Suchen

Security Wenn Ihre Passwörter zu schwach sind

Autor / Redakteur: Eva Tritschler* / Sebastian Human

Immer häufiger versuchen Kriminelle, Passwörter abzufangen - in der Regel mit finanziellem Schaden für den Nutzer. Stephan Wiefling, Doktorand in der Gruppe für Daten- und Anwendungssicherheit (DAS), arbeitet an Methoden, dem entgegen zu wirken.

Firmen zum Thema

Ablauf einer risikobasierten Authentifizierung bei einem Log-in, der als mittleres Risiko eingestuft wird.
Ablauf einer risikobasierten Authentifizierung bei einem Log-in, der als mittleres Risiko eingestuft wird.
(Bild: Stephan Wiefling/H-BRS)

Hacker haben ein zu leichtes Spiel, denn wir wählen unser Passwort häufig zu schwach oder verwenden es für mehrere Zwecke. Die Kriminellen erraten viele Passwörter anhand von vorhandenen Daten, wie Namen oder Geburtsdaten von Angehörigen oder Haustieren der Zielperson, auf Grundlage eines Computersystems. Die Trefferquote liegt hier bei erstaunlichen 70 Prozent bei weniger als 100 Rateversuchen.

Auch versuchen die Hacker bei Datenbankleaks Kundendaten einschließlich des Passworts zu stehlen. Mit einem automatisierten Verfahren probieren sie E-Mail und Passwort auch auf weiteren Webseiten. Diese Vorgehensweise wird allein bei dem Online-Dienstleister Akamai täglich 250 Millionen Mal registriert.

Die risikobasierte Authentifizierung

Dagegen will Stephan Wiefling, Doktorand in der Gruppe für Daten- und Anwendungssicherheit (DAS) an der TH Köln, vorgehen. „Es geht um risikobasierte Authentifizierung, kurz RBA“, sagt Wiefling. Die Idee dahinter ist, dass das System Auffälligkeiten bei der Anmeldung erkennt, wenn beispielsweise ein bislang unbekanntes Gerät genutzt wird oder der Nutzer sich an einem ungewöhnlichen Ort aufhält. Dann wird eine zweite Autorisierung verlangt, um das Einloggen einer unbefugten Person zu verhindern. Das ist für die Nutzer insofern komfortabel, dass sie grundsätzlich nur einmal das Passwort eingeben müssen, sofern nichts Ungewöhnliches vor sich geht.

Gegenüberstellung: Zwei-Faktor-Authentifizierung und RBA

Auch eine Laborstudie, mit knapp 70 Nutzerinnen und Nutzern, nimmt Wieflings RBA als signifikant sicherer wahr, als eine rein passwortbasierte Anmeldung. Vor allem für Webseiten mit persönlichen Daten, wie Social-Media-Dienste oder Online-Shopping, sollte RBA eingesetzt werden.

Bei der Zwei-Faktor-Authentifizierung (2FA) müssen sich Nutzer grundsätzlich zweimal, beispielsweise mit zwei verschiedenen Passwörtern, anmelden. Das ist vor allem bei Webseiten mit hohen Sicherheitsanforderungen, wie Online-Banking, sinnvoll.

Sichere Passwortwahl

Stephan Wiefling empfiehlt Passwörter von einem Passwort-Manager erstellen zu lassen, den manche Internetbrowser direkt anbieten. Auf keinen Fall sollte ein Passwort für mehrere Webseiten verwendet werden. Trotzdem muss es nicht unendlich kompliziert sein. Einfache Sätze wie: „Im Sommer gehe ich gerne Schwimmen“ bringen oft mehr Sicherheit wie schwer merkbare Zeichenkombinationen.

Außerdem ist es möglich Passwörter in einem Online-Safe zu speichern, wo sie automatisch verschlüsselt werden. Der Nutzer muss sich nur ein einziges Passwort merken, um auf seine weiteren Passwörter zugreifen zu können.

* Eva Tritschler arbeitet in der Presse- und Öffentlichkeitsarbeit der Hochschule Bonn-Rhein-Sieg.

(ID:46943736)