Die Suche nach dem Sinn

Doch warum werden an jeder Ecke sinnlos komplizierte Kennwörter empfohlen, die sich kein Mensch verinnerlicht? Die simple Wahrheit lautet, weil sie einen hervorragenden Schutz bieten – aber nur gegen eine einzige Form der Attacke: Brute Force, zu Deutsch etwa «rohe Gewalt». Bei einer Brute-Force-­Attacke wird von einem Computer blind­wütig jede Buchstaben- und Zahlenkombination ausprobiert, bis das Kennwort aufgedeckt wird. Eine Brute-Force-Attacke könnte zum Beispiel auf einem modernen PC geritten werden, wobei der Grafikkarte die wichtigste Rolle zukommt; denn selbst eine nicht ganz tauschfrische Nvidia GeForce GTX 1080 schafft ungefähr 30 Millionen Attacken pro Sekunde, Bild 2. Die dazugehörige Software gibt es in den Abgründen des Internets.

Allerdings nimmt der Aufwand für den Angreifer explosionsartig zu, sobald sich Zeichen und Sonderzeichen häufen. Werden nur Ziffern verwendet, stehen zehn Zeichen zur Auswahl (0 bis 9). Ein Möchtegern-Kennwort wie 1234 ist in spätestens 0,3 Millisekunden geknackt (siehe Tabelle unten). Werden hin­gegen Gross- und Kleinbuchstaben verwendet, stehen 52 Zeichen zur Auswahl. Für eine solche Mischung aus acht Zeichen rechnet derselbe PC bereits 21 Tage, wenn das Kennwort erst im letzten Versuch gefunden wird. Kommen alle verfügbaren Buchstaben, Sonder­zeichen und Ziffern zum Einsatz, braucht der PC im dümmsten Fall für acht Zeichen ganze sieben Jahre. Bei 16 Zeichen sind es sogar 47 Billiarden Jahre – und bis dahin sind Ihre Geheimnisse vermutlich nicht mehr relevant.

Nun könnten Sie sich also mit komplexen Kennwörtern erfolgreich gegen Brute-Force-Attacken wappnen. Doch mit an Sicherheit grenzender Wahrscheinlichkeit werden Sie nie das Opfer eines solchen Angriffs. Diese Methode ist für den Eindringling extrem aufwendig, lässt sich immer nur auf ein Objekt anwenden und der Erfolg ist zweifelhaft – denn vielleicht haben Sie ja eine Mischung aus 16 Zeichen verwendet. Brute Force kommt etwa dann zum Einsatz, wenn das Notebook einer sehr wichtigen Person gestohlen wird und eine kriminelle Organisation an die Daten will. Oder wenn Ermittler den Zugang zu einem Gerät des Täters benötigen. In jedem Fall braucht es viel (kriminelle) Energie und ein gezieltes Vorgehen, vielleicht sogar bis hin zur Gewaltanwendung – und das ist hoffentlich nicht Ihre Bedrohungslage.

Vor allem aber muss die Datei bei einer Brute-Force-Attacke lokal verfügbar sein. Es ist praktisch unmöglich, durch Brute Force in einen Webaccount einzudringen, denn jeder Server ist mit 30 Millionen Versuchen pro Sekunde hoffnungslos überfordert: Wir alle wissen aus Erfahrung, dass ein Login normalerweise zwei Sekunden oder länger dauert. Ausserdem werden wichtige Websites den Zugang sehr viel früher sperren. Ihre Bank wird vielleicht schon nach drei, spätestens aber nach fünf Fehlversuchen den Zugang sperren.

Mit anderen Worten: Wenn Sie sich mit ellenlangen Kennwörtern quälen, dann rüsten Sie sich gegen die einzige Angriffsform, der Sie vermutlich nie begegnen werden. Denn die meisten Internetkriminellen arbeiten mit anderen, sehr viel bequemeren Methoden, indem zum Beispiel 100 Millionen E-Mails in die Welt hinausgetragen werden. Darin werden beispielsweise Probleme mit dem Konto angekündigt, die behoben werden müssen. Falsche Absender, Bild 3 A, oder Links, die auf die gefälschte Seite zeigen B, sind die Klassiker. Nur: Gegen dieses «Phishing» bietet auch das komplizierteste Kennwort keinen Schutz.

Ebenfalls sehr lukrative Angriffsziele sind die Datenbanken grosser Websites, in denen die Kundendaten gespeichert werden. Sie sind für Kriminelle besonders attraktiv, weil sich auf einen Schlag Tausende oder sogar Abermillionen Zugänge erbeuten lassen. Wenn eine solche Datenbank in kriminelle Hände fällt, wird ein einfaches Kennwort wie Halligalli genauso gestohlen wie das vermeintlich sichere w4f$3Ppfu*aaBj. Darum sollten Sie Ihre Kennwörter nicht komplizierter, sondern sicherer machen.