Die Eingabe von Passwörtern gehört in der digitalen Welt zur Tagesordnung, ohne, dass man viel darüber nachdenkt. Viele halten ihre Kennwörter recht einfach, um sich einerseits gut an diese zu erinnern und um andererseits nicht lange mit dem Login-Vorgang aufgehalten zu werden. Dabei sind Passwörter ein elementarer Bestandteil der Sicherung der digitalen Identität.
Am heutigen Welt-Passwort-Tag blicken wir auf 5 häufige Fehler im Umgang mit Passwörtern.
Das Passwort-Recycling
Eines der häufigsten Probleme ist das Wiederverwerten von Passwörtern. Dabei beginnt es schon mit der Kennwort-Erstellung. In den meisten Fällen sind diese so gewählt, dass man sie sich leicht merken kann. Oft bedeutet das aber, dass sie so kurz und einfach wie möglich gehalten werden, obwohl die meisten Dienste inzwischen eine Mindestlänge und die Art zu verwendender Zeichen vorschreiben.
Laut einer Google-Umfrage verwenden 52 % der Befragten dasselbe Passwort für mehrere Konten. Erstaunliche 13 % der Befragten nutzen gar nur ein Kennwort für alle Accounts. Zum Passwort-Recycling zählt übrigens auch das Ersetzen von Zahlen durch Buchstaben, oder von kleingeschriebenes durch großgeschriebenes und umgekehrt – wenngleich das auch eine leichte Stärkung des Passworts darstellen kann.
Das gravierendste Problem beim Passwort-Recycling ist aber die Anfälligkeit für Credential Stuffing Attacks. Hierbei versucht ein Cyber-Angreifer ein fremdes Konto zu übernehmen, in dem er mithilfe von Bots und gestohlenen/geleakten Anmeldedaten Login-Versuche auf diversen Webseiten automatisiert. Wie man sieht, liegt die Diversifizierung von Passwörtern also durchaus im eigenen Interesse.
Das Erstellen von einfachen Passwörtern
Einfache Passwörter scheinen immer noch favorisiert zu werden. Jedes Jahr erscheint eine List mit den am häufigsten verwendeten Passwörtern. 12345 und Password tauchen unter den 5 beliebtesten Kennwörtern auf. Neben einfachen Mustern und Wörtern aus dem Wörterbuch, zählen Informationen aus dem Privatleben im Passwort zu den häufigsten Fehlern. Solche Details können leicht erraten oder aufgespürt werden. Sechs von zehn erwachsenen US-Amerikanern haben beispielsweise einen Namen (ihren eigenen, den ihres Ehepartners, ihrer Kinder oder ihres Haustiers) oder einen Geburtstag im Passwort integriert.
Idealerweise zieht man die Passphrase einem Passwort vor. Nach Möglichkeit sollte zudem auf eine Zwei-Faktor-Authentifizierung gesetzt werden, da diese eine zusätzliche Sicherheitsebene bildet. Selbst wenn ein Angreifer über Login-Daten verfügt, fehlt der zweite Authentifizierungsfaktor (bspw. Einmal-Code auf dem Smartphone) und das Konto bleibt geschützt.
Das Speichern von Passwörtern im Klartext
Ein weiterer häufiger Fehler ist das Niederschreiben von Kennwörtern – egal ob digital oder auf Papier. Wer es doch aufschreibt, sollte es an einem sicheren Ort verwahren, oder lediglich Hinweise zum Passwort notieren. Auf Papier wäre es sicher im Tresor untergebracht und für den Computer gibt es Passwort-Manager, die viele Passwörter verschlüsselt speichern.
Sharing von Passwörtern
"Sharing is caring" trifft zwar auf viele Lebensbereiche zu, Passwörter bilden jedoch eine Ausnahme. Einige sind da anderer Meinung, wie z.B. die 43% der Befragten in den USA, die zugaben, ihre Passwörter in der Vergangenheit bereits schon einmal mit jemand anderem geteilt zu haben. Dazu gehörten die Passwörter für Streaming-Dienste, E-Mail-, Social-Media- und sogar Online-Shopping-Accounts. Die gemeinsame Nutzung eines Passworts für ein Streaming-Dienst-Konto ist ein weit verbreitetes Phänomen. Gleichzeitig ist es weniger gefährlich als beim Rest der genannten Möglichkeiten.
Regelmäßiges Ändern von Passwörtern
Einige Unternehmen zwingen Angestellte, ihre Passwörter „aus Sicherheitsgründen“ alle zwei oder drei Monate zu ändern. Entgegen der landläufigen Meinung macht die regelmäßige Änderung des Passworts - ohne den Nachweis eines Passwort-Leaks - das Konto jedoch nicht automatisch sicherer oder schwieriger zu hacken.
Die Carnegie Mellon Informatik-Professorin Lorrie Cranor sagt, dass Untersuchungen zeigen, dass Menschen, die gezwungen werden, ihre Passwörter häufig zu ändern, sich nicht viel Gedanken darüber machen. Zudem fanden Forscher an der University of North Carolina (UNC) heraus, dass Benutzer dazu neigen würden, Passwörter zu erstellen, die vorhersehbaren Mustern folgen – sie nennen das „Transformation“ - bspw. das Verändern des "S" zum Dollar-Zeichen "$". Einige fügen einfach den Monat an, an dem das Passwort geändert wurde. Auf diese Weise haben es Hacker recht einfach, das nächste Passwort zu erraten.