Unsichere Codes: Jedes siebte iPhone knackbar
Wie der App-Entwickler Daniel Amitay in einem Blogeintrag aufzeigt, werden die zehn beliebtesten Code-Kombinationen von 15 Prozent aller User verwendet. Neben 1234 und 0000 finden sich unter anderem auch andere simple Kombinationen wie 1111, 5555 oder 2222 unter den Top Ten. Selbst die Kombination 5683 ist weniger gefinkelt als von den Usern vermutet – sie steht für die Buchstaben-Kombination „L-O-V-E“ auf Telefontastaturen und zählt ebenfalls zu den meistverwendeten Kombinationen.
Unsichere Codes am iPhone
Amitay hat die Liste aufgrund über 200.000 anonym ausgewerteter Passcodes seiner Applikation erstellt. Da der überwiegende Großteil der User – analog zum Passwort-Gebrauch – den selben Passcode verwendet, dürfte die Auswertung auch auf die Verwendung der iPhone-Codes umlegbar sein, ist Amitay überzeugt. Da Apple Usern zehn Versuche einräumt, um ein iPhone oder iPad zu entsperren, hat man mit der Top-10-Liste eine etwa 15-prozentige Chance ohne Zusatzprogramm Zugriff auf das fremde Gerät zu erlangen. Wer also eine der erwähnten unsicheren Zahlenkombinationen verwendet, sollte sich schleunigst einen anderen Code überlegen.
Das Phänomen, dass einige wenige Ziffern- bzw. Passwortkombinationen besonders beliebt sind, ist seit längerem bekannt. Wie eine Anfang des Jahres veröffentlichte ZoneAlarm-Liste der Top-20-Passwörter zeigt, finden sich neben simplen Zahlenkombinationen auch eine Reihe von verbreiteten Namen oder Phrasen. In den USA findet sich neben „iloveyou“ auch die Eingabe „password“ unter den Top 20. Laut ZoneAlarm entfallen 25 Prozent aller Passwörter auf diese 20 häufigsten Begriffe.
Lange Passwörter empfehlenswert
Um sich vor Passwort-Attacken zu schützen, empfehlen Sicherheitsexperten möglichst lange Passwörter zu verwenden, die keinen offensichtlichen Sinn ergeben, Groß- und Kleinschreibungen sowie Sonderzeichen beinhalten. „Ein Passwort sollte mindestens acht Zeichen lang sein. Um sich vor professionellen Passwort-Cracking-Tools zu schützen, sind aber Kombinationen von 30 Zeichen und mehr empfehlenswert“, meint Malware-Analyst Georg Kremsner von Ikarus im Gespräch mit der futurezone.
Mittels Rechenpower und der Einbindung von Botnetzen könne grundsätzlich fast jedes Passwort geknackt werden. Die Grundregel laute allerdings, je länger und komplizierter das Passwort ausfalle, desto länger brauche auch ein Cracking-Tool, so Kremsner. Wenn es nicht um einen gezielten Angriff auf eine bestimmte Person gehe, seien die meisten Tools so eingestellt, dass sie nur die wenig sicheren Passwörter berechne und nach einer bestimmten Stellenanzahl mit dem automatischen Durchprobieren aufhöre.
Tipps zum Merken komplexer Passwörter
„Die Top 500-Liste der beliebtesten Passwörter ist auf jeden Fall als erstes dran und kann von einem entsprechenden Skript und der nötigen Rechenpower in einer Sekunde durchprobiert werden. Bei Kombinationen jenseits der 30 dauert es hingegen über Wochen bis hin zu Jahrzehnten, bis ein Passwort berechnet werden kann. Dieser Aufwand ist für Cyberkriminelle aber im Normalfall uninteressant“, sagt Kremsner.
Um sich ein 30-stelliges Passwort zu merken, empfiehlt der Sicherheitsexperte sich eine Zeile eines Gedichts oder Songs zu merken und gewisse Buchstaben konsequent mit Zahlen zu ersetzen. Um auch Sonderzeichen einzufügen, kann etwa die Leerzeile mit einem Unterstrich ersetzt werden. „Auf diese Weise ist es denkbar einfach, sich ein komplexes Passwort merken zu können“, so Kremsner.
Bei vierstelligen Zahlenkombination, wie sie beim iPhone oder anderen Smartphones eingesetzt werden, sollte man auf die erwähnten simplen Zahlenkombinationen verzichten. Auch das eigene Geburtsdatum bzw. das des Partners ist nicht unbedingt empfehlenswert. Auch sollten für verschiedene Dienste verschiedene Passwörter verwendet werden. Da man sich im Normalfall nicht 50 verschiedene Passwörter merken kann, empfehlen Sicherheitsexperten bestimmte Dienste in Gruppen zusammenzufassen. Auch hier gilt: Je sensibler die Account-Daten, desto stärker sollte das gewählte Passwort sein.
Big Brother App nicht mehr verfügbar
Der Entwickler der iPhone-App Big Brother Camera Security sieht sich nach der Veröffentlichung der Liste nun einiger Kritik ausgesetzt. Warum Apple die Applikation nun aus dem Store entfernte bleibt bislang unklar. Als wahrscheinlich gilt jedoch, dass sich User über das Tracken der eingegebenen Codes beschwerten. In einem weiteren Blogeintrag hat Amitay noch einmal versichert, dass die Daten nur anonym ausgelesen wurden und er das betreffende Script – wenn erwünscht – auch gerne wieder aus der App entfernen könne.