Die aktuelle Diskussion um den Staatstrojaner macht deutlich, wie angreifbar unsere Computer sind. Schnell hat sich ein Trojaner eingenistet, der sensible Daten ausspioniert. Viele wollen deshalb wissen, ob sie bereits Opfer einer Schnüffelattacke geworden sind und wie ein sicheres Passwort aussieht.

Es gibt eine Webseite, auf der jeder nachschauen kann, ob Hacker schon mal erfolgreich das eigene Konto geknackt haben. Da die meisten Onlinedienste dazu die E-Mail-Adresse in Kombination mit einem Passwort abfragen, kann man unter www.shouldichangemypassword.com die eigene E-Mail-Adresse eintragen. Die Webseite verrät danach, ob dieses Konto in Hackerkreisen schon mal Thema war.

Die Betreiber der Seite verfügen über brisantes Datenmaterial, etwa Listen mit E-Mail-Adressen und Passwörtern, die schon mal geknackt wurden. Kann shouldichangemypassword.com in diesen Listen, ist das alarmierend: In diesem Fall sollte man dringend alle Passwörter ändern, denn dann ist man mindestens einmal geknackt worden, ohne es zu merken. Das muss nicht zwingend Folgen gehabt haben – doch es könnte noch passieren.

Should I change my Password?

Die Betreiber von shouldichangemypassword.com haben Zugriff auf in Hackerkreisen kursierende Logins, auf Datenbanken mit Zugangsdaten, die in Hackerkreisen gehandelt werden. Es gibt schließlich immer wieder Hacker, die Logins verkaufen oder damit angeben, wie viele Logins sie geknackt haben. Natürlich bekommen die Betreiber von shouldichangemypassword nicht alles mit, aber sie haben durchaus Zugriff auf eine nennenswerte Zahl von Datenbanken. So gesehen ist die Webseite eine Art Google auf Hacker-Daten, etwas zugespitzt formuliert.

Wenn shouldichangemypassword.com nichts in den Datenbanken findet, bedeutet das allerdings nicht, dass man vollkommen sicher ist und dass noch kein Hacker ein Konto geentert hat.

Shouldichangemypassword bezieht sich allerdings ausschließlich auf Mail-Logins. Wer andere Zugangsdaten benutzt, etwa in der Firma oder bei einem Onlinedienst, der kommt mit diesem Angebot nicht weiter. Aber: Es ist ganz nützlich, es mal auszuprobieren – und, sich Gedanken um ein möglichst sicheres Passwort zu machen.

Sicheres Passwort wählen

Eins muss klar sein: Je einfacher das Passwort, desto höher die Wahrscheinlichkeit, dass es geknackt wird. Hacker nutzen heute Hochleistungscomputer, um Passwörter zu knacken. Ein handelsüblicher PC kann heute rund 25 Millionen Passwörter in der Sekunde ausprobieren. Ein simples Passwort ist da innerhalb kürzester Zeit geknackt. Der einzige Schutz, kein Opfer zu werden, ist ein gut gewähltes Passwort.

Ganz wichtig: Keine Eigennamen verwenden wie Paul, Anna, Jörg oder Fritz. Keine simplen Floskeln wie “i love you”. Die Hacker sind nicht dumm: Die kennen die beliebtesten Passwörter und probieren diese als erstes aus, sowieso nicht mit der Hand, sondern es gibt elektronische Wörterbücher, in denen die populärsten Passwörter drin stehen, und die werden als erstes ausprobiert.

Darum muss man ein Passwort benutzen, das möglichst einzigartig ist und nicht in Wörterbücher stehen kann. Ein gutes Passwort ist lang, mindestens 10 Zeichen, je mehr, desto besser. Es enthält Groß- und Kleinschreibung, Ziffern und Sonderzeichen. Eine Kombination aus allem. Wenn man schon Wörter benutzt, die im Wörterbuch stehen, dann mit gemischter Schreibweise, also groß und klein. Gerne auch mit Gimmicks, etwa indem man eine “3” schreibt, wo ein “e” vorkommt, eine drei sieht aus wie ein umgekehrtes “e”, kann man sich also gut merken, oder mit einem Ausrufezeichen für das “i”, oder was auch immer, das kann sich jeder selbst ausdenken.

Auf diese Weise entsteht ein einmaliges, nahezu unknackbares Passwort, weil kein Knack-Algorithmus darauf so leicht kommen kann. Gut ist auch, sich einen Satz einzuprägen und immer nur die ersten Buchstaben im Passwort zu benutzen, auch wieder mit Groß- und Kleinschreibung, etwa: “Funkhaus Europa ist ein klasse Sender, den ich jeden Tag höre.” Also: “FEiekSdijTh”. Unknackbar, erst recht, wenn ich jetzt noch Sonderzeichen benutze und Ziffern.

Es gibt Onlinedienste, auf denen man überprüfen kann, wie gut oder schlecht ein Passwort ist. Microsoft hat so einen Dienst im Angebot, aber auch der Datenschutzbeauftragte vom Kanton Zürich, hier wird einem sogar gesagt, warum ein Passwort möglicherweise schwach ist, sehr aufschlussreich.

Wichtig – wenn auch in der Praxis schwer umzusetzen: Für jeden Onlinedienst ein eigenes Passwort verwenden. Denn sonst gilt: Hat ein Hacker einen Zugang geknackt, kann er überall rein.