27. Februar 2015

Der Schlüssel für sichere Passwörter – Für jedermann

Jeder, der im entferntesten Sinne etwas mit Sicherheit zu tun hat, predigt von sicheren Passwörter. Doch wie zeichnet sich ein sicheres Passwort aus?

Ein Passwort ist ja schließlich etwas, was man sich auch leicht merken muss. Wenn man mal eben auf dem PC eines Freundes seine Mails checken möchte oder mal eben bei Facebook und Co. die Nachrichten prüfen möchte.

Kommt dir dieses Szenario bekannt vor? Erkennst du dich da sogar vielleicht wieder?

Wie fatal kann so etwas sein?

Spinnen wir mal diese Geschichte weiter. Du hast dich bei dem vermeidlichen Freund auf dem eigenen Facebook Profil eingeloggt und dann noch das Passwort im Browser gespeichert, weil du das sowieso immer machst.

Der Freund hat also vollen Zugriff auf dein Facebook Profil ohne etwas dafür getan zu haben. Das Passwort wird im Klartext in seinem Browser abgespeichert.

Irgendwann hast du ihm mal anvertraut, dass du überall das gleiche Passwort verwendest, weil du dir nicht so viele Passwörter merken kannst.

In diesem Fall, hat dein Freund nicht nur Zugriff auf Facebook, sondern quasi auf alle deine Konten im Internet. Sei es Google, GMX, Internet-Foren oder sonst wo und kann im schlimmsten Fall sogar dein Leben ruinieren.

Je nachdem welche kriminelle Energie der "Freund" (oder konkreter der Angreifer) besitzt kann es sogar bis zur staatsanwaltlichen Ermittlungen gegen dich kommen und dann ist Schluss mit lustig.

Finger weg von diesen Passwörtern

Bevor wir uns mit dem wichtigen Thema befassen, möchte ich einmal kurz ein paar Passwörter zeigen, die man auf gar keinen Fall verwenden sollte.

SlashData.com hat dazu eine Liste der "Schlechtesten Passwörter des Jahres 2014" veröffentlicht:

  1. 123456
  2. password
  3. 12345
  4. 12345678
  5. qwerty
  6. 123456789
  7. 1234
  8. baseball
  9. dragon
  10. football
  11. 1234567
  12. monkey
  13. letmein
  14. abc123
  15. 111111
  16. mustang
  17. access
  18. shadow
  19. master
  20. michael
  21. superman
  22. 696969
  23. 123123
  24. batman
  25. trustno1

Irgendwie vermisse ich das gute alte Passwort "0000" in dieser Liste 😃

Solche Passwörter sind in Sekundenbruchteilen mit einem halbwegs guten Bruteforce geknackt.

Diese Liste zeigt uns also wie ein Passwort nicht aussehen soll!

Ein einfacher Weg zum sicheren Passwort

Wenn ich mal wieder ein Passwort brauche und keine Lust habe mir etwas auszudenken, dann kann man den guten, alten Passwort Generator verwenden. Da ich mir meine die Passwörter sowieso nicht merke, sondern in ein Tresor einschließe, macht es mir auch nichts weiter aus, wenn die Passwörter etwas unleserlich erscheinen.

Die Voreinstellungen lässt meist so wie die sind. Lediglich die Passwortlänge verändert man dann so auf 20 bis 32, je nachdem wofür ich es benötige.

Das Ergebnis sieht meist wie folgt aus:

P,}jk)-]\kb*9zkT35P%
Py[zcpeE([]p{Wx&xs7d
C9.,*hR~(;9pqNWt3TXB
xDP_%?%j3Tnspkqgt68;
XZf(_U;2_Q3x]Dw6bh)8

Diese Passwörter haben meistens alles was ein sicheres Passwort ausmacht.

  • Groß- und Kleinschreibung
  • Zahlen
  • Sonderzeichen
  • Keine Leerzeichen
  • Keine Wörter, die man im Wörterbuch findet
  • Keine Aufeinanderfolgenden Zahlen und Buchstaben
  • Großen Abstand der Tasten auf der Tastatur
  • Gute Passwortlänge

3 Tipps für leicht zu merkende Passwörter

Zwar bietet der oben genannte Passwort Generator die Option "Einfach zu merken", diese meine ich jedoch in diesem Abschnitt nicht. Den diese Passwörter, solltest du nur vereinzelnd und mit bedacht verwenden. Zum Beispiel wenn du gerade in einer Virtuellen Maschine etwas ausprobierst und die Sicherheit gerade an zweiter Stelle steht.

Gemeint sind schon kryptische Passwörter, die man sich aber einfach merken kann, da man zu diesen Passwörtern eine Art Bezug hat.

Das Passwort, wie es im Buche steht.

Schnappe dir eins deiner Lieblingsbücher, schlag eine zufällige Seite auf, Mach die Augen zu und tippe mit deinem Finger auf eine zufällige Stelle im Buch.

Den Satz, auf dem dein Finger gelandet ist, bildet die Grundlage deines neuen Passwortes (vorausgesetzt er ist nicht allzu kurz 😃 )

Als Beispiel, nehme ich hier ein Satz aus "Herr der Ringe".

"Als Herr Bilbo Beutlin von Beutelsend ankündigte, dass er seinen bevorstehenden einundelfzigsten Geburtstag mit einem rauschenden Fest zu feiern gedenke, begann in Hibbinbgen ein erregtes Getuschel."Erster Teil, Buch 2, Erstes Kapitel, Seite 38.

Nimm dann von jedem Wort den ersten Buchstaben und schreibt das hintereinander weg. Die Interpunktion kannst du entweder beibehalten oder auch lassen, je nach Geschmack und Satzlänge. In diesem Fall ist es mir lang genug, sodass ich die Kommata einfach weglasse. Das Resultat sieht wie folgt aus:

ahbbVbADESBEgMERfZFFBIhEEG

So hast du ein sicheres Passwort geschaffen und hast noch ein Gewissen Bezug darauf und musst dir im Zweifel nur noch die Seite merken.

Dieses Passwort ist auch etwas einfacher zu merken als ein komplett generiertes Passwort, oder?

Ein Passwort für alle Fälle

Das Herr Der Ringe Passwort ist schon mal ganz gut. Jedoch ist es wieder suboptimal, wenn du dich bei mehreren Portalen anmeldest und überall das gleiche Passwort verwendet.

Perfekt wäre es ja, wenn du bei jedes Portal ein anderes Passwort verwenden würdest.

Kleine Abhilfe schafft dir nächste Methode.

Nimm zum Beispiel den Namen deiner Lieblingsband oder deines Lieblingsschauspielers und kodiere es mit der "Nerdschrift" Leetspeak.

Ich wähle mal zur Veranschaulichung die Band "Die Toten Hosen" und kodiere es wie folgt:

d!eT0t3n#o5en

Dieses Passwort möchte ich jetzt bei 5 verschiedenen Portalen einsetzen:

  • Google » gl » d!egT0t3nl#o5en
  • Facebook » fb » d!efT0t3nb#o5en
  • Twitter » tw » d!etT0t3nw#o5en
  • GMX » em » d!eeT0t3nm#o5en
  • XING » xi » d!exT0t3ni#o5en

Ich denke das Prinzip sollte klar sein 😃 So musst du nur noch den Namen merken und die Stellen, an denen du die Zeichen eingesetzt hast.

Und nein, das nicht nicht meine Passwörter 😃

Die Macht der Masse

Diese Methode basiert auf dem "Password Strength Comic" von xkcd. Die Stärke solcher Passwörter, ist deren Länge.

Der Unterschied zu den oben genannten Passwörtern ist, dass Wörter nicht abgekürzt oder kodiert, sondern komplett verwendet werden.

Was bringt dir schlussendlich das beste Passwort, wenn du es dir nicht merken kannst oder nicht mehr weißt, ob du das "O" (oh) jetzt durch eine "0" (null) ersetzt hast oder nicht.

Nehmen wir mal als Beispiel fünf gewöhnliche Wörter: Sonntags geschlossen wegen Bodennebel.

Lässt man alle Leerzeichen weg und schreibt alles klein, so ergibt sich das folgende Passwort:

sonntagsgeschlossenwegenbodennebel

Doch wie sicher ist dieses Passwort?

Ich behaupte: dies ist das sicherste Passwort der drei gezeigten Passwörter.

Kleine Anmerkung dazu: Die Wörter selbst, dürfen zwar im Wörterbuch stehen, jedoch in keinem Zusammenhang zueinander stehen!

Wie du die Stärke eines Passworts berechnest?

Jetzt wird es ein wenig mathematisch. Dies ist jedoch wichtig, um die Sicherheit der jeweiligen Passwörter zu berechnen und die "Stärke" der einzelnen Passwörter zu beweisen.

In der Computerwelt wird ja bekanntlich alles durch "nullen" und "einsen" angegeben. So bezeichnet man die Stärke eines Passworts auch mit "x bit" und redet dann von der Entropie.

Ganz grob wird es wie folgt berechnet: Anzahl der möglichen Zeichen hoch Passwortlänge.

Mit einer Basis von z.B. 26 kann man relativ wenig etwas anfangen. Also muss das erst einmal in die Basis 2 umgewandelt werden. Dies geschieht mit der folgenden Formel (sieht komplizierter aus als sie ist):

H = log2N2 = L×log2N = L×log N ⁄ log 2

H Bezeichnet die Entropie

N sind die Anzahl der Möglichen Zeichen

L ist die Länge des Passworts

Ich denke mal, ich brauche nicht für jedes einzelne Passwort jeden Rechenschritt aufschreiben. Die Formel anzuwenden solltest du ja können und wenn nicht, das wichtigste ist ja sowieso das Ergebnis 😃

Passwort 1: Herr der Ringe

Dieses Passwort besteht aus Groß- und Kleinbuchstaben. Somit ist N=52 und L=26 daraus ergibt sich ein H von 148 bit.

Passwort 2: Die Toten Hosen

Es besteht aus allen druckbaren ASCII Zeichen. Somit ist N=95 und L=15. Nach der Formel ist H=98 bit.

Passwort 3: Bodennebel

Besteht zwar nur aus Kleinbuchstaben, ist aber ziemlich lang: N=26, L=34, H=160 bit.

Doch was bedeutet das jetzt im Klartext?

Laut einem Artikel von securityledger.com gibt es zur Zeit ein "Super Computer" in Sachen Bruteforce. Dieses Monstrum, kann 348 Milliarden Passwörter pro Sekunde testen.

Zum Vergleich: Eine Aktuelle Grafikkarte schafft gerade einmal 1,2 Milliarden. Was jedoch trotzdem eine beachtliche Leistung ist.

OK, 348 Milliarden sind ungefähr 2 hoch 38 (bzw. 38,340296535 aber mit 38 rechnet es sich einfacher 😃).

Exemplarisch mit den "Hosen":

x = 298/238 = 260s ≈ 36×109 Jahre ≈ 36 Milliarden Jahre

Zum Vergleich: Das Passwort mit der 160 bit Entropie würde ungefähr 117 Quadriliaren Jahre (das ist eine Zahl mit 27 Nullen) benötigen. Das dauert erst mal 😃

Ein "normaler" Angreifer mit einer aktuellen Grafikkarte würde für das knacken deiner Passwörter ungefähr folgende Zeiten benötigen:

  • 40 bit Entropie ~ 15 Minuten
  • 50 bit Entropie ~ 10 Tage
  • 60 bit Entropie ~ 30 Jahre
  • 70 bit Entropie ~ 31 Tausend Jahre
  • 80 bit Entropie ~ 32 Millionen Jahre

Du merkst also, je komplexer das Passwort, desto länger (viel länger) wird für das Bruteforcing benötigt.

Wie du deine Passwörter sicher speichern kannst

Zum Glück gibt es kleine Hilfen, wie du Passwörter sicher bunkern kannst. So verwende ich bereits seit Jahren das kostenlose und unscheinbare Tool Namens KeePass. Es funktioniert sowohl unter Linux als auch unter Windows.

Wenn du eine Passwortdatenbank anlegen möchtest, fragt dich KeePass ob du eine Schlüsseldatei erstellen möchtest. Diese Option ist in jedem Fall zu aktivieren. Als Speicherort wählst du z.B. ein USB-Stick. Das Master-Passwort solltest du dir leicht merken, schnell eintippen können und auch nicht wieder vergessen dürfen, da du es sehr häufig verwenden wirst 😃

Bitte achte auch hier auf die Sicherheit deines Passworts. Gelangt jemand an die Datenbank und findet das Passwort heraus, so ist er im Besitz aller deiner Passwörter.

Der USB-Stick mit der Schlüsseldatei kannst du zusätzlich verschlüsseln und mit einem Passwort schützen lassen.

KeePass generiert jedes mal, wenn du ein neuen Eintrag erstellt, ein Passwort, mit einer Entropie von mindestens 90 bit. Da man diese Passwörter nicht merken muss, eignen sich diese hervorragend für den produktiven Einsatz.

Was du mit Passwörtern nie machen solltest

Unter keinen Umständen, sollst du die Passwörter auf einem Stück Papier aufschreiben und es dann auch noch neben deinem Computer liegen lassen.

Deine Passwörter darf niemand wissen. Noch nicht einmal dein Lebenspartner oder der beste Freund.

Versende deine Passwörter niemals per Email oder lege die Passwörter in einer Cloud ab. Die Anbieter können (und werden) auf deine Daten zugreifen und deine Passwörter herausfinden.

Es darf auch keine passwort.txt auf deinem Desktop liegen (so etwas soll es geben, habe ich mal gesehen gehört)

Auch wenn du sichere Passwörter verwendest, kann durch diverse Sicherheitslücken in Systemen, durch menschliches Versagen oder durch "höhere Gewalt" Passwörter an Dritte gelangen.

Aus diesem Grund, ist es Ratsam einmal im Jahr alle Passwörter auszutauschen. Dafür eignet sich die Zeit zwischen Weihnachten und Neujahr ganz gut.

Lesenswert

Über das Thema Passwortsicherheit lässt sich Tage- und Wochenlang philosophieren, deswegen möchte ich im Anschluss auf ein paar Seiten verlinken, die genau dieses Thema aufgreifen:

Die Arbeit/Präsentation von Eik List von der Uni Weimar greift noch einmal wichtige Themen auf und geht teilweise näher darauf ein als ich es in diesem Post gemacht habe:
Passwortsicherheit von Eik List

Ein kurzer Check des Passworts reicht manchmal schon aus um festzustellen wie sicher dein Passwort ist:
https://review.datenschutz.ch/passwortcheck/check.php

Klaus Schmeh, schreibt noch einmal detailierter über die "25 beliebtesten Passwörter" des Jahres 2014 und zeigt, warum diese unter keinen umständen verwendet werden dürfen:
Das beliebteste Passwort des Jahres 2014: "123456"

Tobias Scheible beschäftigt sich mit der Frage, wie sicher ein 10 stelliges Passwort in Kombination von Klein- und Großbuchstaben mit Zahlen und Sonderzeichen wirklich ist:
Anleitung - Sichere Passwörter

Der Gastartikel von Oliver Sperke auf PHP Gansta klärt einige Mythen von Passwörtern. Oliver schreibt z.B. dass man vor einer Wörterbuchattacke keine Angst haben muss und dass selbst hochkomplizierte Passwörter schneller geknackt werden können, als einem lieb ist. Kein Wunder, du kommst ja auch meistens beim ersten Vesuch ins System.
Passwortmythen oder "Was Du schon immer über Passwörter wusstest, aber nie zu sagen wagtest"

Mark Burnett von xato fast noch einmal das xkcd comic auf und belegt ebenfalls, dass dieses Passwort sehr sicher ist (englischsprachig):
Analyzing the XKCD Passphrase Comic

Fazit

Es gibt viele Möglichkeiten, wie man sich sichere Passwörter erstellen kann und auch Hilfen zur Verwaltung der Passwörter.

Dabei benötigt man kein hochgradig kompliziertes Passwort, ein langes reicht schon in den meisten Fällen aus. Es gibt jedoch nicht die Methode um sich Passwörter zu erstellen. Du kannst die Methoden auch kombinieren um für noch mehr Sicherheit zu sorgen.

Jedoch sollte man auch den Nutzen abwägen. Je mehr man die Passwörter verschlüsselt, desto schwieriger wird es sein, sich diese zu merken.

Wenn dir das gefallen hat, wirst du diese Artikel lieben!

Die neuesten Artikel, die du gelesen haben musst!

teilen

Noch mehr privux?

Verpasse keine spannende Beiträge & Tutorials mehr!

Jetzt kostenlosen Newsletter abonieren!

Jetzt newsletter abonieren