In den vergangenen Wochen häufen sich die Angriffe auf Mailpasswörter. Immer wieder höre ich das Argument: „Von mir aus kann jeder meine Mails lesen – ich habe nichts zu verbergen!“. Gerade diese Einstellung ist gefährlich.
Ein Beispiel aus der jüngsten Vergangenheit:
Das Mailpasswort einer Bekannten wurde gehackt und über Ihren Mailaccount wurden eine unbekannte Anzahl von Mails an alle möglichen Leute gesendet mit etwa folgendem Inhalt:
Zitat Anfang:
„Ich bin derzeit in London und mir wurden alle meine Papiere und meine Geldtasche gestohlen. Könntest Du mir bitte helfen und mir 1000 € auf das Konto XXXXX.xxxxx.xxxx überweisen, damit ich den Rückflug bezahlen kann.“
Zitat Ende.
Das Konto war allerdings nicht das Konto meiner Bekannten, sondern das Konto einer anderen Person (vermutlich das Konto des Hackers).
Es mag schon sein, dass es Ihnen „egal ist“ wenn jemand Ihre Mails liest. Ist es Ihnen aber auch egal, wenn über Ihre Mailadresse tausende von Spammails versendet werden, oder wenn über Ihre Mailadresse tausende von pornographischen Bildern versendet werden, oder wenn über Ihre Mailadresse eine Bombendrohung versendet wird?
Einer der Hauptgründe, warum Passwörter gehackt werden liegt in der „Bequemlichkeit“ der Benutzer. Es werden Passwörter verwendet die leicht zu hacken sind.
Wie schnell geht es, ein Passwort zu hacken?
Im Internet gibt es hunderte Anleitungen, wie man Passworte herausfinden kann. Eine der effektivsten Methoden ist die Brute-Force-Methode. Bereits mit einem herkömmlichen PC ist es möglich mit dieser Methode ein einfaches Passwort in Sekundenschnelle zu hacken.
Beispiel:
Nehmen wir an, sie verwenden als Passwort den Namen Ihrer Tochter Barbara.
Das Passwort ist also 7 Zeichen lang und verwendet nur Buchstaben. Dieses Passwort herauszufinden dauert voraussichtlich (je nach Rechenleistung des Computers, den der Hacker verwendet – siehe unten) nur zwischen 0.069 Sekunden und ca. 8 Sekunden. Verwenden Sie ein Passwort aus nur 4 Kleinbuchstaben, benötigt ein Hacker auch mit einem „schwachen PC“ unter einer Sekunde um das Passwort herauszufinden.
Ein Computer mit normaler Rechenleistung schafft es etwa 600 000 000 Passwörter pro Sekunde zu generieren. Computer mit mehr Rechenleistung schaffen es pro Sekunde ca. 3 500 000 000 bis zu ca. 6 500 000 000 Passwörter zu generieren. Profis verwenden sog. Rechnercluster und schaffen es bis zu 150 000 000 000 Passwörter pro Sekunde zu generieren.
Was tun, um ein möglichst sicheres Passwort zu verwenden, das man sich auch merken kann.
Ein Passwort wie zum Beispiel: Ibzb,ummePzm! Ist nur schwer zu merken, ausser man weiss, welcher Satz hinterdiesem Passwort steckt, nämlich:
Ich bin zu blöd, um mir mein eigenes Passwort zu merken!
Dieses Passwort besteht aus 13 Zeichen (Groß- und Kleinbuchstaben und Sonderzeichen). Um dieses Passwort mit der Brute-Force-Methode zu hacken ergaben die Berechnungen[1]:
schwacher Computer: 105 714 Jahre
starker Computer: 9 758 Jahre
Rechner-Cluster: 422 Jahre
Meine Empfehlung für Passwörter
Nehme Sie einen Satz, den sie sich leicht merken können.
Verwenden Sie als Abkürzung für das Wort „ist“ das Zeichen „=“, für fas Wort „für“ die Zahl „4“ (engl. four), für das Wort „Achtung“ die Zeichenkombination „8ung“ usw. Ihrer Fantasie sind keine Grenzen gesetzt, sie müssen sich nur die Zeichenfolge merken. Und schon können Sie ein relativ sicheres Passwort[2] generieren.
Noch ein Beispiel:
Der Satz:
Achtung! Dieser Mailzugang ist mit einem sicheren Passwort geschützt!
Das Passwort:
8ung!DM=mesPg!
Laut Berechnung[3] dauert das Hacken dieses Passwortes:
schwacher Computer: 167 487 236 838 Jahre
starker Computer: 15 460 360 323 Jahre
Rechner-Cluster: 334 974 473 Jahre
Und damit kann ich leben.
Als Rückmeldung zu diesem Artikel haben wir ein Mail von Frau Cassandra Stocks (aus England) bekommen. Frau Stocks hat uns die Erlaubnis erteilt, diese Graik auf unserer Webseite einzubinden.
Wie sicher ist Ihr Passwort?
[1] Berechnung erfolgte mit einem Programm der Hochschule Emden – Labor für IT-Sicherheit
[2] Ein absolut sicheres Passwort, das man sich auch merken kann gibt es vermutlich nicht, aber man kann den Hackern das Leben zumindest so schwer wie möglich machen.
[3] Berechnung erfolgte mit einem Programm der Hochschule Emden – Labor für IT-Sicherheit