Passwort, Passphrase, Kennwort, Codewort oder auch PIN – es gibt viele Begriffe für das gleiche Prinzip. Mit Hilfe eines Passworts wird nachgewiesen, dass man eine Zugangsberechtigung zu bestimmten Diensten oder Informationen hat. Zum Beispiel: Mit dem richtigen E-Mail-Passwort beweist eine Nutzerin gegenüber dem Server, dass sie Zugangsrechte zu ihrem E-Mail-Konto hat. Wenn sie ihr E-Mail-Passwort ihrer Freundin gibt, kann diese ihre E-Mails lesen.

Ein Passwort kann also nicht beweisen, ob eine Person wirklich die ist, die sie behauptet zu sein. Wenn sich jemand als Lieschen Müller mit einem Passwort registriert, kann dessen Identität nicht mit Hilfe des Passworts geprüft werden. Geprüft wird nur, ob die Person, die sich als Lieschen Müller anmeldet auch das Passwort hat, was Lieschen Müller zugewiesen wurde.

Ein Passwort funktioniert deshalb als Berechtigungsnachweis nur, so lange es geheim ist. Wenn Dritte das Passwort erraten oder errechnen können, ist der Zugangsschutz dahin.

Wie lässt sich ein Passwort erraten?

Software, die Passwörter knackt, nutzt meistens zwei Vorgehensweisen nacheinander. Die erste besteht darin, dass die Software wahrscheinliche Passwörter ausprobiert.

Es gibt Passwort-Datenbanken mit Millionen von Passwörtern. Sie stammen nicht nur aus handelsüblichen Wörterbüchern, sondern auch aus illegalen Eingriffen in Computersysteme und Webseiten. Darum sollten Passwörter nicht mehrfach verwendet und zudem regelmäßig verändert werden. Die Wahrscheinlichkeit, dass ein Passwort bereits einmal entwendet wurde, steigt mit der Dauer seiner Nutzung und der Anzahl seiner Verwendungen.

Zusätzlich testet die Software häufige Kombination, zum Beispiel die Ersetzung bestimmter Buchstaben mit ähnlich aussehenden Zahlen (zum Beispiel E durch 3 oder S durch 5). Darum sollten Passwörter nie aus einem Wort oder Namen und einer Jahreszahl bestehen und keine häufigen Ersetzungen verwenden.

Wenn sich das Passwort auf die Art und Weise nicht rekonstruieren lässt, gibt es eine zweite Methode wie Passwort-Knacker vorgehen. Die sicherste und zugleich aufwendigste Methode, um ein Passwort zu erraten, ist systematisches Testen nach der Versuch-und-Irrtum-Methode: Es werden alle möglichen Zeichen auf allen möglichen Stellen durchprobiert. Wenn mein Passwort vier Stellen hat und ich weiß, es ist auf die Ziffern von 0-9 begrenzt, dann brauchen Angreifer 10x10x10x10 Versuche, um dieses Passwort durch systematisches Durchprobieren zu rekonstruieren. Diese Angriffsmethode zum Knacken eines Passworts nennt sich "Brute Force".

Viele Anbieter beschränken deshalb die Anzahl der Einlog-Versuche. Das bedeutet zum Beispiel beim Online-Banking oft, dass bei drei Fehlversuchen der Zugriff gesperrt wird. Dann muss man mit Personalausweis zur Bank, um den Online-Zugriff wieder freischalten zu lassen.

Sicher mit einem sicheren Passwort?

Heute gehen Sicherheitsexperten davon aus, dass ein Passwort, das aus zwölf zufälligen Zahlen, Sonderzeichen und Groß- und Kleinbuchstaben besteht, sicher ist. Denn dieses Passwort mit der Brute-Force-Methode zu knacken, würde unverhältnismäßig lange dauern. Das Problem daran: Je schneller die Computer der Angreifer rechnen können, desto schneller können sie das Passwort knacken. Vor ein paar Jahren galten Passwörter noch als sicher, die heute in Minuten geknackt werden können.

Es gibt noch ein zweites Problem. Sollte es neben der üblichen Hardware-Entwicklung in nächster Zukunft einen technologischen Sprung bei der Computerentwicklung geben, wären alle derzeitigen Passwörter schnell völlig unbrauchbar. In der Entwicklung befinden sich beispielsweise Quantencomputer, die durch eine andere Art zu rechnen die meisten heute eingesetzten Verschlüsselungsverfahren brechen könnten. Einige Hersteller bereiten sich darauf vor, indem sie bereits heute quantencomputersichere Verschlüsselungsverfahren verwenden.

Alternativen zum sicheren Passwort

Auch ohne Quantencomputer kommt jeder durchschnittliche Nutzer mit der Verwaltung von 12-Zeichen-Passwörtern, die aus einer zufälliger Kombination vonZahlen, Buchstaben und Sonderzeichen bestehen, schnell an die Grenze von dem, was er sich merken kann. Es gibt zwar Gedächtnisstützen, mit denen man sich komplizierte Passwörter merken kann, aber auch das schaffen die meisten Nutzer mit zwei, aber nicht mit 20 Passwörtern., Letzteres entspricht aber eher der Anzahl verschiedener Passwörter, die die meisten Nutzerinnen zwischen sozialen Netzwerken, E-Mail-Accounts und Messengern heutzutage bräuchten.

Momentan gibt es drei verschiedene Möglichkeiten, mit diesem Sicherheitsdilemma einen praxistauglichen Umgang zu finden.

1. Passwort-Verwaltungsprogramme

Ein Passwort-Verwaltungsprogramm ist eine Software, die der Nutzerin hilft, sichere Passwörter zu verwalten. Alle Passwörter, die die Nutzerin anlegt, werden in einer verschlüsselten Datenbank gespeichert. Diese Datenbank ist durch ein sicheres Master-Passwort geschützt, das die Nutzerin am Anfang selbst erstellt. Dieses Passwort sollte allen Kriterien entsprechen, die an sichere Passwörter gestellt werden: Es sollte möglichst lang und möglichst zufällig sein; es sollte Zahlen, Sonderzeichen und Buchstaben zufällig aneinandergereiht enthalten. Im Unterschied zur herkömmlichen Praxis muss der Nutzer sich allerdings nur ein einziges Passwort merken: nämlich das Master-Passwort. Die Datenbank wird dann durch Eingeben dieses sicheren Master-Passworts entsperrt und entschlüsselt. Sie gibt dem Nutzer so Zugriff auf die anderen gespeicherten sicheren Passwörter, die dann entsprechend kopiert oder auch automatisch vom Programm eingeben werden können. Solange die Passwort-Verwaltungssoftware keine Sicherheitslücken hat und das Master-Password sicher ist, ist dies eine zuverlässige Methode.

2. Einmal-Passwörter

Wenn ein Passwort nur einmal benutzt wird, ist die Wahrscheinlichkeit gering, dass es gestohlen werden kann. Berühmtes Beispiel für Einmal-Passwörter sind die Transaktionsnummern (TAN), die beim Online-Banking oft verwendet werden. An vielen Punkten im Alltag sind Einmal-Passwörter momentan noch unpraktisch. Aber sie kommen gerade in der Zweifaktor-Authentifizierung zunehmend zum Einsatz.

3. Zweifaktor-Authentifizierung oder Multifaktor-Authentifizierung

Hier wird neben dem Passwort die Person auf einem zweiten Weg authentifiziert. Dadurch kommt ein zweiter Faktor ins Spiel, der den Erfolg eines Brute-Force-Angriffs erheblich einschränkt. Dieser zweite Weg sollte möglichst auf einem anderen Gerät oder über einen anderen Kanal stattfinden, damit Diebe nicht beide Passwörter an einem Ort finden können.

Beispiel: Die Nutzerin loggt sich am Computer in ihren Social-Media-Account ein. Der Server schickt dann ein Einmal-Passwort an ihr Mobiltelefon. Erst wenn sie dieses Einmal-Passwort in ihren Web-Browser am Computer eingibt, bekommt sie Zugang zu ihrem Konto. Diese zweiten Kanäle können sehr unterschiedlich sein und müssen auch keine Passwörter mehr beinhalten, sondern können beispielsweise eine bestimmte Hardware sein oder ein bestimmtes Merkmal der Nutzerin. Ein bekanntes Beispiel für eine solche Zweifaktor-Authentifizierung ist die Bezahlung mit EC-Karte: Die Hardware (EC-Karte) muss sich im Besitz der Person befinden und zusätzlich muss ein Passwort (PIN) eingegeben werden.

Bei Mobiltelefonen und manchen Laptops sind biometrische Daten inzwischen populär, wie beispielsweise die Authentifizierung per Fingerabdruck. Kombiniert mit einem Passwort als zweitem Faktor ist eine hohe Sicherheit gegeben.

Es sind auch Verfahren mit mit mehr als zwei Faktoren vorstellbar. Eine so genannte Multifaktor-Authentifizierung wird derzeit vor allem von Banking-Anbietern entwickelt. Mit einer Mischung aus biometrischen Daten (Stimmanalyse, Gesichtserkennung, Fingerabdruck), die durch Mobiltelefone problemlos erfasst werdedn können, Gerätedaten (Mobiltelefone lassen sich eindeutig identifizieren) und Passwörtern können dann sogar Personen eindeutig identifiziert werden. Daraus ergeben sich allerdings wieder neue Probleme in der Praxis: Manchmal möchte man ja Zugangsdaten mit anderen Personen teilen, was dann kaum noch möglich ist. Das Verfahren basiert darauf, dass sehr viele nutzerbezogene Daten durch den Service-Anbieter erhoben und gespeichert werden. Das bringt wiederum Probleme für die Privatsphäre mit sich.

Passwörter sind einer der zentralen Punkte, wenn es um die Sicherheit von Mobilgeräten geht. Gleichzeitig gehören sie zu den für die Nutzer derzeit am schwierigsten zu bewältigenden Sicherheitsanforderungen. Auch wenn es schwer fällt, alle Nutzer sollten sich die Zeit nehmen und sich eine für sich selbst handhabbare Strategie im Umgang mit Passwörtern überlegen – und diese Strategie regelmässig überprüfen, da die technischen Entwicklungen auf diesem Bereich immer wieder zu Veränderungen führen.