Wer glaubt, die Zahl der möglichen Code-Kombinationen sei für derlei Frontalangriffe auf die Datensicherheit viel zu groß, sei gewarnt: Längst nutzen Hacker zum Knacken der Codes spezielle Software, mit deren Hilfe sich Millionen von Zahlenfolgen in Minutenschnelle testen lassen. Bei solchen sogenannten Brute-Force-Angriffen werden vier- bis sechsstellige Schlüssel mit diesen Hacker-Werkzeugen in wenigen Sekunden geknackt.
Dabei haben es die Angreifer besonders leicht, wenn sie die (digitalen oder realen) Safes beliebig oft und beliebig schnell mit alternativen Code-Kombinationen attackieren können. Wenn hingegen wie bei Handy-SIMs die Karte nach der dritten Fehleingabe gesperrt wird, sind die Zugriffsmöglichkeiten begrenzt. Schlau ist also, wer seinen Geldschrank mit einem zeitgesteuerten Schloss versieht, das die Wartezeit bis zur nächsten PIN-Eingabe nach jedem Fehlversuch verdoppelt. Dann haben auch Profis, die digitale Code-Generatoren nutzen, kaum eine Chance.
Noch mehr Sicherheit bieten komplexe Codes, die aus Ziffern und Zeichen mit persönlichem Bezug gebildet werden. Wer etwa seinen Partner im Jahr 1997 auf Sylt kennengelernt hat, könnte beide Informationen zu 7S9y9l1t verschränken. „Solche Kombinationen stellen Angreifer vor deutlich höhere Hürden“, weiß Sicherheitsberater Schrödel. „Im Prinzip ist es viel leichter, sich eine auf vertrauten Informationen basierende Regel zu merken, aus denen sich ein kompliziertes Passwort bilden lässt, als das Passwort selbst.“
Dennoch empfiehlt auch Schrödel, wenigstens drei individuelle Passwörter unterschiedlicher Komplexität zu verwenden, die man für unterschiedlich sensible Anwendungen einsetzt. Und zwar strikt getrennt. „Wer für die Teilnahme an Diskussionsforen im Web, für seinen Xing-, Linked, In- oder StudiVZ-Account und den Zugang zum Online-Banking den gleichen Code verwendet, bringt unmittelbar auch sein Konto in Gefahr, wenn Hacker in eine der anderen Datenbanken einbrechen.“
Die Grenzen der menschlichen Merkfähigkeit können aber auch die eingängigsten Regeln nicht verschieben. „Mehr als zehn Zeichenfolgen kann kaum ein Mensch zuverlässig im Kopf behalten“, sagt Ernst Pöppel, Professor für Medizinische Psychologie an der Universität München. Pöppels radikale Konsequenz: „Ich merke mir keine PIN-Nummern mehr, das ist pure Verschwendung von Hirnressourcen. Wer mit diesem Blödsinn anfängt, macht sich zum Sklaven der Technik. “
Einen komfortablen Ausweg aus der Passwort-Klemme bieten ausgerechnet die – zumeist Code-gesicherten – Computer oder Mobiltelefone. Auf denen nämlich lassen sich spezielle Programme installieren, in denen sich geheime Zugangscodes missbrauchssicher ablegen lassen. Statt einer Vielzahl von Schlüsseln reichen dann nur noch zwei, um erst den PC oder das Handy und dann den Passwort-Safe zu entsperren. Anschließend ist der Zugriff auf alle anderen Codes frei.
Eine Lösung, die nicht nur Psychologe Pöppel gefallen dürfte. „Denn den ganzen Zahlenwust im Kopf herumzutragen, verstößt gegen jede Vernunft. Wer meint, es trotzdem tun zu müssen, ist selber Schuld.“
