Sicherheitsrisiken: Darum sind Passwörter so unsicher

Passwörter sind in letzter Zeit stark in Verruf geraten. In immer kürzeren Abständen werden Datenklau oder das Leaken von großen Passwortdatenbanken gemeldet. Zeit für eine Abrechnung, meint ein Experte.

Ein aktuelles Beispiel zeigt, wie der Handel mit den sensiblen Userdaten im Internet-Untergrund boomt: Troy Hunt, Betreiber der Passwort-Sicherheits-Webseite “Have I Been Pwnd”, fand Anfang 2019 eine riesige Liste mit 773 Mio. Mail-Adressen und 21 Mio. Passwörtern, die im Klartext durchs Internet geistern. Wer will, greift einfach zu. Markus Hertlein, Chef der IT-Securityfirma "XignSys", kennt die Schwächen von Passwörtern:

1. Vergesslichkeit

Das Ausmaß des Dilemmas wird klar, sobald man versucht, sich auf einem neuen Rechner in seine Online-Accounts einzuloggen: Das einst trickreich erdachte Passwort versperrt einem plötzlich den Weg in die eigenen, digitalen vier Wände und muss zurückgesetzt werden. Viele Menschen nutzen immer neue Plattformen und benötigen daher immer mehr Passwörter. Die digitale Heimkehr „durchs eingeschlagene Fenster“ droht so zur leidigen Regelmäßigkeit zu werden, denn auch für die Nutzung eines Passwort-Managers benötigt man ein Passwort – ein Teufelskreis. 

2. Zettel und Stift

Je komplexer das Passwort, desto leichter vergisst man es. Das Gegenmittel für viele Nutzer sind Zettel und Stift. Das Passwort wird also aufgeschrieben und dadurch direkt zum Sicherheitsrisiko. Ein Klassiker ist dabei das Post-It unter der Tastatur oder direkt am Bildschirm. Sobald sensible Informationen in physische Form gebracht wird, sind sie von jedem einsehbar und können schnell missbraucht werden. 

3. Leicht zu knacken

Um den Gefahren von Zettel und Stift zu entgehen, wählen viele Nutzer den vermeintlich sicheren Weg und benutzen einfach immer dasselbe, für sicher gehaltene Passwort. Oft spielt hier auch das Motto „Es wird schon nicht mich treffen“ eine verhängnisvolle Rolle. So führen Kombinationen wie „12345678“, „Passwort“ und „Schatzi123“, oder alternativ gerne auch Geburtsdaten oder Namen der Kinder die Hitliste der unsicheren Passwortkandidaten an, die von Angreifern dann durch
Brute-Force Methoden (also Ausprobieren) ohne Aufwand geknackt werden.

4. Ineffektive Passwortupdates  

Jeder hat es schon oft gehört: Das regelmäßige Ändern der eigenen Passwörter erhöht die Sicherheit der privaten und beruflichen IT-Infrastruktur. Wenn sich Nutzer dann tatsächlich dazu aufraffen, ihre Schlüsselwörter zu ändern, wird meist nur eine Zahl oder ein Buchstabe an das alte Passwort angehängt. Doch dies erhöht in keinem Fall die Sicherheit. Die Empfehlung vieler Experten, Passwörter maximal komplex und lang zu gestalten, führt aber auch in auf den Irrweg und letztendlich dazu, dass man sich aus dem eigenen Account aussperrt oder das Passwort aufschreibt (siehe oben).
 
5. Einfallstor zum Identitätsdiebstahl

Wird ein Passwort geknackt, ist es für den Angreifer ein leichtes, die Identität seines Opfers zu übernehmen. Mehr oder weniger authentische Facebook-Nachrichten von Freunden sind ein verstörendes Zeugnis dafür. Für den Identitätsdiebstahl genügt es dem Angreifer, Zugang zum Email-Account zu erlangen. Von dieser Basis aus können sämtliche Passwörter von anderen Onlinediensten zurückgesetzt und verändert werden. Dies beinhaltet beispielsweise Dienste wie Amazon, bei dem Zahlungsinformationen hinterlegt werden, oder eben Facebook, wo große Mengen persönliche Informationen und Fotos gespeichert sind. Die Folgen eines Identitätsdiebstahls könnten verheerend sein. 
 
6. Phishing, Malware und Social Engineering 

Dies ist das Handwerkszeug des zeitgemäßen Hackers. Beim Phishing werden falsche Webseiten oder E-Mails verschickt, die so manipuliert sind, dass dort eingegebene Daten direkt abgegriffen werden können. Malware ist ein Überbegriff für Schadsoftware, die schädliche Funktionen auf dem Endgerät hervorrufen kann. Malware wird oft in Form von Computer-Viren, Trojanern, Würmern oder Spyware in Umlauf gebracht. Beim Social Engineering handelt es sich um die soziale Manipulation des Menschen, um ihn zur Preisgabe bestimmter Daten oder zu bestimmten Handlungen zu bringen. Gegen diese Angriffsmethoden sind Passwörter machtlos und bieten keinen Schutz.  

7. Passwörter als Pforte für neue Angriffsmöglichkeiten 

Sind Passwörter einmal geklaut und vom Angreifer im System neu aufgesetzt, verliert der Nutzer komplett die Kontrolle. Sind die Angreifer einmal im System, eröffnen sich ganz neue Möglichkeiten anzugreifen. Häufig bricht Chaos aus. Der Angreifer kann dann beispielsweise verhindern, dass Online-Banking durchgeführt oder Mitarbeiterinnen und Mitarbeiter in Firmen auf das interne Netzwerk zugreifen können. Kontos müssen gesperrt werden und die Arbeit kommt ins Stocken oder ganz zum Erliegen.

8. Passwörter sind teuer

Die Kosten für die Verwaltung von Passwörtern sind ungeahnt hoch. Die
Absicherung von Passwortsystemen kann oft nur durch weitere, kostspielige
Systeme erfolgen. Sind diese Systeme ebenfalls mit Passwörtern geschützt, ergibt das ein gefährliches Gesamtbild. Des Weiteren sind Passworte, sowie Passwort-Datenbanken in Unternehmen eines der beliebtesten Angriffsziele für Hacker. Laut Statista richteten sich rund 12 Prozent aller digitalen Angriffe auf Passwörter. Dies verursachte in den letzten zwei Jahren
weltweit hohe Kosten und Schäden. 

• Passwort-Manager: jetzt auch für Andriod
• Neustart: So klappt das Einrichten von Notebook und Smartphone

9. Ungeeignet für die Zukunft 

Unsere Zukunft wird von Entwicklungen, wie dem „Internet of Things“, Industrie 4.0 und der Smarten Stadt dominiert. Damit verbunden kommen immer größer werdende Herausforderungen auf die Entwickler zu. Um sich schnell, effizient und sicher in diesen Bereichen zu authentifizieren, ist das Passwort nicht mehr geeignet und es müssen Alternativen gefunden werden. Erste Schritte sind biometrische Systeme, wie Fingerabdrucksensor und Gesichtsscans. Sie setzen sich auf Smartphone durch und finden sich auch auf mobilen Geräten wie Tablets und Laptops.