Zum World Password Day: Von Abc bis Ficken – die skurrile Welt der Datensicherheit

Seit einigen Jahren soll der World Password Day am ersten Donnerstag im Mai das Bewusstsein für die Bedeutung sicherer Passwörter innerhalb der Bevölkerung zu steigern. Die folgenden Beispiele zeigen, warum diese Initiative durchaus angebracht ist.

1962 verfügte US-Präsident John F. Kennedy, dass die amerikanischen Atomraketen mit einem achtstelligen Passwort gesichert werden, um einen unbefugten Abschuss der Raketen zu erschweren. Anscheinend misstrauten die verantwortlichen Offiziere ihrem Gedächtnis und entschieden sich angeblich für eine haarsträubend einfache Kombination: 00000000. Laut einem Ex-US-Air-Force Kommandanten, Bruce G. Blair, blieb dieses Passwort bis 1977 in Nutzung.

Nicht nur im militärischen, sondern auch im zivilen Bereich gilt es, die eigenen Daten zu schützen. Man sollte denken, dass angesichts der sich häufenden Skandale um erfolgreiche Hackerangriffe bei vielen Menschen ein Bewusstsein dafür entstanden ist, wie wichtig es ist, ein sicheres Passwort zu konstruieren. Doch die neusten Enthüllungen weisen in eine andere Richtung.

2014 wurden die Passwörter von fast 5 Millionen Google-Nutzern geklaut und 2015 sorgte ein Hack der Internetplattform „Ashley Madison“, hier können sich Nutzer zu diskreten Seitensprüngen verabreden, weltweit für Aufsehen. Persönliche Informationen wie Anschriften, E-Mail-Adressen, Kreditkartennummern, sexuelle Vorlieben von etwa vierzig Millionen Personen wurden dabei öffentlich – das sorgte sicherlich in etlichen Beziehungen für Probleme. Eigentlich könnte man davon ausgehen, dass sich Nutzer gerade bei solchen Portalen etwas Mühe mit ihrem Passwort geben, aber weit gefehlt. Die hierbei enthüllten Passwörter gehören zu den am häufigsten verwendeten Passwörtern und sind meilenweit vom minimalsten Sicherheitsstandard entfernt.

Doch auch echte IT-Profis scheinen die Bedeutung sicherer Passwörter zu unterschätzen. 2015 wurden die Twitter- und Instagram-Accounts von Facebook-Gründer Mark Zuckerberg geknackt. Wie sich herausstellte, hatte Zuckerberg die drei Hauptfehler gemacht, die vielen Menschen bei ihren Passwörtern unterlaufen: Er benutzte für alle Konten das gleiche Passwort, änderte diese über Jahre hinweg nie und zudem war sein Passwort nicht sonderlich clever konstruiert: es lautete „dadada“.

Klassischer Weise tauchen bei den Auflistungen zu den schlechtesten Passwörtern drei Varianten auf:

1) Alphabetische / Numerische / Tastaturtypische Zeichenfolgen (ABCDEFG / 1234567 / qwertz)
2) Wörter, die sich klar auf die Verwendung beziehen (Password / Admin / Guest)
3) Wörter aus dem eigenen Lebensumfeld, also Hobbies, Wohnort, Vorlieben (Fußball / Berlin / Ficken)

Grundsätzlich gilt: Je länger ein Passwort ist und je weniger sich darin konkrete Wortkombinationen finden, desto sicherer ist es. Eine einfache Methode, um sich selbst komplizierte Passwörter zu merken, bietet die Satzmethode: Man verwendet dabei nur den jeweils ersten Buchstaben jedes Wortes eines Satzes. An eine Formulierung mit persönlichem Bezug erinnert man sich leicht, z. B. wird so aus „1930 gewann Hertha BSC die deutsche Meisterschaft“ mit der Satzmethode „1930gHBSCddM“. Im Deutschen Spionagemuseum steht ein Passworthacker, an dem Besucher ihr persönliches Passwort testen können.

Zum Einsatz kommt ein handelsüblicher PC, der mit der Brute-Force-Methode arbeitet. Hierbei werden alle Lösungsmöglichkeiten für ein Passwort berechnet – angefangen von der einfachsten bis zur schwierigsten Kombination. Gibt man dort „1930gHBSCddM“ ein, lautet das Ergebnis 256 Jahre. So lange würde der Rechner also brauchen, um das Passwort herauszufinden. Zum Vergleich: Das erwähnte Passwort „Ficken“ ist bereits nach 0,049426524 Sekunden geknackt.

Die zunehmende Bedeutung von Datensicherheit zeigt sich auch darin, dass es in den USA seit 2012 einen kuriosen Feiertag gibt: Jeden 1. Februar ist dort „National Change Your Password Day“. Und tatsächlich reicht ein gut konstruiertes Passwort nicht aus, man sollte dieses auch regelmäßig ändern. Sicherlich würde es die Relevanz eines solchen Feiertages – sollte er denn in Deutschland eingeführt werden – deutlich steigern, wenn man an ihm dann auch frei bekommt. Das wäre eine ebenso wirkungsvolle wie sympathische Werbemaßnahme der Bundesregierung für mehr Datensicherheit.