Immer mehr Webdienste setzen bei der Vergabe von Kennwörtern auf Passwort-Vorgaben. So muss Dein Kennwort zum Beispiel mindestens einen Großbuchstaben und zwei Ziffern enthalten und insgesamt mindestens acht Zeichen lang sein. Genau diese Vorgaben machen es Angreifern aber einfacher Deine Passwörter zu knacken, denn 50 Prozent aller genutzten Passwörter entsprechen einer von nur 13 Vorgaben.
Denn bei der Vorgabe ein Großbuchstabe, zwei Ziffern und insgesamt mindestens acht Zeichen lang, verwenden die meisten Nutzer ein Kennwort nach folgendem Muster: der Großbuchstabe steht am Anfang der Kennwortes, dann folgen in diesem Beispiel fünf kleine Buchstaben und zum Schluss kommen die beiden Ziffern:
Urlaub15
Bei der Vorgabe, dass das Kennwort nur einen Großbuchstaben enthalten muss, steht dieser bei 90 Prozent der Nutzer am Anfang.
Dies sind Ergebnisse einer Studie, die die IT-Sicherheitsfirma Praetorian auf Ihrem Sicherheit-Blog veröffentlicht hat. Dabei wurden ca. 35 Millionen Passwörter untersucht.
Wenn Webseiten Anmeldedaten abspeichern, wird das Kennwort meistens als Hashwert abgespeichert. Die Hash-Funktion dient dazu, Kennwörter mit einer beliebigen Länge auf Zeichenfolgen mit einer festen Länge abzubilden. Aus dem Hash-Wert lässt sich danach kein Rückschluss mehr auf die wirkliche Länge oder Komplexität des Kennworts ziehen. Sind die Kennwort-Vorgaben der Webseite allerdings bekannt, so kann ein Angreifer diese nutzen, um gezielte Angriffe zu starten. Die Passwort-Vorgaben waren ursprünglich dazu gedacht, Passwörter sicherer und komplexer zu machen und Passwörter wie 123456 oder passwort zu verhindern.
Ein Ansatz, um das Knacken von Passwörtern mit Hilfe der Statistiken zu verhindern, ist der Einsatz eines Passwort-Managers. Passwort-Manager würfeln zufällige Buchstaben-Ziffern-Symbol-Kombinationen zusammen und entsprechen keinem Muster. Egal ob Du Windows, OS X oder Linux auf Deinem Computer und Android, iOS oder Windows Mobile auf Deinem Smartphone nutzt, für jede Plattform gibt es Passwort-Manager.
Hier findest Du die Artikel zu drei ausgewählten Passwort-Manager: