Um Deine persönlichen Daten zu schützen, gibt es mehrere Möglichkeiten. Da wäre zum einen die PIN: eine 4- oder 5-stellige Zahlenfolge. Zum anderen könntest Du ein Kennwort wählen. Mehr Stellen, Buchstaben, Zahlen und Sonderzeichen machen diese Methode zeitaufwändiger, aber wesentlich sicherer. Doch warum ist das so? Im folgenden Artikel erhältst Du die Antwort.
Erfahre jetzt, mit welchen Mitteln Betrüger arbeiten und wie schnell sie die meisten PINs knacken können. Anschließend präsentieren wir die besten Tipps für starke Passwörter. Damit bleiben Deine Konten vor unerlaubtem Zugriff geschützt!
Wie sicher ist eine PIN?
Zuerst einmal sollten wir klären, was mit dem Begriff „sicher“ gemeint ist. Angenommen, jemand möchte Dein Passwort herausfinden. Ohne sonstige Hinweise bleibt nur eine Methode: Ausprobieren! Die Frage ist nun: Wie viele Möglichkeiten müssen durchgetestet werden, bis das richtige Ergebnis herauskommt?
Für die Antwort genügt simple Mathematik. Eine PIN besteht normalerweise aus 4 Stellen. An jeder dieser Stellen kann eine Zahl von 0 bis 9 stehen. Um die Kombinationsmöglichkeiten zu ermitteln, müssen wir folgende Formel anwenden:
N = Zk
N = Anzahl an Kombinationsmöglichkeiten
Z = verfügbare Zeichen/Zahlen
k = Anzahl der Stellen
Bei einer 4-stelligen PIN lautet die Rechnung also:
104 = 10.000
Es gibt 10.000 Kombinationsmöglichkeiten; oder anders gesagt: Ein Betrüger müsste 10.000 PINs eingeben, bevor die richtige Kombination herauskommt. „Glückstreffer“ lassen wir hier einmal außen vor – genau wie Sperren nach zu vielen falschen Eingaben. Es geht lediglich um das Prinzip.
Bei einer 5-stelligen PIN wären schon 100.000 Kombinationen möglich. Das heißt: mit nur einer zusätzlichen Stelle haben es Hacker zehnmal schwerer, Deine PIN zu knacken.
Wie sicher ist ein Kennwort?
Auch Kennwörter dienen der sicheren Authentifizierung. Doch es gibt Unterschiede: Zum einen ist die Länge nicht auf 4 oder 5 Stellen beschränkt. Zum anderen bist Du bei der Erstellung eines Kennworts wesentlich freier. Pro Stelle hast Du nicht 10, sondern etwa 73 Möglichkeiten! Diese setzen sich folgendermaßen zusammen:
- 26 Großbuchstaben
- 26 Kleinbuchstaben
- 10 Ziffern
- 11 Sonderzeichen auf der Tastatur (!; %, $ etc.)
Je nach Plattform und Tastatursprache könnten auch mehr Sonderzeichen erlaubt sein. Doch bleiben wir bei unserem Beispiel.
Angenommen, das Kennwort hat 4 Stellen. Nach der obigen Formel gäbe es dann 28.398.241 Möglichkeiten: 28 Millionen und ein paar Hunderttausend. Erweitert man das Kennwort um eine Stelle, wird die Milliarden-Grenze überschritten: 2.073.071.593 Möglichkeiten stehen zur Verfügung. Bei 6 Stellen sind es mehr als 100 Milliarden. 7 Stellen bringen uns schon in den Billionen-Bereich. Das wäre z. B. die Anzahl aller Bäume auf der Erde!
PIN vs Kennwort – Schutz vor Brute Force-Angriffen
Nehmen wir an, jemand möchte Dein PIN bzw. Dein Kennwort knacken. Selbst bei „nur“ 10.000 Kombinationsmöglichkeiten würde es lange dauern, diese alle von Hand einzugeben. Doch leider müssen Hacker das gar nicht mehr tun! Stattdessen kommen sog. Brute Force-Angriffe zum Einsatz. Mithilfe von Computerprogrammen werden so lange Kombinationen getestet, bis die richtige dabei ist.
Diese Computerprogramme sind vor allem eins: schnell! Sie können etwa 4 Milliarden Passwörter pro Sekunde eingeben.
Spätestens jetzt sollte klar sein, warum ein starkes Kennwort so wichtig ist. 4 Stellen knackt die Software im Bruchteil einer Sekunde – selbst, wenn Buchstaben, Zahlen und Sonderzeichen verwendet werden.
Zum Glück wächst die Stärke eines Passworts mit jeder zusätzlichen Stelle exponentiell an. Damit dauert auch das Hacken länger, wie folgende Beispiele zeigen:
- 5 Stellen: 0,5 Sekunden
- 6 Stellen: 38 Sekunden
- 7 Stellen: 46 Minuten
- 8 Stellen: 1,5 Tage
- 9 Stellen: 170 Tage
Führen wir diese Rechnung ins Extreme: Um ein 12-stelliges Kennwort herauszufinden, bräuchten Hacker ganze 181.000 Jahre – länger als die Geschichte der Menschheit! Liegen keine anderen Sicherheitslücken vor (siehe weiter unten), ist ein solches Passwort nahezu unknackbar.
So machst Du Dein Passwort noch sicherer
Lange Passwörter mit Zahlen und Sonderzeichen sind ein guter Anfang. Doch um den Schutz weiter zu verbessern, solltest Du einige Tipps beachten:
Nutze Kauderwelsch!
Heutzutage gelten strenge Anforderungen an Passwörter. Meistens muss zumindest ein Sonderzeichen, eine Zahl und ein Großbuchstabe verwendet werden. Viele Nutzer halten sich an diesen Minimal-Standard. Statt z. B. das Kennwort „Katze“ zu wählen, ändern sie es in „Katze4§“ um.
Solche Kennwörter mögen leichter zu merken sein, spielen jedoch Hackern in die Hände. Diese nutzen einen sog. Wörterbuch-Angriff, um die geläufigsten Begriffe durchzuprobieren. Lange dauert das nicht – schließlich verwenden die meisten Menschen im Alltag nur 20.000 bis 30.000 Wörter. Auch das Austauschen von Buchstaben durch Sonderzeichen oder Zahlen (z. B. „4“ statt „a“ oder „@“ statt „o“) zögert die Angriffe nur geringfügig hinaus.
Dazu kommt: Nicht immer müssen Hacker bei null anfangen. Postest Du z. B. regelmäßig auf Social Media? Dann könnten Hacker Begriffe durchprobieren, die Du dort häufig nutzt. Im Business-Bereich dienen Slogans oder Produktnahmen als Inspirationsquelle für Hacker.
Der einzig wirkliche Schutz ist ein „unsinniges“ Passwort. Die Abfolge von Buchstaben, Zahlen und Zeichen sollte möglichst willkürlich sein. Wer nichts dem Zufall überlassen möchte, nutzt einen Passwort-Generator. Auf vielen Websites ist ein solches Tool bereits von Haus aus integriert.
Du suchst ein Passwort, das sich leicht auswendig lernen lässt und trotzdem sicher ist? Dann empfehlen wir folgendes Vorgehen:
- Denk Dir einen Satz aus und nimm jeweils die ersten zwei Buchstaben jedes Wortes. Aus „Ich trinke gerne Kaffee“ wird so z. B. „ictrgeka“.
- Schreibe die Anfangsbuchstaben groß: „IcTrGeKa“.
- Nutze Leerzeichen, wenn erlaubt: „Ic Tr Ge Ka“.
- Nun gilt es, Zahlen einzufügen. Geeignet sind z. B. Jahreszahlen, die Du Dir leicht merken kannst – etwa das Geburtsjahr deiner Frau: „Ic Tr Ge Ka 1985“.
Um dieses Beispiel-Kennwort zu knacken, würden Hacker 139 Billionen Jahre brauchen! Nicht einmal unser Universum reicht so weit zurück.
Verwende nie dasselbe Passwort mehrmals!
Zugegeben: Die wenigsten Nutzer möchten sich 10 oder mehr Passwörter merken. Stattdessen liegt die Versuchung nahe, dasselbe Passwort mehrmals zu verwenden. Hier schlagen IT-Experten Alarm, während sich Hacker freuen. Sobald sie ein Passwort herausgefunden haben, können sie es sofort auf der nächsten Website probieren. Das heißt: Mit einem Schlag sind ALLE Deine Konten geknackt. Nutze daher jedes Kennwort nur einmal!
Ändere Dein Passwort regelmäßig!
Selbst, wenn Du ein starkes Passwort verwendest – Du hast keine Garantie, dass es nicht schon ausgelesen wurde. Evtl. befindet es sich nun in einer Hackerliste oder geistert im Darknet umher. Auch Sicherheitslücken auf der Login-Website lassen sich nie ganz ausschließen.
Die Empfehlung von Experten lautet daher: Ändere Deine Passwörter alle paar Monate! Natürlich empfiehlt es sich nicht immer, so lange zu warten. Bei einem Verdacht auf unerlaubten Zugriff solltest Du das Passwort sofort ändern. Dasselbe gilt, wenn Du es auf nicht vertrauenswürdigen Geräten eingegeben hast.
Nutze die Zwei-Faktor-Authentifizierung!
Starke Passwörter sind Pflicht. Doch um Deine Daten noch besser zu schützen, empfiehlt sich die Zwei-Faktor-Authentifizierung. Sie funktioniert folgendermaßen: Nachdem Du Dein Passwort eingegeben hast, erhältst Du einen Code – entweder per SMS oder Apps wie den Google Authenticator. Dieser Code ist einzigartig und nur einmal gültig. Du musst ihn anschließend auf der Website eingeben, um Dich einzuloggen.
Zweifellos nimmt die Zwei-Faktor-Authentifizierung mehr Zeit in Anspruch. Dafür genießt Du zusätzliche Sicherheit. Selbst, wenn Hacker Dein Passwort geknackt haben, nützt es ihnen nichts ohne den entsprechenden Code. Sie müssten schon Dein Smartphone stehlen oder hacken, um ihn herauszufinden. Darum gilt: Auch dieses Gerät sollte vor unerlaubtem Zugriff geschützt sein!
Speichere Passwörter an einem sicheren Ort!
Kaum ein Nutzer kann sich alle Passwörter merken – schon gar nicht, wenn diese aus langen, willkürlichen Kombinationen bestehen. Darum stellt sich die Frage: Wo lagere ich meine Passwörter am besten?
Natürlich könntest Du sie klassisch auf einen Zettel schreiben und verstecken. Doch was ist, wenn Du diesen Zettel verlierst oder er in die falschen Hände gerät?
Besser eignet sich ein digitaler Passwort-Manager. Im einfachsten Fall übernehmen Browser wie Edge, Chrome oder Firefox diese Aufgabe. Der Vorteil: Du musst Dir nur noch ein Passwort merken – und zwar das für den Passwort-Manager. Bedenke jedoch: Sollte dieses zusammen mit dem Gerät gestohlen werden, sind alle Login-Daten gefährdet. Umso wichtiger ist es, ein starkes Master-Passwort zu wählen und sich zusätzlich mit der Zwei-Faktor-Authentifizierung zu schützen.
Verwende ein VPN!
Öffentliche Netzwerke stehen an immer mehr Orten zur Verfügung. So kannst Du unterwegs Online gehen – etwa, wenn Du etwas zu erledigen hast. Leider stellen sie auch ein Sicherheitsrisiko dar. Da der Passwortschutz fehlt, kann sich jeder ins Netzwerk einloggen und den Datenverkehr überwachen. Im schlimmsten Fall lesen Hacker Deine Login-Daten und Kennwörter aus.
Darum empfiehlt sich ein virtuelles privates Netzwerk (VPN). Ist dieses aktiv, werden Daten verschlüsselt übertragen. Andere Nutzer sehen nur sinnlose Zeichenfolgen. Ein weiterer Vorteil: VPNs verschleiern Deine IP-Adresse. Dies sorgt für mehr Anonymität beim Surfen. Auch ländergesperrter Content – etwa auf Streaming-Diensten – lässt sich so aufrufen.
Leider ist VPN nicht gleich VPN. Viele kostenlose Lösungen bombardieren Dich mit Werbung oder fallen beim Datenschutz durch. Außerdem wird die Internetgeschwindigkeit deutlich gedrosselt. Wer dies vermeiden möchte, sollte sich für ein kostenpflichtiges VPN entscheiden. Zu den beliebtesten Anbietern gehören NordVPN, Surfshark und Express VPN.
Sei auf der Hut vor Phishing!
Passwörter können noch so stark sein. Doch wenn Nutzer sie versehentlich weitergeben, ist der Schutz dahin. Nicht umsonst warnen IT-Experten: „Die größte Sicherheitslücke sitzt vor dem Bildschirm.“
Eine Methode, um an Passwörter zu gelangen, ist das Phishing. Dabei geben sich Hacker als vertrauenswürdige Personen oder Firmen aus: etwa Websites, Online-Shops oder Banken. Unter diesem Deckmantel wird das Opfer aufgefordert, seine Kontaktdaten weiterzugeben. Grund kann eine angebliche Account-Verifizierung sein. Oft drohen Betrüger auch damit, das Konto sperren zu lassen, wenn die Login-Daten nicht übermittelt werden. Phishing ist äußerst effektiv. Jedes Jahr fallen mehrere hundert Millionen User auf diese Form des Identitätsdiebstahls herein.
Damit es Dir nicht so ergeht, solltest Du wachsam bleiben. Keine seriöse Website wird Dich auffordern, Dein Passwort weiterzugeben. Dies ist durch die AGBs sogar verboten. Im Zweifelsfall solltest Du Dir die E-Mail genau ansehen. Phishing-Mails werden en Masse erstellt. Dementsprechend weisen sie oft einige Merkmale auf:
- generische statt persönliche Anrede
- Rechtschreibfehler
- Falsche Formulieren (durch KI-Übersetzung)
- angebliche Dringlichkeit
- Drohungen
- Links oder Anhänge zum Herunterladen
Du solltest solche Mails weder beantworten noch auf enthaltene Links klicken oder Anhänge herunterladen. Sonst riskierst Du Malware. Lösche die Mail stattdessen. Wenn Du Dir unsicher bist, kannst Du den angeblichen Absender (z. B. Deine Bank) kontaktieren. Oft hilft schon eine Google-Suche weiter. Organisationen wie die Verbraucherschutz-Zentrale berichten regelmäßig über Phishing-Versuche, die im Netz kursieren.
Und was ist mit der Passwort-Sperre?
Bei all diesen Tipps könnte man anmerken: Es ist nicht möglich, unbegrenzt viele PINs oder Passwörter einzugeben. Meist wird nach 3 bis 10 Fehlversuchen eine Sperre aktiviert. Entweder müssen Nutzer dann warten, bis sie es erneut versuchen können; oder der Account wird temporär gesperrt. Erst durch eine anderweitige Authentifizierung (etwa per E-Mail) lässt er sich wieder freischalten.
Nahezu alle Websites und Online-Dienste nutzen diese Sicherheitsmaßnahme. Doch leider haben Hacker einen Weg gefunden, sie zu umgehen.
So funktioniert es: Sobald Du ein Passwort erstellst, wird es in der Datenbank der Website gespeichert – aber natürlich nicht in Reinform. Stattdessen wandeln mathematische Algorithmen das Kennwort in ein sog. Hash um. Dieses zu entschlüsseln, ist nahezu unmöglich.
Anders sieht es aus, wenn Hacker in die Datenbank eingedrungen sind und eine Liste aller Hashes erbeutet haben. Nun können sie einen Brute Force-Angriff starten: also alle Kombination durchprobieren und mit der Liste abgleichen. Sobald eine Übereinstimmung vorliegt, wissen die Betrüger: Das Passwort existiert. Kann es dann einem Usernamen zugeordnet werden, ist der Account geknackt.
Datenbank-Hacks kommen immer wieder vor. Das zeigen Beispiele aus der Vergangenheit. Sogar große Firmen wie Yahoo, Linkedin, Facebook und sogar Microsoft gehören zu den Opfern. Spätestens jetzt sollte klar sein: Sich hundertprozentig auf die Passwort-Sperre zu verlassen, ist gefährlich.
Alternativen zu PIN und Kennwort – biometrische Identifizierung
PINs und Passwörter sind heutzutage nicht die einzige Möglichkeit der Authentifizierung. Je nach Gerät kannst Du auch Deine biometrischen Daten nutzen. Nahezu jedes Handy besitzt einen Fingerabdruck-Scanner. Dazu kommt die Gesichtserkennung per Kamera und Sensor.
Die Vorteile liegen auf der Hand:
- Du musst Dir kein starkes Passwort ausdenken und merken.
- Fingerabdruck und Gesicht sind einzigartige Merkmale. Sie können nicht weitergegeben werden.
- Das Eingeben des Kennworts fällt weg.
Doch wie sicher ist diese Methode?
Wer seinen Fingerabdruck nutzt, kann beruhigt sein. Es handelt sich um ein individuelles Merkmal, das nicht replizierbar ist. Natürlich gilt, wie so oft: hundertprozentige Sicherheit gibt es nicht. Die meisten Scanner unterscheiden nicht zwischen einem echten Finger und einer Kopie. Wer den Abdruck gewinnt – etwa von einem Wasserglas – könnte den Scanner überlisten. Doch hier bewegen wir uns schon im Bereich der Spionage. Betroffen sind vor allem hochrangige Personen wie Politiker oder CEOs. Otto Normalnutzer müssen sich darüber generell keine Sorgen machen.
Gesichtsscanner analysieren Dein Antlitz auf bestimmte Merkmale wie Augen, Mund und Nasenpartie. Nur bei einer Übereinstimmung wird das Gerät entsperrt. Leider nutzen die meisten Scanner die 2D-Methode. Um sie auszutricksen, genügt schon ein Foto des Nutzers. Mehr Sicherheit bieten 3D-Scanner, wie sie z. B. Apple einsetzt. Diese erfassen neben den Konturen auch dreidimensionale Merkmale – heißt: Betrüger bräuchten ein originalgetreues Modell Deines Gesichts.
Weniger verbreitet sind Iris-Scanner. Diese kamen z. B. im Samsung Galaxy S8 zum Einsatz. Jedoch gelang es Hackern, die Sperre zu umgehen. Sie fotografierten das Gesicht des Nutzers im Infrarot-Modus und legten eine Kontaktlinse auf die Iris. Wie beim Fingerabdruck gilt: Der Aufwand lohnt sich kaum, um die Handys von Durchschnitznutzern zu hacken. Dass Iris-Scanner aus der Mode gekommen sind, hat einen anderen Grund: Sie nehmen viel Platz in Anspruch und arbeiten langsamer als Fingerabdruck- und Gesichtserkennung.