Ein Passwort zu erstellen, ist eine häufige Anforderung im Alltag. Dabei handelt es sich um: Von der Sicherheit der verwendeten Passwörter hängen mittlerweile mehr Dinge unseres persönlichen Lebens ab, als man denkt. Diese Seite ist als Übersicht für Einsteiger gedacht, deswegen lässt sie bewusst an einigen Stellen Details weg oder stellt sie stark vereinfacht dar.

Tipps und Tricks

• nie für zwei Dienste/Logins das gleiche Passwort verwenden
• keine Wörter verwenden, die in Wörterbüchern auftauchen (also auch keine Namen von Verwandten oder Haustieren)
• mindestens 8 Zeichen:
  • Buchstaben in Groß- und Kleinschreibung,
  • Zahlen und
  • Sonderzeichen gemischt
• keine auf der Tastatur „geschickt“ liegenden „zufälligen“ Zeichenfolgen (auf Tastaturen mit deutschem Layout bspw.: qwertz, hu8ji9ko0 usw.)
• beim Eingeben von Passwörtern Sitznachbarn freundlich auffordern, wegzusehen
• an öffentlichen Plätzen Überwachungskameras nicht vergessen
• Passwortgeneratoren verwenden
  • die „Zufälligkeit“ des verwendeten Generators entscheidet über die Sicherheit
  • im Zweifelsfall mehrere Passwörter generieren und kombinieren oder mit eigenen Einfällen ergänzen
• häufig (öffentlich) eingegebene Passwörter sollten regelmäßig geändert werden

Häufiges Ändern

Es wird oft empfohlen, Mitarbeiter zu zwingen, ihre Passwörter regelmäßig zu ändern. Eine mögliche Folge solch einer Praxis sind aber Passwörter wie „geheim2012“, „geheim2013“ usw.

Wer sollte mein Passwort wissen wollen?

Auch wenn Kriminelle oder Neugierige es nicht immer auf einen selbst abgesehen haben, können E-Mail-Konten oder Accounts bei Sozialen Netzwerken für ihre Zwecke interessant sein. Denkbar ist ein über einen fremden Account verschleierter Angriff auf einen Dritten.

• Identitätsdiebstahl
• Verschleierung von Finanztransaktionen oder verschiedenen Angriffen auf Dritte

So geht es Passwörtern ans Leder

Brute Force („mit roher Gewalt“)

Als sogenannte „Brute Force-Attacke“ bezeichnet man es, wenn schlicht alle in Frage kommenden Passwörter ausprobiert werden. In „Hackerfilmen“ sind dann oft persönliche Kenntnisse über das Opfer gefragt, also beispielsweise der Kosename der Tochter.

In Wirklichkeit – und wenn keine speziellen Kenntnisse zur Verfügung stehen – wird eben ausprobiert, was nahe liegt. Wörterbücher mit mehreren hunderttausend Einträgen sind mit schnellen Desktop-Rechnern innerhalb von Sekunden durchprobiert. In den vergangenen Jahren wurden immer wieder Passwörter bei beliebten Onlinediensten gestohlen, Listen der beliebtesten Passwörter finden sich zuhauf in der Berichterstattung der Medien.

Beispielrechnungen zur Dauer von Brute Force-Angriffen

Wie schnell die Berechnung von 6-Stelligen Passwörtern mit einem schnellen Heim-PC vonstatten geht, hat das Magazin Chip in der Ausgabe 12/2010 beispielhaft überschlagen:

Im Vergleich dazu bieten Passwörter mit 7 Stellen schon einen wesentlich größeren Schutz:

Je nach den finanziellen Möglichkeiten des Angreifers lässt sich also jedes Passwortirgendwann knacken. Ob der Aufwand lohnt, liegt in seinem Ermessen.

Gegenmaßnahme: 3 Versuche

Nach wenigen (meist 3) Versuchen mit dem falschen Passwort wird der Account gesperrt. So wird versucht, Brute Force-Angriffe unmöglich zu machen.

Das selbe Prinzip findet sich auch bei EC- und Handy-SIM-Karten.

Hash-Kollisionen

Bei seriösen Betreibern werden die Passwörter der Nutzer nicht im Klartext gespeichert. Stattdessen wird mit Hilfe sogenannter „Hash“-Funktionen ein eindeutiger Wert berechnet. Versucht sich ein Benutzer mit seinem Passwort einzuloggen, wird dieses „gehasht“ und mit dem gespeicherten Hash verglichen. Stimmen beide überein, erhält er Zugang.

Von den Hash-Werten lässt sich nicht auf das Ursprungswort schließen. Mit entsprechender Zeit und Rechenkraft können aber mittels Brute Force viele Kombinationen durchprobiert werden, bis eine den gleichen Hash-Wert ergibt.

Wird eine Tabelle der gehashten Passwörter von einem Betreiber gestohlen, können Angreifer nun in aller Ruhe probieren, für die Hashes die entsprechenden Passwörter herauszufinden. Die gefundenen Passwörter werden dann gespeichert und häufig im Internet veröffentlicht, sodass künftige Angriffe die schon gefundenen Passwörter auslassen können.

Unter diesen Adressen gibt es weiterführende Informationen zum Thema:

• Verbraucher sicher online: Passwörter
• Uni Ulm: Passwörter
• BSI für Bürger: Passwörter

Passwortmanager

Nutzt einen Passwortmanager und legt für jeden Login ein neues Passwort an. Es gibt zwei Passwortmanager, die empfohlen wurden:

• One Password
• LastPass
• Keepass

(Danke an Sebastian Raible für diesen Text)