E-Mails, Bankdaten oder Smartphones – meist sind wichtige und persönliche Daten nur mit einem Benutzernamen und Passwort gesichert. Das ist schlecht, denn viele Nutzer verwenden Passwörter, die leicht zu erraten sind. Mit dem Change Your Password Day am 1. Februar ruft das Technik-Blog Gizmodo seit 2012 zum Handeln auf.

Und Nutzer sollten unbedingt handeln. Die US-Softwarefirma SplashData hat unlängst zwei Millionen geleakte Passwörter aus dem Jahr 2015 ausgewertet und immer wieder dieselben gefunden. Die Top-Plätze werden demnach von Dauerbrennern eingenommen: "123456" landet auf Platz eins, gefolgt von "password" und "12345678".

Möge das Passwort mit Dir sein

Zahlenreihen dominieren die Auswertung. "1234567890" ist zwar lang, aber immer noch kein gutes Passwort. Selbst die Macht schützt den Nutzer nicht vor Angriffen. "princess", "solo" und "starwars" sind im vergangenen Jahr neu in die Top 25 eingestiegen – vermutlich durch den neuen Star-Wars-Film Das Erwachen der Macht.

Ein gutes Passwort ist komplizierter als "solo". Die Experten des Bundesamts für Sicherheit in der Informationstechnik empfehlen mindestens zwölf Zeichen, einen Mix aus Groß- und Kleinbuchstaben sowie Sonderzeichen. Das Passwort sollte zudem nicht im Wörterbuch stehen, keine persönlichen Daten beinhalten und vor allem nicht zu den meistgenutzten Passwörtern gehören. Auch nicht Variationen davon, denn "123passwort!" bietet kaum mehr Schutz als "123456", und auch das beliebte Ersetzen von Buchstaben durch Zahlen wie in "pr1nc3ss" macht es Angreifern nicht viel schwieriger.

Nur noch ein Masterpasswort

Screenshot vom Passwortmanager KeePass © Keepass

Am Besten ist es, jeden Account mit einem individuellen Passwort zu sichern. Aber wie soll man sich das alles merken? Hier helfen Passwortmanager wie LastPass, KeePass oder 1Password. Sie generieren auf Wunsch automatisch komplexe Passwörter und speichern sie in einer zentralen Datenbank ab. Diese wird verschlüsselt und wiederum mit einem Masterpasswort gesichert – das übrigens nicht "123456" lauten sollte.

Die Nutzer müssen sich nur noch ein Passwort merken, mithilfe von Browser-Add-ons erleichtern viele Passwortmanager zudem die Eingabe. Das Problem: Dienste wie LastPass oder 1Password speichern die Passwörter in der Cloud, damit sie auf allen Geräten verfügbar sind. Die Daten sind zwar verschlüsselt, aber trotzdem angreifbar, und sie liegen häufig auf US-Servern. Im Fall von KeePass wird die Datenbank zwar nur lokal auf dem Rechner gespeichert, aber das bringt andere Probleme mit sich. Wer sie nicht noch einmal absichert, kann sie im Fall eines Festplattencrashs verlieren. Generell gilt: Passwortmanager bieten keinen hundertprozentigen Schutz, erleichtern aber den Umgang mit komplexen und zahlreichen Passwörtern.

Doppelte Sicherheit

Noch sicherer ist es mit Zwei-Faktor-Authentifizierung. Denn das beste Passwort nutzt wenig, wenn Kriminelle die Datenbank kopieren und entschlüsseln. Neben Passwort und Benutzername wird ein weiterer Sicherheitsfaktor verwendet, beispielsweise das Smartphone. Die Dienste von Google, Facebook, Evernote oder Microsoft sowie mehrere Mailanbieter stellen die Funktion bereit. Standardmäßig ist sie jedoch ausgeschaltet. Wird sie aktiviert, reicht das Passwort an fremden Rechnern nicht mehr aus. Zusätzlich muss der Nutzer einen Code eingeben, der per App am Handy abrufbar ist.

Die Methode ist mit der mTAN-Funktion für Onlinebanking vergleichbar – und hat leider dieselben Schwachstellen. Zwar muss der Angreifer das Passwort wissen und Kontrolle über das Smartphone haben, aber auch das ist möglich. Trotzdem sollte die Zwei-Faktor-Authentifizierung als zusätzliche Absicherung aktiviert werden. Der zweite Sicherheitsfaktor muss übrigens kein Handy sein. Auch ein spezieller USB-Stick eignet sich dafür, ein sogenannter Token. Diese Anleitung zeigt, wie Sie einen Token zusammen mit einem Passwortmanager einrichten.

Fingerabdruck- und Irisscanner einfach zu überlisten

Aber wie sieht es mit der Passwortsicherheit der Zukunft aus? Momentan existieren bereits Alternativen, etwa Fingerabdruck- und Irisscanner oder Software für Gesichtserkennung. Aber selbst die biometrischen Merkmale lassen sich fälschen. Eine bedruckte Folie mit dem Fingerabdruck oder ein hochauflösendes Foto können die Sensoren täuschen, weshalb sie zur Absicherung eines Smartphones zwar komfortabel sein können, aber nicht als alleinige Sicherheitsmaßnahme genutzt werden sollten.

Es gibt noch weitere biometrische Merkmale, die künftig unsere Daten schützen sollen: Das Start-up Biowatch möchte die Venen des Nutzers mit einem zuvor gespeicherten Bild abgleichen. Der Sensor soll unter der Armbanduhr sitzen. Ähnlich funktioniert das Nymi-Armband: Der Herzschlag wird analysiert und der Nutzer somit authentifiziert. Der Hersteller Motorola möchte die Nutzer des Handys Moto X dazu bringen, sich ein elektronisches Tattoo auf den Arm zu kleben. Einfach das Smartphone über den Arm halten, schon ist das Handy entsperrt.

Ultraschall und Nutzerverhalten

Der Chromecast-Stick von Google arbeitet mit Ultraschall. © Beck Diefenbach/Reuters

Es müssen aber nicht immer Puls und Haut sein. Google hat vor zwei Jahren die Firma SlickLogin gekauft. Sie entwickelt eine Identifizierung über Ultraschall. So soll der Nutzer beispielsweise ein Smartphone neben den Computer legen. Der spielt über Lautsprecher einen, für menschliche Ohren unhörbaren, Ton ab, das Smartphone erkennt den Ton und loggt den Nutzer auf dem Computer ein. Google verwendet diese Funktion momentan für den Gastmodus des Chromecast-Sticks.

Ein weiteres Google-Projekt namens Abacus analysiert das Nutzerverhalten und kombiniert es mit biometrischen Daten. Wie tippt der Betroffene, welche Apps nutzt er, wie klingt seine Stimme? Daraus wird berechnet, mit welcher Wahrscheinlichkeit es sich um den richtigen Nutzer handelt. Fremde Personen sollen so keine Apps mehr starten oder Einstellungen verändern können. Noch wird das System aber nicht angewandt. Ein weiterer Prototyp ist das Projekt Genetic Access Control aus dem vergangenen Jahr. Es ermöglicht, sich mit der eigenen DNA auf Websites einzuloggen. Die muss vorher bei Diensten wie 23andMe hinterlegt sein.

Das ist, zugegeben, etwas gruselig, und ob es tatsächlich sicher ist, ist wie bei allen Ideen und Projekten nicht erwiesen. Letzten Endes ist die Kombination aus Benutzername und Passwort noch immer Standard. Nicht nur am 1. Februar und damit am Change Your Password Day gilt deshalb: Ein sicheres Passwort ist ein Muss. Und es zu bekommen und sich zu merken, ist gar nicht so schwierig, wie man glaubt.