Ein Passwort zu erstellen, ist eine häufige Anforderung im Alltag. Im Seminar hat Guido eine app für die Erstellung von Passwörtern vorgestellt.
Dabei handelt es sich um:
Passwörter
Von der Sicherheit der verwendeten Passwörter hängen mittlerweile mehr Dinge unseres persönlichen Lebens ab, als man denkt.
Diese Seite ist als Übersicht für Einsteiger gedacht, deswegen lässt sie bewusst an einigen Stellen Details weg oder stellt sie stark vereinfacht dar.
Tipps und Tricks
-
nie für zwei Dienste/Logins das gleiche Passwort verwenden
-
keine Wörter verwenden, die in Wörterbüchern auftauchen (also auch keine Namen von Verwandten oder Haustieren)
-
mindestens 8 Zeichen:
-
Buchstaben in Groß- und Kleinschreibung,
-
Zahlen und
-
Sonderzeichen gemischt
-
- keine auf der Tastatur „geschickt“ liegenden „zufälligen“ Zeichenfolgen (auf Tastaturen mit deutschem Layout bspw.:
qwertz
,hu8ji9ko0
usw.) - beim Eingeben von Passwörtern Sitznachbarn freundlich auffordern, wegzusehen
- an öffentlichen Plätzen Überwachungskameras nicht vergessen
- Passwortgeneratoren verwenden
- die „Zufälligkeit“ des verwendeten Generators entscheidet über die Sicherheit
- im Zweifelsfall mehrere Passwörter generieren und kombinieren oder mit eigenen Einfällen ergänzen
- häufig (öffentlich) eingegebene Passwörter sollten regelmäßig geändert werden
Häufiges Ändern
Es wird oft empfohlen, Mitarbeiter zu zwingen, ihre Passwörter regelmäßig zu ändern. Eine mögliche Folge solch einer Praxis sind aber Passwörter wie „geheim2012“, „geheim2013“ usw.
Wer sollte mein Passwort wissen wollen?
Auch wenn Kriminelle oder Neugierige es nicht immer auf einen selbst abgesehen haben, können E-Mail-Konten oder Accounts bei Sozialen Netzwerken für ihre Zwecke interessant sein. Denkbar ist ein über einen fremden Account verschleierter Angriff auf einen Dritten.
- Identitätsdiebstahl
- Verschleierung von Finanztransaktionen oder verschiedenen Angriffen auf Dritte
So geht es Passwörtern ans Leder
Brute Force („mit roher Gewalt“)
Als sogenannte „Brute Force-Attacke“ bezeichnet man es, wenn schlicht alle in Frage kommenden Passwörter ausprobiert werden. In „Hackerfilmen“ sind dann oft persönliche Kenntnisse über das Opfer gefragt, also beispielsweise der Kosename der Tochter.
In Wirklichkeit – und wenn keine speziellen Kenntnisse zur Verfügung stehen – wird eben ausprobiert, was nahe liegt. Wörterbücher mit mehreren hunderttausend Einträgen sind mit schnellen Desktop-Rechnern innerhalb von Sekunden durchprobiert. In den vergangenen Jahren wurden immer wieder Passwörter bei beliebten Onlinediensten gestohlen, Listen der beliebtesten Passwörter finden sich zuhauf in der Berichterstattung der Medien.
Beispielrechnungen zur Dauer von Brute Force-Angriffen
Wie schnell die Berechnung von 6-Stelligen Passwörtern mit einem schnellen Heim-PC vonstatten geht, hat das Magazin Chip in der Ausgabe 12/2010 beispielhaft überschlagen:
6-stellig | Kombinationen | geknackt in |
---|---|---|
Ziffern | 1000000 | 9,7 Sekunden |
Kleinbuchstaben | 308915776 | 50 Minuten |
Klein- und Großbuchstaben | 19770609664 | 53 Stunden |
Alle ASCII-Zeichen | 6053450000000 | 2 Jahren |
Im Vergleich dazu bieten Passwörter mit 7 Stellen schon einen wesentlich größeren Schutz:
7-stellig | Kombinationen | geknackt in |
---|---|---|
Ziffern | 10000000 | 97 Sekunden |
Kleinbuchstaben | 8031810176 | 22 Stunden |
Klein- und Großbuchstaben | 1028070000000 | 116 Tagen |
Alle ASCII-Zeichen | 817215000000000 | 252 Jahren |
Je nach den finanziellen Möglichkeiten des Angreifers lässt sich also jedes Passwort irgendwann knacken. Ob der Aufwand lohnt, liegt in seinem Ermessen.
Gegenmaßnahme: 3 Versuche
Nach wenigen (meist 3) Versuchen mit dem falschen Passwort wird der Account gesperrt. So wird versucht, Brute Force-Angriffe unmöglich zu machen.
Das selbe Prinzip findet sich auch bei EC- und Handy-SIM-Karten.
Hash-Kollisionen
Bei seriösen Betreibern werden die Passwörter der Nutzer nicht im Klartext gespeichert. Stattdessen wird mit Hilfe sogenannter „Hash“-Funktionen ein eindeutiger Wert berechnet. Versucht sich ein Benutzer mit seinem Passwort einzuloggen, wird dieses „gehasht“ und mit dem gespeicherten Hash verglichen. Stimmen beide überein, erhält er Zugang.
Von den Hash-Werten lässt sich nicht auf das Ursprungswort schließen. Mit entsprechender Zeit und Rechenkraft können aber mittels Brute Force viele Kombinationen durchprobiert werden, bis eine den gleichen Hash-Wert ergibt.
Wird eine Tabelle der gehashten Passwörter von einem Betreiber gestohlen, können Angreifer nun in aller Ruhe probieren, für die Hashes die entsprechenden Passwörter herauszufinden. Die gefundenen Passwörter werden dann gespeichert und häufig im Internet veröffentlicht, sodass künftige Angriffe die schon gefundenen Passwörter auslassen können.
Unter diesen Adressen gibt es weiterführende Informationen zum Thema:
(Danke an Sebastian Raible für diesen Text)
Hallo zusammen
im Seminar gelang es mir – ausser andern – auch Eure Handy-Codes zu knacken. Die Liste findet Ihr hier:
SIM-Card PINs.xls
https://www.box.com/shared/unnkl5w0xc70k92lkgcu
Wenn Eure Nummer dabei ist, überlegt Euch, ob Ihr die ändern müsst.
Gerd
Danke für den Hinweis… 😉