Passwort

Knowhow

Sichere Passwörter

Eine der gängigsten Methoden, sich gegenüber Internetapplikationen (z.B. einem Internetshop), Computersystemen oder Netzwerken als berechtigter Benutzer zu authentifizieren, ist die Verwendung einer Kombination aus LoginID und Passwort. Obwohl es dazu inzwischen wesentlich sicherere Methoden wie zum Beispiel eine Zwei-Faktor-Authentifizierung gibt. Das Passwort schützt dabei persönliche, vertrauliche Daten. Damit es wirklich einen angemessenen Schutz bieten kann, müssen einige Regeln zur Passwortwahl berücksichtigt werden.

Was ist ein unsicheres Passwort?

Oft werden einfach nur Namen der Liebsten, der Familie oder der Haustiere als Passwort verwendet, auch Telefon- oder Kontonummer sowie Teile der E-Mail-Adresse, des Namens oder der LoginID sind beliebte Passwörter. Jedoch können gerade solche Passwörter besonders einfach erraten werden! Weitere unsichere Passwörter:

  • einfache Zeichenketten von der Tastatur, z.B.: qwert, asdf, wsxedc, etc.
  • einfache Ziffernfolgen: 12345, 98765, 123321, etc.
  • einfache Wörterbucheinträge: haus, hund, passwort
  • Geburtsjahre, Geburtstage

Wieso ist ein Passwort mit 6 Zeichen unsicher?

Um sich unberechtigt Zugang zu Benutzerkonten zu verschaffen, versuchen Angreifer Passwörter automatisiert zu ermitteln. Dies gelingt nicht so gut, wenn das Passwort nur online z.B. über eine Eingabemaske eingegeben werden kann. Hier läuft er Gefahr, dass seine vergeblichen Anmeldeversuche beim Austesten der Passwörter entdeckt werden. Außerdem werden die meisten Systeme mehrfache Fehlanmeldungen mit der Sperrung des Benutzerkontos quittieren. Es versteht sich von selbst, dass die Übertragung des Passworts zwischen Benutzerarbeitsplatz und Server nur dann sicher ist, wenn die Datenverbindung hinreichend stark verschlüsselt wird. Während dies bei HTTPS-Verbindungen oder SSH-Verbindungen der Fall ist, wird das Passwort z.B. bei Anmeldung an einen FTP-Server im Klartext übertragen.

Andere Anmeldeverfahren (Challenge-Response-Verfahren) verwenden schwache Verschlüsselungen (i.a. Hashverfahren), um das Passwort nicht im Klartext über die Datenverbindung schicken zu müssen. Dies ermöglicht einem Angreifer durch Ausspähen (Sniffen) des Datenverkehrs an einen Passwort-Hash zu gelangen und völlig unbemerkt eine Offline-Attacke zur Ermittlung des Passwortes zu starten.

Methoden der Offline-Attacken

  • Die einfachste und gängigste Methode, ein Passwort herauszufinden, ist der Wörterbuchangriff. Hierbei wird versucht, das Passwort durch Vergleich mit Einträgen gängiger Wörterbücher zu ermitteln. Oftmals enthalten diese Wörterbücher Passwörter aus gestohlenen Passwort-Datenbanken. Die von Angreifern verwendeten Werkzeuge berücksichtigen dabei bereits, dass oft Ziffern an Worte angefügt oder vorangestellt werden. Auch einfache Substitutionen wie i durch 1, A durch 4 oder O durch 0 werden stellen dem Angreifer kein allzu großes Hindernis dar.

  • Eine andere Methode ist der Brute-Force-Angriff, bei der alle Kombinationen von Zeichen eines vorgegebenen Zeichensatzes durchprobiert werden. Für ein Passwort, das aus 4 Zeichen besteht, bedeutet dies 14.776.336 mögliche Kombinationen, wenn Groß- und Kleinbuchstaben sowie die Ziffern 0-9 verwendet werden (62 Zeichen). Ein Mensch würde sehr viel Zeit benötigen, um alle möglichen Kombinationen auszuprobieren. Ein PC hingegen braucht dazu nur wenige Sekunden.

Wie sollte ein sicheres Passwort aussehen?

Die "richtige" Passwortlänge lässt sich nur sehr schwer angeben. Sie richtet sich sicherlich nach dem Schutzbedarf des Benutzerkontos aber auch danach, welche Art Attacken gegen das Passwort theoretisch möglich sind. Auch kann die Passwortlänge durch das System beschränkt sein.

Ein einigermaßen sicheres Passwort sollte mindestens 12 Zeichen lang sein. Die verwendeten Zeichen sind aus einem möglichst großen Zeichensatz zu wählen, das heißt das Passwort sollte Klein- und Großbuchstaben, Ziffern und Sonderzeichen enthalten. Wenn ein Dienst es zulässt, ist es am sichersten als Passwort eine sehr lange „Passphrase“ zu verwenden.

Ein relativ sicheres Passwort könnte sein: D3j(L1?z&R2. Allerdings nützt das beste und komplizierteste Passwort nichts, wenn Sie es sich nicht merken können!

Wie merke ich mir mein Passwort?

Es gibt zwei einfache Möglichkeiten, sichere Passwörter zu erstellen und sich diese leicht zu merken. Bauen Sie sich Eselsbrücken und formen Sie beispielsweise Sätze zu Passworten um: Diese Kombination ist ein relativ sicheres Passwort = DKi1rsPw. Auch ein Satz mit mehreren Wörtern und Satzzeichen, den Sie gerne mögen – beispielsweise eine Zeile aus einem Gedicht - kann verwendet werden. Aus "Wer reitet so spät durch Nacht und Wind? Es ist der Vater mit seinem Kind;" (Erlkönig – Johann Wolfgang von Goethe) wird dann = WrssdNuW?EidVmsK;.

Für unterschiedliche Dienste und Webseiten sollten unbedingt verschiedene Passwörter verwendet werden - eine Unterscheidung anhand eines einzelnen z.B. Anfangs- oder Endbuchstaben reicht nicht. Um sich viele komplexe Passwörter zu merken, bietet sich der Gebrauch eines Passwort-Managers an. Der Markt reicht von komfortablen Lösungen, die Passwörter im Browser automatisch ausfüllen und im Idealfall für unterschiedliche Betriebssysteme und Geräte verfügbar sind, bis zu sicheren und kostenfreien OpenSource-Lösungen. Bei allen Lösungen ist es nur noch notwendig, sich ein hinreichend starkes Master-Passwort für den Passwort-Safe auszudenken und zu behalten.

Passphrase statt Passwort

Die Sicherheit eines Passworts steigt mit seiner Länge und Komplexität. Leider sind auch die Passwörter, die man sich über oben genannten Methoden aus Merksätzen konstruiert, nicht leicht zu merken. Verwendet man verschiedene Methoden für die Passwörter unterschiedlicher Dienste, wird es unübersichtlich. Die Lösung starker aber einfach zu merkender Passwörter sind die sogenannten Passphrasen - die Verkettung mehrerer Wörter und/oder Abwandlung mancher Buchstaben durch ähnliche Ziffern.

Die (für den Nutzer sinnvolle) Aneinanderreihung von Wörtern angereichert mit Leerzeichen, Interpunktion und Groß-/Kleinschreibung erschwert eine erfolgreiche Passwort-Attacke erheblich. Zur Erstellung der eigenen Passphrase sollte man kreativ sein und keinesfalls ganze bekannte oder unbekannte Sätze "abschreiben".

Passwort-Tipps

  • Verwenden Sie niemals gleiche Passwörter für lokale Benutzerkonten und Online-Konten. Allgemein empfiehlt es sich, für jede Anwendung ein anderes Passwort zu vergeben. Wird das Passwort einer Anwendung durch einen Angreifer ermittelt, bleibt dennoch der Zugriff auf eine andere Anwendung weiterhin verwehrt.
  • Nutzen Sie nur Dienste, die über eine stark verschlüsselte Verbindung angeboten werden.
  • Kleben Sie ihr Passwort nicht auf den Monitor oder unter die Tastatur. Generell sollten Sie Ihr Passwort nicht aufschreiben.
  • Achten Sie darauf, dass Ihnen bei der Eingabe des Passwortes niemand zusieht.
  • Speichern Sie Ihr Passwort nicht auf dem Computer.
  • Teilen Sie Ihr Passwort keinem Dritten mit. Verschicken Sie Ihr Passwort nicht per E-Mail.
  • Wechseln Sie Ihr Passwort regelmäßig.

Was ist mit Passwörtern aus biometrischen Daten?

Authentifizierungsverfahren, die biometrische Daten abfragen, wie zum Beispiel der Fingerabdrucklesegerät am Notebook oder die Gesichts- und Spracherkennung am Smartphone scheinen auf den ersten Blick bombensicher zu sein und müssen vom Anwender nicht aufwendig gemerkt werden. Denn schließlich trägt man seinen einzigartigen Fingerabdruck immer bei sich und niemand sonst kann einem die Stimme nachmachen.

Tatsächlich gibt es jedoch bereits Angriffe auf die genannten Verfahren. Der Fingerabdruck, den wir eigentlich überall hinterlassen, sei es auf der Türklinke oder auf dem Kaffeebecher, erlaubt es Angreifern ein Abbild des Fingerabdrucks zu erstellen. Viele gängige Fingerabdrucklesegeräte sind nicht in der Lage zwischen echtem Finger und nachgemachtem Abdruck zu unterscheiden. Auch die Stimme kann einfach aufgenommen und abgespielt werden und der Gesichtserkenner lässt sich mit einem Foto täuschen. Es empfiehlt sich daher für Systeme mit Sicherheitsanforderungen solche Authentifizierungsverfahren nicht zu verwenden.

Weitere Informationen findet man unter:

Passwort-Änderung für die RUB-LoginID:

Das könnte Sie auch interessieren

Wie lange dauert es, bis mein Passwort geknackt ist? Ist das Passwort D2.....g.... wirklich sicherer ist als das Passwort PrXyc.N? Und wie wirken sich die Passwort-Länge und der Zeichensatz aus? Dies demonstriert (auch für das eigene Passwort) die Webseite How big is your haystack?.

Die Sicherheit eines Passworts ist maßgeblich davon abhängig, welche Angriffe darauf realistisch durchführbar sind und in welcher Zeit diese Angriffe zu einem Erfolg führen. Besteht lediglich die Möglichkeit einer Online-Attacke, so können diese Attacken durch die Begrenzung der Anzahl von Anmeldeversuchen oder durch CAPTCHAs (engl. Completely Automated Public Turing test to tell Computers and Humans Apart) stark erschwert werden. CAPTCHAs sind Challenge-Response-Test: Bei der Anmeldung muss der Benutzer eine zusätzliche Aufgabe (Challenge) lösen und das Ergebnis (Response) bei der Anmeldung durch LoginID und Passwort mit angeben. Die Aufgaben sind so gestellt, dass sie für einen Menschen leicht lösbar sind, sich aber nur schwer automatisieren lassen. Hingegen gibt es bei Offline-Angriffen solche Sicherungsmechanismen nicht und der Angriff kann völlig unbemerkt und ungebremst von statten gehen.

Hintergrundinformationen und verschiedene Angriffsmethoden lesen Sie hier.

Chip cardIm Vergleich zur Verwendung von LoginID und Passwort erhöht eine Zwei-Faktor-Authentifizierung die Sicherheit bei der Anmeldung erheblich. Die Zwei-Faktor-Authentifizierung kombiniert etwas, was man weiß, z.B. ein Passwort oder eine PIN (Persönliche Identifikationsnummer), mit etwas, was man hat, z.B. eine Chipkarte (Smartcard) oder ein Security-Token. Eine Authentifizierung dieser Art ist allgemein von Bankautomaten (Bankkarte, PIN) her bekannt.

Weitere Informationen zur Zwei-Faktor-Authentifizierung und der Chipkarte an der RUB finden Sie hier.

zur Startseite

Bildquellen: pixabay.com | geralt