Im Artikel gestern haben wir demonstriert, wie Sie sich gegen lokale Datendiebe schützen (Gefahr Nummer 1). Jetzt dreht sich alles vor allem um Passwort-Hacker und unseriöse Webseiten.

Auf der nächsten Seite: Ein Hinweis zum Surfen

Sicherer Browsermodus

Surfen Sie auf einem fremden Computer oder in Internetcafés, ist bei der Eingabe von Passwörtern grosse Vorsicht geboten. Oft speichern die Webbrowser sogenannte Cookies, in denen zumindest der Benutzername enthalten ist. Neuere Browser haben aber glücklicherweise eine Funktion, die das Speichern solcher Surfspuren abschaltet. Im Internet Explorer aktivieren Sie dazu Extras/InPrivate-Browsen, Screen. In Firefox wählen Sie Extras/Privaten Modus starten, in Google Chrome Neues Inkognito-Fenster.

Ein kompletter Schutz ist damit allerdings nicht geboten. Deshalb empfehlen wir, in Internetcafés heikle Transaktionen wie Webeinkäufe oder E-Banking nicht durchzuführen.

Auf der nächsten Seite: Schutz vor Passwort-Hackern

Gefahr Nummer 2: Passwort-Hacker

Eine grosse Bedrohung für Passwörter stellen Hacker dar. Diese lesen entweder direkt beim Zugriff auf einen Webdienst Ihr Passwort aus oder probieren Zeichenkombinationen aus, um das Kennwort herauszufinden.

Gutes Passwort wählen

Der Schutz von Passwörtern mit Programmen wie LastPass oder KeePass nützt nichts, wenn sich ein Kennwort einfach erraten lässt. Meist probieren Gauner Listen mit Wörtern durch, um die Konten von Webdiensten wie Facebook, PayPal, Google Mail etc. zu knacken. Verzichten Sie deshalb auf Kennwörter, die aus Worten bestehen. Auch Geburtsdaten sind eine schlechte Wahl.

Aber selbst kurze Passwörter mit beliebigen Zeichen sind leicht zu knacken: Denn führen die Wortlisten nicht zum Ziel, wenden Hacker sogenannte Brute-Force-Attacken (rohe Gewalt) an. Dabei werden alle möglichen Buchstabenkombinationen durchprobiert. Dies dauert zwar etwas länger, eine Zeichenfolge wie ertk lässt sich aber dennoch in sehr kurzer Zeit erraten – vor allem, wenn moderne Computer dabei helfen, die in Sekunden Millionen von Zeichenfolgen durchprobieren. Lesen Sie dazu den noch foglgenden Abschnitt «So schnell knackt man ein Passwort».

Wählen Sie deshalb immer lange Passwörter mit mindestens acht Zeichen, besser sind zehn. Variieren Sie die Gross- und Kleinbuchstaben und nutzen Sie Zahlen sowie Sonderzeichen.
Damit Sie sich das Passwort dennoch merken können, erstellen Sie es am besten mittels Eselsbrücke. Dazu nehmen Sie aus einem beliebigen Satz alle Anfangsbuchstaben und Satzzeichen. Aus dem Satz Ich habe oft Mühe, mir Passwörter zu merken. wird IhoM,mPzm. Sie können auch kürzere Sätze benutzen und dort jeweils die ersten zwei Buchstaben der Wörter wählen.

Noch sicherer sind Passwortgeneratoren, die ein Zufallskennwort erstellen. Die Anwendung KeePass bietet unter Extras/Passwort generieren eine solche Funktion, Screen.

Auf der nächsten Seite: Verschlüsselte Webseite

Verschlüsselte Webseite

Auch das beste Passwort ist wirkungslos, wenn es jemand sieht. Geben Sie zum Beispiel ein Kennwort in einem unverschlüsselten Onlineformular ein, ist es nicht nur für den Betreiber der Webseite sichtbar. Auch eine Drittperson könnte es abfangen und lesen. Achten Sie deshalb vor der Eingabe von sensiblen Daten unbedingt darauf, dass Sie eine verschlüsselte Browserverbindung nutzen – erkennbar am Kürzel https:// am Anfang der Adresszeile, Screen, Punkt A, sowie am Schlosssymbol. Punkt B. Beides garantiert, dass alle Daten in verschlüsselter Form zur Webseite übertragen werden und sich somit nicht mitlesen lassen.

Waren diese sogenannten SSL-Verbindungen in der Vergangenheit vor allem Bezahldiensten und E-Banking-Seiten vorbehalten, finden sie sich nun auch auf verbreiteten Webdiensten wie Google Mail oder Facebook. Tippen Sie dazu anstelle von http:// einfach den Ausdruck https:// vor der eigentlichen Webadresse ein.

Auf der nächsten Seite: Vorsicht im Web

Gefahr Nummer 3: Unseriöse Webseiten

Registrieren Sie sich auf einer Webseite, kennt der Betreiber Ihren Benutzernamen und Ihr Passwort. Unseriöse Webseitenbetreiber könnten das missbrauchen und versuchen, sich mit Ihren Daten in anderen Webdiensten wie Facebook oder dem Bezahldienst PayPal einzuloggen.

Unterschiedliche Kennwörter

Wenn Sie sich bei jedem Webdienst mit demselben Benutzernamen und Passwort registrieren, gehen Sie ein grosses Risiko ein. Verwenden Sie deshalb unbedingt für jeden Webdienst ein anderes Kennwort. Das ist auf Webseiten mit Bezahlangeboten besonders wichtig.

Nutzen Sie viele Webdienste, ist es schwierig, sich all die unterschiedlichen Passwörter zu merken. Hilfe bieten Passwortverwalter wie die erwähnten Werkzeuge KeePass oder LastPass. Auch sehr praktisch ist die Software Password Hasher, die wir im nächsten Tipp vorstellen.

Auf der nächsten Seite: Ein Passwort für alle Fälle

Ein Passwort für alle Fälle

Ein interessantes Konzept zur Verbesserung der Passwortsicherheit verfolgt Password Hasher. Es wurde in der Stanford Universität entwickelt. Der Clou: Der Nutzer tippt nur ein einziges, starkes Hauptpasswort ein, dennoch erhält jeder genutzte Webdienst ein eigenes, sicheres Passwort.

So funktioniert Password Hasher: Wenn Sie sich auf einer Webseite neu registrieren, geben Sie Ihr Hauptpasswort ein. Wählen Sie ein gutes, nicht knackbares Kennwort. Nun kommt Password Hasher ins Spiel. Das Tool kombiniert das Hauptpasswort mit der Webadresse der Seite. So entsteht ein individuelles Kennwort.

Dazu ein Beispiel: Aus dem Hauptpasswort iKsom;uV. und der Webseite pctipp entsteht das sichere Passwort ST8/kjPp. Dasselbe Hauptpasswort ergibt mit der Webseite facebook das Kennwort QIvT3%vn. Password Hasher verwendet zur Berechnung der Kennwörter ein bisher ungeknacktes Verschlüsselungsverfahren. Das garantiert, dass das Hauptpasswort nicht rekonstruiert werden kann. Zudem kennen die Betreiber von Password Hasher Ihr Hauptkennwort nicht.

Password Hasher ist als Erweiterung für den Firefox-Browser erhältlich. Installieren Sie diese über Extras/Addons. Nach einem Neustart des Browsers ist sie aktiv. Bei jedem Passwortfeld auf einer Webseite erscheint künftig ein #-Knopf, Screen, Punkt A. Klicken Sie darauf, öffnet sich Password Hasher. Die Seitenadresse, Punkt B wird automatisch erkannt, kann aber auf Wunsch angepasst werden. Geben Sie unter Punkt C das Hauptpasswort ein. Jetzt wird ein Kennwort generiert, Punkt D und nach einem Klick auf OK automatisch ins Eingabefeld übernommen. Wahlweise können Sie sich per «Klartext», Punkt E das Kennwort auch anzeigen lassen.

Für Google Chrome gibt es übrigens eine kompatible Erweiterung mit der gleichen Funktion; sie heisst Password Hasher Plus. Nutzen Sie einen anderen Webbrowser, können Sie das Hash-Wort über die Webseite http://wijjo.com/passhash/passhash.html online generieren.

Auf der nächsten Seite: So schnell knackt man ein Passwort

Hintergrund: So schnell knackt man ein Passwort

Viele Anwender wählen ein Kennwort aus sechs Zeichen, das nur aus Kleinbuchstaben besteht. Dieses kann also 26 unterschiedliche Zeichen beinhalten, was bei einer Länge von sechs Zeichen insgesamt 308915776 (also fast 309 Millionen) mögliche Kombinationen ergibt.

Das hört sich nach sehr viel an, doch sind mit einem aktuellen Vierkernprozessor 45423600 Tastenanschläge pro Sekunde möglich. Schwächere Prozessoren mit weniger Kernen erreichen etwa die Hälfte davon. Zum Knacken des sechs Buchstaben langen Kennworts benötigt der Vierkerner lediglich 6,8 Sekunden. Besteht Ihr Kennwort hingegen aus Klein- sowie Grossbuchstaben und Zahlen, sind bei sechs Zeichen Länge ganze 56800235584 (über 56 Milliarden) Kombinationen möglich. Um ein solches Passwort zu knacken, rechnet der Vierkernprozessor 21 Minuten. Bei siebenstelligen Passwörtern werden aus den 21 Minuten fast 22 Stunden. Für acht Zeichen würde der Vierkernprozessor schon fast 2 Monate brauchen; für zehn Zeichen knapp 600 Jahre. Sonderzeichen und jede weitere Stelle verlängern die Berechnung um ein Vielfaches.