Sichere Passwörter
Es ist immer wieder erschreckend zu sehen, wie viele mit ihren Passwörtern eher salopp umgehen und wie leicht es oft ist, dadurch sehr schnell an Informationen oder schlimmsten Falls sogar Login-Accounts zu kommen. Oft benutzen viele für alles ein Standard-Passwort welches meistens auch noch in Sekunden von einem noch nicht mal besonders versiertem Angreifer geknackt werden kann.
Häufige aber weitverbreitete Todsünden sind kurze und existierende Wörter, oder Teile des Namens. ZB: Hans53, 53snaH, Ernst-MM12, Liebe, Password, Passwort, 12345 oder der Loginname um nur einige zu nennen. Auch vermeintlich “sichere Passwörter” wie vbnm,987 sind ein No-Go, was ein Blick auf die untere Tastaturreihe schnell beweist. Solche Passwörter sind schnell geknackt; verwendet man dann das selbe Passwort auch noch für Email, Skype, Online-Banking, Server etc. ist das Unheil schnell vorprogrammiert.
Eine Möglichkeit Passwörter zu knacken stellen sog. Dictionary-Attacks dar, die Anhand von Wörterlisten der gängigsten Passwörter, sowie deutscher und englischer Wörter (jede andere Wortliste ist denkbar) einen Abgleich durchführt. Wenn man die Rechengeschwindigkeit moderner Rechner in Betracht zieht, die durchaus einige Tausend Kombinationen pro Sekunde durchführen können und sich dann vergegenwärtigt, dass der aktive Wortschatz eines normal-durchschnittlichen Menschen im 4-stelligen bis unterem 5-stelligem Bereich liegt, wird schnell klar, wie effektiv solche DC-Attacks sein können und warum existierende Wörter von vorneherein ausscheiden.
Eine andere Möglichkeit ist eine sog. Brute-Force-Attack, die einfach systematisch Buchstaben-Zeichenkombinationen durchprobiert. Auch hierzu mal ein Rechenexempel:
Nehmen wir mal einen Vorrat von 26 Zeichen (zB Kleinbuchstaben des Alphabets) und kreieren daraus ein 6-Zeichen großes Passwort. Das ergibt dann 26^6 Möglichkeiten also maximal 308 915 776 Kombinationen. Nehmen wir weiter an, der vermeintliche Angreifer verfügt über einen mittelmäßgen PC der pro Sekunde 30 Millionen Kombinationen ausprobieren kann, so wären wir hier spätestens nach 10 Sekunden am Ziel. Stocken wir nun den Vorrat mal auf 62 Zeichen auf (Groß- und Kleinbuchstaben sowie Ziffern) und basteln daraus auch wieder ein 6-Zeichen langes Passwort, dauert das mit dem selben PC immerhin schon 31 Minuten. Mit jedem zusätzlichem Zeichen steigt die Dauer exponentiell an. Ist unser Passwort doppelt so lang, dauert es nicht 62 Minuten sondern 3 393 198 Jahre. Das klingt doch schon um einiges sicherer 
Jedes Zeichen mehr steigert also die Sicherheit um ein Vielfaches.
Halten wir also fest:
- Keine existierenden Wörter oder Wortteile
- Keine faulen Kombinationen wie Tastaturreihen
- Großer Zeichenvorrat, am besten Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen
- Je größer, desto besser
- Am besten für jede Applikation ein eigenes Passwort verwenden
Ok, alles gut und schön, aber wie merke ich mir Passwörter wie “uhT%-23hbTr%2(jjT5)diu§$” denn nun?!
Erste Möglichkeit ist, sich einen Satz zu merken (abstrakte Sätze kann man sich oft leichter merken) und dessen Anfangsbuchstaben zu verwenden, zB: Isabell Ewing hat mir heute 2x versucht zu erklären, warum meine Passwörter zu 100% Müll sind!
Das ergibt: IEhmh2xvze,wmPz100%Ms!
Ein sehr starkes Passwort, trotzdem relativ leicht zu merken.
Eine viel bequemere und bessere Möglichkeit sind allerdings sog. Passwortmanager bzw. -safes.
Diese bieten folgende Vorteile:
- Kostenlos
- Klein und meist ohne Installation (womit man sie bequem auf einem USB-Stick mitführen kann)
- Generieren automatisch sichere Passwörter mit einstellbarem Zeichenvorrat (manche Software hat Probleme mit Sonderzeichen meist ^ °²³~|)
- Zahllose Passwörter bequem in einer Datei gespeichert, welche auch noch auf der Festplatte verschlüsselt ist, so dass man sich bei Diebstahl oder Verlust der Datei keine Sorgen machen muss, solange man ein sicheres Masterpasswort verwendet hat.
- Passwörter können bei manchen Programmen automatisch in die Applikation eingefügt werden, immer jedoch einfach mittels Klick in die Zwischenablage und von dort via Strg-V in die Anwendung.
Empfehlen kann ich zB das kostenlose PIN´s, das ihr unter anderem hier runterladen könnt.
Es erfüllt alle oben genannten Voraussetzungen und ist schnell und einfach zu bedienen.
Passwörter sollte man nie auf die leichte Schulter nehmen, zumal es wirklich einfach und unaufwendig ist, diese zu sichern.
[...] ist die Benutzung sicherer Passwörter und der korrekte Umgang mit diesen. Dazu findest du hier weitere nützliche Tipps. Geschrieben am Freitag, 10. Oktober 2008 Abgelegt unter Allgemein, Tipps & Tricks. [...]
Wie sicher ist mein Passwort?…
Ob und wie sicher ein Passwort ist, sollte regelmäßig überdacht werden. In Unternehmen gibt es auch häufig Regeln, dass Passwörter regelmäßig geändert werden müssen, aus min. 8 Zeichen bestehen müssen, unterschiedlich zu den letzten 12 Versio…
[...] Verwaltung von Passwörtern ist heut schon ein graus. Naja wie auch immer, ich bin auf einen sehr schönen Artikel von Isabell Ewing gestoßen zum Thema was sind sichere Passwörter: Es ist immer wieder [...]
Damit hab’ ich so meine Probleme: Ich bin sicher nicht der einzige, dem so ein Passwort dann mit der Mittleren Maustaste “rausrutscht”…
Ist speziell unter Linux evtl. ein Problem, da gibts ja das STRG+C/V clipboard und das mit der Mittleren Maustaste. Ich hab schon des öfteren allerlei lustige Textteile in die Adresszeile vom Firefox kopiert.
Also: Besondere Vorsicht damit !
so log, simon
Stimmt Simon, das ist eine Gefahr. Ich weiß nicht, wie das von Isabell empfohlene PINs damit umgeht.
Ich verwende keepass, das einen ähnlichen Leistungsumfang wie PINs hat. Dort ist es so, dass das Passwort nach einigen Sekunden automatisch wieder aus der Zwischenablage gelöscht wird – schon allein um zu verhindern, dass man bei Verlassen des Rechners das Passwort in der Zwischenablage “vergisst”. Ich vermute deshalb stark, dass PINs eine ähnliche Funktion hat.
Sollte ein Passwort-Safe eine solche nützliche Löschfunktion nicht haben, einfach nach dem Ausführen der Passwort-Übernahme einen beliebigen anderen String in die Zwischenablage übernehmen; dadurch wird das Passwort dort überschrieben. Gerade unter Linux geht dies sehr einfach, da bereits beim Markieren in die Zwischenablage übernommen wird.
Hallo zusammen,
ich finde den Artikel von Isabell schon informativ. Aber auf diesem Standpunkt war ich auch schon.
Wie kann ich mir meine “vielen” Passwörter sicher merken? Nun, wenn ich mir so einen schönen Satz ausdenke und den bei jeder Community verwende, in der ich mich anmelde und dann auch noch regelmäßig diese ändern soll, dann bin ich einmal im Monat zwei Stunden damit beschäftigt, an allen Sites und Mailkonten das Passwort zu ändern.
Mir geht es dabei nicht um die Zeit zu investieren, aber wenn man sich nicht alle Sites aufschreibt, dann vergisst man mal ein Forum, das man schon etwas länger nicht mehr besucht hat.
Ok, jetzt kann man sagen, gut dann ist das so und wenn man die anderen PWs regelmäßig ändert, dann ist es auch egal, wenn dieses PW geknackt wird…
Aber vielleicht will man sich auch mal wieder da einloggen und dann kennt man das PW nicht mehr….
So bin ich auch zu der Überlegung gekommen, mit einem Passwortsafe auf einem USB Stick.
Aber wenn der weg ist, dann sind alle Daten offen…
Zudem gibt es ja auch PINs, die auf dem Stick nicht unbedingt hilfreich sind (Kreditkarten).
Und dann kommt noch hinzu, dass man in der Firma für jedes System ein eigenes PW benötigt, hier auch wieder in jeweils unabhängigen Intervallen das PW ändern muss.
Insofern alles nicht sehr glücklich.
Harald
Genau aus diesem Dilemma soll ja ein Passwortsafe helfen. Du kannst alle Passwörter bequem zB auf einen USB-Stick speichern. Ich habe auch hunderte von Passwörtern; ich kenne sie aber selber nicht, könnte ich mir auch nie merken.
Solltest du tatsächlich den USB Stick verlieren, ist das auch kein Problem, da die Passwörter verschlüsselt gespeichert werden, somit also nicht auslesbar sind.
Du musst dir nur noch ein einziges Passwort merken, nämlich das für den Safe.
Und die Daten sind nur ein paar KB groß, so dass man sie bequem auf jedem Medium ablegen kann.
Liebe Grüße
Für die Zugänge zu “Offline”-Diensten wie Geldautomaten o.ä. gibts andere Tricks, z.B.
1. Passwort-Safes gibt es auch für mobile Geräte wie Handys oder PDAs.
2. Ein guter Trick ist auch, PINs im Adressbuch bei den Telefonnummern zu notieren – als Teil einer echten Telefonnummer (eine passende aus dem Telefonbuch suchen)
Ebenfalls eine gute Notiermethode: PINs mathematisch verschlüsseln, z.B. von der PIN die Schuhgröße, die Hausnummer o.ä. abziehen und das Ergebnis notieren.
Leicht zu rekonstruieren – aber im Falle des Abhandenkommens für den “Finder” wertlos.
Grüße Carina
Ich hab das Gefühl, bei Linden hat man Deinen Beitrag gelesen:
Is your password safe?
[...] und insbesondere als SL-Nutzer alle betrifft. Zum Thema Passwortsicherheit haben wir ja bereits hier etwas geschrieben. Auch was zu tun ist, wenn der eigene Account gehackt wurde bzw. was Phishing ist, haben wir [...]
[...] Wie man sichere Passwörter einfach verwendet und verwaltet habe ich seinerzeit mal hier beschrieben. [...]