Suche

Passwörter

Passwörter werden heutzutage immer wichtiger. Sie sichern nicht nur mehr einen Zugang zu eher harmlosen bereichen, sondern mit Ihnen berechtigt man sich zu Prüfungen und deren Ergebnissen, zu den eigenen E-Mails, dem Bankkonto-Stand und vielerlei Bereichen mehr.

Das dies nicht nur ein kleines Ärgernis sein könnte, wenn jemand intimere Details von einem selbst sehen könnte, möchte ich an dieser Stelle deutlich hervorheben: Wenn anderen Person fälschlicherweise zu einer Prüfung angemeldet wird und daher nicht besteht, ist das u.U. sehr schwerwiegend für den Studienverlauf. Wenn man die vollständige Kontrolle über die eigene E-Mail-Adresse verliert, so können andere über diese Adresse Einkäufe tätigen. Ist das Passwort des Bankkontos bekannt, so lassen sich auch Abhebungen z.B. via anderer Systeme ermöglichen usw.
D.h. die Zuverlässigkeit und Sicherheit des eigenen Passwortes ist heute sehr viel dringlicher geworden!

Daher muss man sich folgendes fragen:

  • Was vermeide ich bei meinem Passwort?
  • Wie finde ich ein sicheres Passwort?
  • Benutze ich das selbe Passwort überall?
  • Wie kann jemand anderes dennoch mein Passwort herausfinden?

Denn so gehen Personen i.d.R. vor, wenn diese unbedingt ein Passwort ausspähen wollen: Sie besorgen sich alle verfügbaren persönlichen Informationen über die Zielperson, und probieren diese Wörter als Passwörter aus. Das sind in der Regel nicht mehr als 100. Danach werden einfache Wortlisten verwendet - denn diese beinhalten lediglich 30 bis 60.000 Wörter.
Wer nun irrigerweise annimmt, daß sei schon eine enorme Anzahl von Möglichkeiten, sollte sich deutlich machen, daß in der Regel diese Kombinationen nicht eingetippt werden, sondern mit Hilfe von anderen Computern der Reihe nach ausprobiert werden. Und das geht sehr viel schneller als mit den Fingern einzutippen. Siehe unten stehende Zahlen

Was vermeide ich bei meinem Passwort?

Das eigene Passwort ist besonders leicht heraus zu finden, wenn folgende als Passwort verwendet wird:

  • Der eigene Name, oder der naher Verwandter oder Bekannter, Freunde oder Haustiere
  • Geburtsdatum
  • Das eigene Lieblingstier, Lieblingsblume etc.
  • Ein allgemeines Wort, daß in einem Wörterbuch steht.

Ebenso muss unbedingt darauf geachtet werden, wie und wo ich mein Passwort verwende:

  • Bei Webseiten muss die Übertragung des eingegebenen Passwortes immer verschlüsselt erfolgen!
  • Ich gebe niemals einer anderen Person mein persönliches Passwort. Denn zum einen weiß ich nicht, wie sorgsam diese Person damit umgeht, selbst wenn diese mir vertrauenswürdig erscheint. Und zum anderen benötigt - zum Beispiel ein Administrator - mein eigenes Passwort nicht, um bestimmte Vorgänge anzustossen.
  • Ebenso bin ich vorsichtig, an welchem Computer ich mein Passwort verwende. Denn ich kann hier auch nicht sicher sein, ob die Person, die den Computer pflegt, diesen auch vor Viren etc. gut geschützt hat.

Zudem sollten Sie unbedingt Sonderzeichen (wie beispielsweise das Paragrapenzeichen) und Umlaute (äöü) vermeiden, da diese von Computersystem zu Computersystem unterschiedlich interpretiert werden und es zu Schwierigkeiten kommen kann.
Bitte benutzen Sie nur folgende Zeichen:

  • Buchstaben (a-z A-Z)
  • Zahlen
  • Bestimmte Sonderzeichen wie ... " $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] _ { }

Wie finde ich ein sicheres Passwort?

Kaum jemand kann sich ohne Mühen ein sicheres Passwort wie "Hi3ssT!" merken ohne dieses aufzuschreiben. Aber gerade solche Zettel gehen oft verloren, oder kleben an dem Monitor.

Eine Möglichkeit besteht allerdings darin, daß man sich einfach einen Satz (am besten der zweite) - aus einem eher unbekannten Gedicht oder Text - merkt. Und dann nur den jeweils ersten Buchstaben jedes Wortes nimmt. Wenn nun dann die Satzzeichen mitbenutzt werden und evtl. noch bestimmte Buchstaben durch Zahlen ersetzt werden, dann entsteht ein erstaunlich leicht zu merkendes, aber für andere sehr sinnfreies Passwort ... wie hier in dem Beispiel "Hi3ssT!" - oder ist schon bekannt, was dahinter steckt?

Das Beispiel ist einfach: Der Satz lautet "Heute ist ein schöner sonniger Tag!". Daraus wird mit den ersten Buchstaben und dem Sonderzeichen ein "Hiesst!". Dass werden noch alle "e" durch eine "3" ersetzt, und fertig ist das sehr sichere Passwort.

Doch erst durch die Länge wird ein Passwort auch wirklich sicher. Allgemein wird davon ausgegangen, daß eine minimale Zeichenlänge von 6 bis 8 Zeichen als sicher gilt. Sofern natürlich auch Groß- und Kleinbuchstaben, sowie Zahlen und Sonderzeichen verwendet werden.

Statt Passwort ein Passwortsatz (Passphrase)

Ein weiterer sicherer Ansatz ist es, statt eines (Pass-)Wortes einen Passwort-Satz zu nehmen. Das Ziel ist es auch hier, die Länge des "Passwortes" deutlich zu erhöhen. Und reiht man Wörter (am besten solche die nicht normalerweise zusammen passen) aneinander, so ist das systematische Ausprobieren von Buchstaben/Zahlenkombinationen für den Angreifer auch sehr sehr zeitaufwändig.

So besteht der Passwortsatz Apfel Tisch blau aus bereits 16 Zeichen! Und eine solche unsinnige, aber sicher leichter zu merkende Wortkombination (anders als bei dem Passwort nUm!l7fd) steht sicher in keinem Wörterbuch der Welt.

Hierzu eine amüsante grafische Erläuterung in englischer Sprache: https://xkcd.com/936/

Wie oft ändere ich mein Passwort?

In manchen Institutionen wird ein monatlicher Wechsel des eigenen Passwortes vorgeschrieben. Angesichts solchen Wustes an immer neuen Passwörtern, reagieren viele Personen darauf so, daß diese nur immer zwischen zwei Passwörtern hin und her wechseln. Oder diese Passwörter sogar auf einen Zettel schreiben, was gerade kontraproduktiv ist.

Hier gilt es einen vernünftigen Kompromiss zwischen Häufigkeit und passablen Risiko zu finden. Für Passwörter die beispielsweise Atomraketen entsichern wäre eine sehr hohe Häufigkeit zwingend notwendig. Wird ein Passwort lediglich an einem kontrollierten Arbeitsplatz-PC zum Aufrufen der Urlaubspläne der Kollegen benutzt, so ist die Dringlichkeit eines Passwort-Wechsels deutlich sehr gering.

Bei dem meist eigenen persönlichen Passwort, z.B. für die eigene E-Mail-Adresse, schreibt selten jemand einen Wechsel des Passwortes vor. So kann (und muss) jede Person selbst abschätzen, wie hoch die Gefährdung wärem wenn das eigene Passwort herauskäme. Sinnvoll sind sicher dann Zeitabstände von einem halben bis einem Jahr.

Ein Passwort sollte allerdings sofort ändern, wenn ...

  • der Verdacht da ist, daß jemand anderes das Passwort benutzt hat oder kennen könnte.
  • man an einem fremden PC das Passwort benutzt hat, z.B. in einem Computer-Pool.
  • der eigene PC von einem Computer-Virus heimgesucht wurde.

Benutze ich das selbe Passwort überall?

Das ist eine schwere Abwägung zwischen Passwort-Wahnsinn und Gefährdung. Wenn ich mein Passwort überall verwende, dann vertraue ich darauf, daß die betreffenden Systeme mein Passwort sicher speichern (verschlüsselt), nicht weitergeben oder damit gar Unfug betreiben.

So ist es sicher nicht sinnvoll, daß gleiche Passwort, daß ich beim Online-Banking benutze auch für meine E-Mail-Adresse zu verwenden und für die mehr oder weniger zahlreichen Online-Shops bei denen ich auch überall ein Konto und damit ein Passwort habe. Denn wenn einer der Online-Shops Lücken aufweist (ob durch interne Mitarbeiter oder externe Hacker), dann hat jemand nicht nur meine E-Mail-Adresse und möglicherweise meine Bankdaten, sondern auch mein Passwort zu allem.

Aber für jeden Zugang ein eigenes Passwort zu benutzen, führt spätestens bei mehr als 7 Zugängen dazu, daß ich die Passwörter alle aufschreibe - was auch wieder nicht sicher ist. Also muss eine andere Idee greifen: Ein Passwort-Schema.

Ein Passwortschema ist beispielsweise eine für sich selbst leicht zu merkende Kombination aus einem Grund-Passwort und der Situation angemessenen "Zugabe" an Zeichen. Die Schwierigkeit eines Passwortschemas liegt darin, daß es folgenden Kriterien entsprechen muss:

  • Das resultierende Passwort sollte sicher sein (nach den oben stehenden Kriterien).
  • Keiner darf anhand eines Passwortes (oder weniger) herausfinden, wie das Schema aussieht.
  • Das Schema ist leicht zu merken, damit es schnell reproduziert werden kann.

Bei einem Passwort daß "Hi3sst!-Googlemail" lautet, ist das Schema sehr deutlich zu sehen. Einem Passwort namens "Hgim3sst!" hingegen sieht niemand auf den ersten Blick das Schema an. Und selbst wenn dann noch das Passwort "Hwid3esst!" bekannt wäre, so würde es schon einige Zeit benötigen um daraus das nächste Passwort zu erraten.
Bei diesem Schema habe ich einfach die ersten 2-3 Buchstaben des Anbieters benutzt und diese jeweils an die 2., 4. usw. Stelle eingefügt. So waren es beim ersten Beispiel "GoogleMail" die Buchstaben "gm" und beim zweiten Beispiel "web.de" die Buchstaben "wde".

Andere Ideen beständen darin, daß nicht der Name des Anbieters, sondern nur dessen IP-Adresse oder die eigene Konto-Adresse dort verwendet werden. Ob nun die Buchstaben auch gleich bleiben, oder einfach nochmal verschoben werden (wie bei der Verschlüsselung die einst angeblich schon Cäsar verwendete) ist dem Geschmack überlassen.

Ein Passwortschema ist also ein Versuch, möglichst sich zahlreiche und gute, schwer-erratbare Passwörter zu merken. Es verhindert jedoch nicht den Datendiebstahl oder Datenmissbrauch, wenn jemand ein Passwort in die Hände bekommen hat. Es kann lediglich dafür sorgen, daß die anderen Daten immer noch sicher bleiben, obwohl jemand ein Passwort bekommen hat - sofern das Schema gut gewählt wurde.

Dennoch verhindert es auch nicht, daß jemand - wenn die Person viele Passwörter in die Hand bekommt - mit hoher Wahrscheinlichkeit das Schema erraten kann.

Wie kann jemand anderes dennoch mein Passwort herausfinden?

Hier ein paar der üblichen Probleme, wie es dazu kommen kann, daß jemand Unbefugtes mein Passwort erhält:

  • Erraten: Wenn man eine Person gutgenug kennt, und diese ein einfaches Passwort verwendet, ist es oft erschreckend einfach, daß Passwort zu erraten.
  • Social Hacking: Man gibt sich einfach als wichtige Person (meist am Telefon) aus, und erfragt einfach das Passwort. Mit der Frage beispielsweise: "Wir von der EDV können Ihre Daten nur jetzt retten, wenn Sie mir Ihr Passwort geben. Sonst ist alles weg!" kommt man erstaunlich weit, weil hier auch noch das Gefühl der Dringlichkeit geweckt wird, welches wenig Zeit zum Nachdenken übrig läßt.

Aus eigenem Anlass kann ich hier nur noch mal betonen, daß niemand, der eine solche administrative Aufgabe hat, irgend ein fremdes Passwort benötigt! Entweder hat die Administration dazu die Befugnis, oider aus ebenso wichtigen Gründen hat sie dies nicht.

  • E-Mails: Passwörter werden per E-Mail versendet und liegen dann offen im Postfach herum.
  • Klebezettel: Viele Passwörter werden auf kleinen Klebezetteln an den Monitor oder unter die Tastatur geklebt.
  • Phishing: Per E-Mail oder ähnlich lautenden Webadressen versuchen viele, die Webseite der betreffenden Institution - meist Banken - so ähnlich zu halten, damit das Opfer nicht erkennt, daß es sich nicht um die Originalseite der Institution handelt. Und dann kann die falsche Webseite sehr einfach an Zugangsnamen und Passwörter gelangen - inkl. gültiger PINs und TANs.
  • Spionageprogramme: Einfach zu erhalten sind Programme, die man auf dem eigenen PC installieren kann um alles, was z.B. mit der Tastatur eingegeben wird, aufzuzeichnen. Geht eine andere Person an den PC um "nur mal kurz die eigenen E-Mails abzurufen" hat man schnell das Passwort der Person. Leider passiert dies nicht nur unter "Bekannten" sondern auch oft in Beziehungen, wenn dort die Eifersucht zur Sucht wird ...
  • Viren: Zahlreiche Viren dienen nicht nur zur Spionage von Daten auf dem PC, dem Ausspähen von E-Mail-Adressen und dem anschließenden Versenden von Spam darüber, des Angriffes oder Sabotage von anderen PCs sondern auch zum Ausspähen von Passwörtern.
  • Datenmissbrauch: Wenn der betreffende Online-Shop, die Bank bzw. die Institution bei der ich mein spezielles Passwort eingeben muss die Daten nicht genug gegenüber äußeren und inneren Angriffen schützt, gelangt auch mein Passwort in fremde Hände.

Auch hier nochmal der Hinweis: Sollte einem selbst bekannt werden, oder der Verdacht bestehen, daß das eigene Passwort in andere Hände gelangt ist, sollte diese umgehend geändert werden. Wenn der eigene PC nicht als ausreichend sicher erscheint, so kann dies auch von einem anderen vertrauenswürdigen PC geschehen.

Statistik

Hier nun ein paar statistische Zahlen, die nahe legen, warum eine geeignete Passwortlänge und Anzahl der verwendetet Zeichen so wichtig ist.

Unterstellt wird, daß die angreifende Person (nur) 100 Versuche je Sekunde hat. Bitte beachten Sie, dass heutige Systeme durchaus mehr als 1.000 Versuche je Sekunde unternehmen können.

Die ersten beiden Zeilen stellen Wörterbücher bzw. Wortlisten dar. Bei den weiteren Zeilen wird unterstellt, daß es sich um eine sogenannte "Brue-Force-Attacke" handelt, also um ein Durchprobieren aller möglichen Kombinationen.

Grundlage Anzahl der Versuche Sekunden Minuten Stunden Tage Jahre
Personen-bezogene Worte 100 1 0 0 0 0
allgemeine Wortliste 60.000 600 10 0 0 0
6 Stellen Alphabet (26 Zeichen) 308.915.776 3.089.158 51.486 858 36 0
6 Stellen Groß/Kleinbuchstaben (52) 19.770.609.664 197.706.097 3.295.102 54.918 2.288 6
6 Stellen inkl. Zahl und Sonderzeichen (75) 177.978.515.625 1.779.785.156 29.663.086 494.385 20.599 56

Ausgehend von einer verfügbaren Anzahl von Zeichen von 75, ergibt sich folgendes Bild bei einer entsprechenden Passwortlänge (Zeichenlänge) durch eine Brute-Force-Attacke:

Länge Anzahl der Versuche Sekunden Minuten Stunden Tage Jahre
3 421.875 4.219 70 1 0 0
4 31.640.625 316.406 5.273 88 4 0
5 2.373.046.875 23.730.469 395.508 6.592 275 1
6 177.978.515.625 1.779.785.156 29.663.086 494.385 20.599 56
7 13.348.388.671.875 133.483.886.719 2.224.731.445 37.078.857 1.544.952 4.230
8 1.001.129.150.390.620 10.011.291.503.906 166.854.858.398 2.780.914.307 115.871.429 317.239
Fazit: Für ein Passwort, welches nicht einfach in einer Wortliste steht, ist der Angriff mittels einer Brute-Force-Methode ab einer Länge 7 Zeichen nicht mehr für den Angreifer praktikabel.

Bei den obigen Zahlen wird davon ausgegangen, dass ein Angreifer beliebig oft ein Passwort ausprobieren kann. Wer nun einwendet, dass viele Systeme bereits nach 3 Fehlversuchen weitere Versuche für eine deutliche Zeitspanne unterbinden, liegt allerdings nicht immer richtig. Leider gibt es immer noch zu viele Systeme, die keine Passwortsperre einleiten bei zu vielen Fehlversuchen. Und benutzt man immer nur ein identisches Passwort, ist damit alles andere auch offen.

Verweise

Ähnliche Hinweise kann man auch auf der Webseite von Heise.de als Artkel nachlesen: Passwort-Schutz für jeden

[zurück zum Index]

^