23.05.2023

Passwort geknackt und nun?

Passwort geknackt und nun? Awareness

Sag mal, du arbeitest doch bei einem IT-Unternehmen. Hast du Tipps für mich, wie ich mich vergewissern kann, dass mein Passwort sicher genug ist, um nicht nochmal Opfer von Cyberkriminellen zu werden?“ Mit diesen Worten wurde ich kürzlich von einer verzweifelten Bekannten empfangen, die Opfer eines Brute-Force-Angriffes geworden war – leider keine Seltenheit.

Was ist ein Brute-Force-Angriff?

Die Brute-Force-Methode ist eine beliebte Angriffsmethode, um Passwörter herauszufinden oder Daten zu entschlüsseln. Sie nutzt "rohe Gewalt" (brute force), indem sie wahllos verschiedene Buchstabenfolgen oder Zeichenketten automatisiert ausprobiert. Je mehr Kombinationen getestet werden, desto höher ist die Erfolgsaussicht.

Zunächst erklärte ich ihr, was passieren kann, wenn Passwörter in die Hände von Angreifern geraten. Bei dem Satz, dass Cyberkriminelle die Kennwörter Interessenten gegen Bezahlung im Darknet zur Verfügung stellen, hatte ich schlussendlich ihre volle Aufmerksamkeit – damit hatte sie nicht gerechnet. „Okay, jetzt brauche ich erst recht eine Checkliste von dir!“, erwiderte sie. Der Leitfaden, den ich meiner Bekannten zusammengestellt habe, möchte ich Euch nicht vorenthalten:

Checkliste: Ein sicheres Passwort generieren

  • Die Länge eines Passwortes ist ein entscheidender Faktor: Das Passwort sollte idealerweise aus 10 verschiedenen Zeichen bestehen.
  • Komplexität: Das Passwort sollte aus einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen.
  • Einzigartigkeit: Verwenden Sie niemals das gleiche Passwort für verschiedene Konten oder Websites.
  • Keine persönlichen Informationen: Passwörter vermeiden, die leicht erraten werden können, wie beispielsweise anhand des Geburtsdatums oder Namens.
  • Verwendung von Passwort-Managern: Ein Passwort-Manager hilft dabei, starke Passwörter zu generieren und zu verwalten.

Was macht ein Passwort-Manager genau?

Ein Passwort-Manager ist eine Anwendungssoftware, mit deren Hilfe Nutzer*innen ihre Zugangsdaten und Geheimcodes verschlüsselt speichern, verwalten und verwenden können.

Als sie die Liste durchging, musste sie sich eingestehen, dass ihr altes Passwort die Kriterien nicht erfüllte, auch von einem Passwort-Manager hatte sie zuvor noch nichts gehört. Immerhin verhielt sie sich nach Bemerken des Cyberangriffs richtig, indem sie ihr Passwort umgehend änderte. Um zu prüfen, ob es diesmal sicher und nahezu unknackbar ist, hatte ich mir neben der Checkliste noch etwas anderes für sie überlegt.

Die Passwort-Komplexität easy selbst überprüfen

Wir prägen uns Dinge leichter ein, wenn sie uns plakativ dargestellt werden. In puncto Passwörter haben meine Kolleg*innen bei G DATA dafür einen gratis Passwort-Check entwickelt, mit dem Kennwörter anhand einer online einsehbaren Datenbank an kompromittierten Passwörtern abgeglichen werden. Sollte das eingegebene Passwort meiner Bekannten also in der Liste enthalten sein, bestünde für sie noch immer das reale Risiko, dass Cyberkriminelle sich mittels Brute-Force-Angriff Zugang erneut Zugriff zu ihren persönlichen Daten verschaffen.  

Ich bat meine Bekannte daher ihr neues Passwort in den Passwort-Check einzugeben.

Gesagt getan, und siehe da: Nach der Eingabe zeigte sich, dass die Komplexität ihres neuen Kennwortes noch immer nicht ausreichend ist. In ihrem Fall fehlten noch Großbuchstaben und Sonderzeichen. „476x in einer Datenbank mit kompromittierten Passwörtern?!“, fragte sie mich. „Was kann ich mir jetzt genau darunter vorstellen?“ Die Antwort darauf ist recht simpel: Wird ein Passwort 476-mal in einer Datenbank mit kompromittierten Passwörtern gefunden, bedeutet es, dass es in einer Liste mit gehackten oder gestohlenen Passwörtern enthalten ist. Diese Datenbanken werden oft von Cyberkriminellen genutzt, um Zugang zu Konten zu erlangen, indem sie die gestohlenen Passwörter ausprobieren.

Im Idealfall sollte der Passwort-Check nach Eingabe des Kennworts daher wie folgt aussehen:

Fazit

Der Einsatz unsicherer Passwörter ist nach wie vor ein großes Problem. Das gilt nicht nur im privaten Bereich – gerade im beruflichen Kontext ist es problematisch, wenn Admins schwache Passwörter nutzen. Denn Hackern, Phishing-Angreifern und Brute-Force-Attacken bieten sich zahlreiche Möglichkeiten, um an unzureichend geschützte Zugangsdaten zu gelangen. Um sich effektiv vor solchen Angriffen zu schützen, ist es daher unerlässlich, sichere Passwörter zu wählen. Dabei sollte auf eine ausreichende Länge und Komplexität geachtet werden. Zusätzlich stellen ein Passwortmanager und die Zwei-Faktor-Authentifizierung eine sinnvolle Ergänzung dar. Letztendlich liegt es jedoch in der Verantwortung jedes Einzelnen, seine Passwörter bestmöglich zu schützen und damit seine persönlichen Daten und Informationen zu sichern.

Auch Du möchtest bei deiner Passwort-Komplexität auch auf Nummer sicher gehen? Hier geht es zum gratis G DATA Passwort-Check: https://www.gdata.de/passwort-check


Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein