Sesam öffne dich – Passwortsicherheit

Aus aktuellem Anlass (eigl. wird der alle paar Monate mal aktuell) – GMX .de wird scheinbar mit Bruteforcemethoden angegriffen um Email-Accounts zu “stehlen” möchte ich auch hier ein paar Worte über sichere Passwörter verlieren.

Grundsätzlich gibt es zwei Quellen um an diese Art von Passwörtern heranzukommen:

  1. Angriff auf die Datenbank des Anbieters um dann die Passwortdatei in Ruhe knacken zu können. Hier ist man darauf angewiesen, dass der Anbieter entsprechende Maßnahmen getroffen hat, um dem Vorzubeugen – wie z.B. das verschlüsseln der PW oder das “Salzen” von Hashtags. Interessierte können sich hier schlau machen, wie das so funktioniert. Wird nicht verschlüsselt und die Daten gelangen in die falschen Hände, ist die Wahl des Passworts ziemlich irrelevant. Geht der Anbieter verantwortungsvoll mit euren Daten um (erkundigt euch, jede Woche werden wieder schwach gesicherte Passwörter geklaut), wird es für die Angreifer zumindest schwieriger (aufwändiger).
  2. Ein Bruteforce-Angriff direkt beim Login, bei dem einfach anhand von Wortlisten alle möglichen Kombinationen ausprobiert werden, hier kann jeder mithelfen sein Passwort so sicher wie möglich zu machen. Einiges hat man bestimmt schon gehört, jedoch ich wiederhole und fasse im Folgenden ein paar Tipps  zusammen.

Betrachtet man einige statistische Auswertungen von gestohlenen Daten, wird schnell klar dass die Wahl des richtigen Passworts einen vor ernsthafte Probleme stellen kann. Ein Großteil der Anwender benutzt Kombinationen, die selbst ohne Software leicht zu erraten wären/sind. Erschreckende Beispiele von sehr häufig benutzen PW finden sich bspw. in Auswertungen wie auf

http://blog.spiderlabs.com/2012/06/eharmony-password-dump-analysis.html

http://xato.net/passwords/more-top-worst-passwords/

 

Wie schafft man sich ein wenig Sicherheit?

Ein gutes Passwort

  • besteht aus Groß- + Kleinbuchstaben + Zahlen + Sonderzeichen
    In beliebiger Reihenfolge, wobei die Sonderzeichen/Zahlen nicht nur am Anfang oder am Ende stehen sollten.
  • sollte in keinem Wörterbuch zu finden sein. Auch zusammengesetze Wörter wie ErdbeerDrucker, selbst durch ein paar Sonderzeichen getrennt, sind nicht sicher! Ja, selbst Fremdwörter und -sprachen sind kein “Heilmittel”. Es empfiehlt sich sogar auf 1337/leetspeak zu verzichten. Vornamen sind sogar besonders unsicher.
  • sollte mindestens 8 Zeichen lang sein (je länger, desto besser)
  • ist keine Kombination nebeneinander liegender Tasten
    (z.B. QWERTZ)
  • sollte nicht Benutzername sein ;)

Worauf wäre sonst noch zu achten?

  • Umlaute sind im Ausland eher schwierig zu benutzen (andere Tastaturen!)
  • Wer überall das gleiche Passwort verwendet, öffnet einem glücklichen Finder gleich überall Tür und Tor
  • Wörtern und/oder Zahlen, die einen persönlichen Bezug erfreuen vor allem das soziale Umfeld
  • Standardpasswörter am besten immer gleich verändern – insbesondere bei Routern… da gibt’s Unmengen erschreckender Berichte
  • Generell, das Passwort ab und an mal verändern

Wie kommt man zu einem guten Passwort? Nicht so schwer!

Man kann sich von diversen Software-Passwortgeneratoren eines erzeugen lassen, dass zumeist diesen Ansprüchen genügt, wird es sich dann aber in den meisten Fällen kaum merken können. Daher ist die klassische Variante, trotz all dieser Fallen ein gutes Passwort zu basteln, immer noch die beste. Eine Eselsbrücke :)

Man überlegt sich einfach einen (mehr oder minder originellen) Satz. Wer hätte je den in der Kindheit erlernten Spruch “Nie Ohne Seife Waschen” für die Himmelsrichtungen vergessen? Nach dem gleichen Prinzip kann man hier auch vorgehen.

z.B.: “Morgens früh um 7, kocht sie Kraut mit Rüben!” wird zu

Mfu7,ksKmR!

“Wer Netzsurfer liest, dessen Passwort ist um 99% sicherer” wird zu

WNl,dPiu99%s

Diese erstbesten Beispiele, die mir gerade einfielen, wären bereits recht starke Passwörter, und dennoch leicht zu merken.

Prüfen lassen sich diese z.B. im Netz unter

https://passwortcheck.datenschutz.ch/check.php

Dort wird sogar eine kleine Teststatistik ausgegeben.

Simulation eines Hybrid-Passwortcrackers:
Anzahl benötigte Versuche: 1’081’690’488’023’327’405’091
Ungefähre Zeit für Suche: 34’300’180 Jahr(e) (bei 1’000’000 Tests/Sekunde)

Allerdings würde ich persönlich kein Passwort nutzen, dass ich bereits im Web in einem solchen Dienst getestet habe :)

 

3 Kommentare

  1. Ziemlich guter Beitrag. Das ist so ne Sache über die man sich ständig Gedanken machen sollte. Ziemlich wichtig für jeden, und trotzdem sehen das nicht alle so.
    Immerhin gehts um die Sicherheit unserer Daten im Netz.

    Hier noch eine lustige Grafik zur Passwort Stärke: http://xkcd.com/936/

  2. starker Beitrag, werde mir ab jetzt auch ein oder zwei gute Sätzchen zurecht legen…

    danke für die Tipps

  3. Auf jeden Fall wird es Zeit sich mal über die gewählten Passwörter nachzudenken… :-) Wirklich sehr guter Artikel!