzer fürchten, dass Hacker und Spione sie bestehlen und ausschnüffeln. Und jedes Mal wird deutlich, wie schwach die Absicherung durch Passwörter eigentlich ist.

Das Passwort steht schon länger in der Kritik. Es sei „das schlechteste Authentifizierungsverfahren, das wir haben“, sagt Arno Wacker, Professor für angewandte Informationssicherheit an der Uni Kassel. „Aber es ist nun mal das einfachste und billigste – deswegen wird es weiter eingesetzt.“ Dabei spielt die Zeit gegen das Verfahren. Denn Hacker finden immer effizientere Methoden, um Passwörter zu knacken. Wir erklären, wie Nutzer sich damit arrangieren können.

Riskantes „dadada“

E-Mails, soziale Netzwerke, PC, Kreditkarte, und und und: Der normalvernetzte Mensch muss sind mindestens ein halbes Dutzend Passwörter und Codes merken, wenn nicht deutlich mehr. Das macht vielen zu schaffen. Nach einer Umfrage des Hightech-Verbands Bitkom fühlt sich jeder Dritte (36 Prozent) mit der großen Menge an Passwörter überfordert.

Um damit klarzukommen, setzen viele Nutzer auf eine riskante Vereinfachung: Zum einen verwenden sie ihre Zugangsdaten mehrfach. Wenn Cyberkriminelle diese erbeuten, haben es sie leicht, auch in andere Websites einzudringen – etwa beim Online-Händler Amazon oder dem Netzwerk Facebook.

Zum anderen verwenden sie einfache Zeichenketten: Das beliebteste Passwort der Welt lautet „123456“, gefolgt von „password“ und „qwerty“, nach der Abfolge der Buchstaben auf der englischen Tastatur. Dass selbst Facebook-Chef Mark Zuckerberg den Begriff „dadada“ für sicher genug hielt, um seine Nutzerkonten bei Twitter und Pinterest abzusichern, macht nicht gerade Hoffnung für den Durchschnittsnutzer.

Das mag zwar einige Zeit gut gehen, wie der Fall Zuckerberg zeigt. Doch sobald Hacker wie bei Yahoo persönliche Daten kopieren, werden einfache Passwörter zum Problem. Selbst, wenn diese verschlüsselt sind. Warum das so ist, lesen Sie auf der nächsten Seite.

Kommentare zu " Nach dem Hackerangriff auf Yahoo: Wenn Passwörter nicht mehr schützen"

Alle Kommentare

Dieser Beitrag kann nicht mehr kommentiert werden. Sie können wochentags von 8 bis 18 Uhr kommentieren, wenn Sie angemeldeter Handelsblatt-Online-Leser sind. Die Inhalte sind bis zu sieben Tage nach Erscheinen kommentierbar.

  • Stimmt nicht. Die einzige Spielregel die es gibt, sind keine Kinder. Ansonsten ist meine Herzdame (inzw. sogar Verlobte) absolut gleichberechtigt. Und wird nach der Uni als meine persönliche Fitnesstrainerin und Ernährungscoach arbeiten. Wenn ich mit spätestens Mitte 40 mit dem Börsenzeugs aufhöre, und als GT3 -Fahrer im selbst finanzierten Team in der VLN mit einem R8 LMSultra teilnehme.

  • Ich würde das Passwort nicht so schnell für obsolet erklären – das Problem ist weniger das Passwortverfahren als vielmehr als vielmehr die Fahrlässigkeit der Passwort-Anwender.

    Die Lösung für gute Passwörter ist ein Passwort-Tresor wie z.B. KeePass. Ein solches Programm ermöglicht es, wirklich zufällige Passwörter (die man in keinem Wörterbuch o.ä. findet) zu generieren. Man muss sich die Passwörter (mit Ausnahme des einen, das den Passwort-Tresor absichert) auch nicht merken; das Programm kann das Passwort im Passwortfeld der Website eintragen.

    Noch kurz zur Sicherheit: Die Kombinationsmöglichkeiten für ein Passwort ergeben sich aus dem Zeichenvorrat für das Passwort hoch der Passwortlänge. Nimmt man also ein 15 Zeichen langes Passwort (kein Problem beim Einsatz eines Passwort-Tresors) und wählt als Zeichenvorrat ‚nur‘ Kleinbuchstaben, Großbuchstaben und Ziffern (also 62 Zeichen), ergeben sich für dieses Passwort 62 hoch 15 Möglichkeiten (also ungefähr 768.909.704.948.767.000.000.000.000).

    Wenn man damit rechnet, dass ein Brute-Force Angriff heute ca. 2 Milliarden Passwörter pro Sekunde durchprobieren kann, braucht man für das o.g. Beispiel ca. 12.190.983.399 Jahre). Das wird auch dadurch nicht viel einfacher, dass der Angreifer im statistischen Durchschnitt ‚nur‘ die Hälfte der angegebenen Kombinationsmöglichkeiten durchprobieren muss, bis er das Passwort geknackt hat.

    Und wenn jemand meint, dass ihm das zu unsicher ist, ist es kein Problem mit Hilfe des Passwort-Tresors die Passwortlänge auf 20 zu erhöhen (62 hoch 20 Möglichkeiten) und auch noch Sonderzeichen in das Passwort einzubauen (> 100 hoch 20 Möglichkeiten).

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%