Neuer Dreh beim Passwortklau
c't: Passwortangriffe auf eBay & Co

Hannover, 9. Juli 2004 - Mit neuen Methoden verschaffen sich Passwortklauer Zugang zu Benutzerkonten im Internet. Einfach gestrickte Passwörter und der leichte Zugriff auf unzählige Benutzernamen helfen Angreifern, unter fremden Namen jede Menge Schaden anzurichten, so das Computermagazin c't in der Ausgabe 15/04.

Es geht nicht darum, ein bestimmtes Benutzerkonto zu knacken. Das wäre auch schwierig, denn nach dreimaliger falscher Eingabe des Passwortes muss meist eine spezielle Neuanmeldung oder die Eingabe einer PIN erfolgen. Soweit lassen es Angreifer gar nicht erst kommen. Sie versuchen es einfach beim nächsten Account. Irgendwann passt ein Passwort wie Hasso oder Yvonne, und bei eBay etwa sind Hunderttausende Benutzernamen jedermann zum Ausprobieren zugänglich. Beim Zugang zu einem beliebigen Benutzerkonto haben Passwortklauer häufig also leichtes Spiel.

Viele Internetnutzer neigen dazu, ihre Passwörter möglichst simpel zu gestalten. Einfache Vornamen ohne Sonderzeichen oder Zahlenkombinationen sind besonders beliebt. Mit einer Liste von 220 weiblichen Vornamen hat die c't-Redaktion innerhalb von 48 Stunden fast 2600 eBay-Accounts überprüft und war 27 mal erfolgreich. "eBay versucht zwar, solche Angriffe abzuwehren", erläutert c't-Redakteur Daniel Bachfeld, "aber die getroffenen Maßnahmen lassen sich mit ein paar Tricks leicht aushebeln."

Obwohl Passwortangriffe eigentlich ein alter Hut sind, stellen viele Anbieter keine besonderen Komplexitätsanforderungen an die Wortkombination. Einige erlauben sogar Passwörter, die genau so lauten wie der Benutzername. Sonderzeichen, Großbuchstaben oder Zahlen im Kennwort, die das Erraten schwerer machen, sind selten Pflicht, aber äußerst sinnvoll.

Hilfe bei der Auswahl von sicheren Passwörtern bietet kostenlose Software wie "Atory Password Generator". Um mehrere Passwörter zu verwalten, empfiehlt die c't-Redaktion das Tool "Alle meine Passworte". (dab)

Hinweis für Hörfunkredaktionen: Ein Radiobeitrag zu diesem Thema sowie O-Töne von c't-Redakteur Daniel Bachfeld sind unter 05 11/2 79 15 60 beim c't-Hörfunk-Service abrufbar. Unter www.radioservice.de steht das Angebot für akkreditierte Hörfunkredakteure auch im MP3-Format zum Download bereit.

Hinweis zur Fernsehsendung: Einen Beitrag zu diesem Thema strahlt das c’t magazin im hessen fernsehen am 10. Juli um 12.30 Uhr aus. Wiederholungstermine auf RBB, MDR und German TV finden Sie unter www.ctmagazin.tv.