Je mehr persönliche Daten im Internet gespeichert und Geschäfte dort stattfinden, desto wichtiger werden sichere Passwörter. Sonst sind nicht nur intime Fotos von Filmstars gefährdet, sondern auch die persönliche Privatsphäre und das eigene Geld.
Kürzlich tauchten von rund 200 Prominenten private Nacktfotos im Internet auf. Dieser «Celebgate» ist für die Betroffenen peinlich und für Apple ein Sicherheitsdesaster. Denn die Bilder wurden aus Apples Internetspeicher iCloud gestohlen. Die meisten iPhones kopieren geknipste Fotos automatisch in diesen Dienst.
Für Apple besonders peinlich ist, dass Hacker mit speziellen Programmen einfach Millionen Passwörter bei iCloud ausprobieren konnten, ohne ausgesperrt zu werden. Die Sicherheitslücke wurde inzwischen gestopft.
Der Vorfall zeigt einmal mehr, dass man bei der Passwortwahl vor einem Dilemma steht. Wählt man ein etwas Einfaches wie «Passwort123», riskiert man, dass dieses erraten wird. Wählt man statt dessen ein sicheres Passwort wie «££-x24Pqlr+(q», erhält man zwar Sicherheit. Um sich aber für jeden Dienst ein anderes, komplexes Passwort zu merken, ist ein extremes Gedächtnis nötig.
In der Praxis hat sich deshalb der Trick mit zusammengesetzten Passwörtern bewährt. Als Erstes sucht man sich einen Merksatz, dessen Anfangsbuchstaben das Passwort ergeben. Aus «Am 1. August und am 24 Dezember überlasse ich das Arbeiten Anderen» wird so «A18&a2412üidAA».
Je nach Dienst, für welcher das Passwort gelten soll, wird es nun an einer frei bestimmten Stelle ergänzt. In unserem Beispiel wird nach dem & der erste und letzte Buchstabe des genutzten Dienstes eingefügt. Für Apple (Ae) und Google (Ge) entstehen so die Passwörter «A18&Aea2412üidAA» und «A18&Gea2412üidAA».
Hat man ein Passwort vergessen, lässt sich dieses bei den meisten Diensten via E-Mail zurücksetzen. Es lohnt sich, dafür eine kostenlose E-Mail-Adresse mit speziellem Passwort einzurichten.
Beim Passwortverwalten kann man sich aber auch vom PC helfen lassen. Wer nicht bei jedem Dienst tippen und trotzdem komplexe Passwörter nutzen will, kann zu Passwortmanagern greifen. Dabei werden alle Passwörter in einer Datenbank gespeichert, die ihrerseits mit einem geheimen Masterpasswort verschlüsselt ist.
Nur wer dieses kennt, erhält Zugriff auf alle Passwörter. Dann erkennen kostenlose Hilfsprogramme wie KeePass automatisch, welches Passwort auf welcher Internetseite genutzt wird und füllen dieses automatisch ein.
Passende Apps sind praktisch für alle PC und Mobilgeräte verfügbar. Ähnlich funktionieren auch die in Browser integrierten Passwortverwaltungen, dabei sollte man aber unbedingt auch ein Master-Passwort definieren.
Ohne Datenbank kommt die Lösung MasterPassword aus. Hier tippt man in ein Fenster eine geheime Kombination aus Nutzernamen und Masterpasswort ein. Als Nächstes tippt man den Namen des benötigten Dienstes, wie beispielsweise Google ein. Aus diesen drei Werten erzeugt das Programm dann ein sicheres Passwort, dass man einmal beim Dienst registrieren muss.
Braucht man in Zukunft das Passwort, tippt man einfach die drei Angaben wieder ein, um das Passwort wieder zu erzeugen. Über die Zwischenablage wird es dann einfach in Browser und Programmfenster kopiert.
Noch sicherer sind Zweiweg-Authentifizierungen. Dann muss man nicht nur ein Passwort kennen, sondern auch etwas Bestimmtes besitzen. In der Praxis bedeutet «besitzen», dass man ein Handy mit einer bestimmten Telefonnummer in Händen hält.
Solche Zweiweg-Authentifizierung bieten Google und andere Dienste schon länger an. Auf deren Internetseite meldet man sich mit dem Passwort an und erhält dann per SMS ein zusätzliches, einmaliges Passwort zugeschickt. Erst wenn man dieses eingetippt hat, erhält man Zugang zu Diensten oder kritischen Funktionen.
Damit man nicht permanent Codes eintippen muss, lässt sich ein PC oder Mobilgerät als «sicher» deklarieren und kommt dann ohne den Zweiweg-Code aus. Hacker auf fremden Rechner scheitern aber dennoch an der Sperre. Einbruchsversuche bemerkt man, weil man eine entsprechende SMS erhält.
Theoretisch lassen sich zwar solche SMS durch Funktechnik oder Handy-Viren abfangen. Diese Lücke schliesst das Sicherheitssystem von Mobile ID, dass von den Netzbetreibern Swisscom und demnächst auch von Sunrise und Orange geboten wird. Die SMS sind dann verschlüsselt und werden nicht von einer virenanfälligen App, sondern einer intelligenten SIM-Karte gehandhabt. Mobile ID lässt sich beispielsweise bereits bei Postfinance nutzen. Er ersetzt dort den «Passwort-Taschenrechner» und erlaubt eine bequemere Anmeldung. (sda)
