Sicherheit von Passwörtern

Vorab: Länge > Kompliziertheit
Seid nicht leichtsinnig. Erstellt lange (Sonderzeichen sind unwichtig) Passwörter und nutzt gerne Passwortmanager um weiter einzigartige Passwörter zu erstellen. Ich benutze Lastpass in der Premium Version. Hier könnt ihr mehr vergleichen.

Um zu checken, ob dein Passwort schonmal gehackt wurde (und es in einer zugänglichen Datenbank auftaucht), kannst du es hier prüfen: https://haveibeenpwned.com/Passwords
Um die Anzahl an Versuche zu testen, die einfaches Brute-Force braucht um euch zu knacken: https://www.grc.com/haystack.htm

In diesem Post geh ich im Detail auf das Thema Passwortsicherheit ein. Speziell auf die Wahl der Passwörter und weniger auf den eigenen Umgang. Leider bekomme ich von viel zu vielen Leuten mit, dass sie kurze oder wiederholende Passwörter benutzen. Die Gründe: Sie können es sich nicht merken oder sind zu faul kreativ zu werden. Also machen sie es sich einfach und legen damit all ihre Systeme offen für mögliche Hacker. Bei Bedarf ist am Ende des Post eine Zusammenfassung.

Die bekannteste Attacke: Brute-Force

Bei Brute-Force handelt es sich um ein stumpfes abarbeiten von verschiedenen Passwortkombinationen. Die einfachste Methode von Brute Force arbeitet dabei von einem einfachen a sich immer weiter zu verschiedenen und mehreren Buchstaben wie 123 und fortlaufend. Schon 2016 konnten die schnellsten Computer 2,15 Milliarden Passwörter in nur einer Sekunde generieren. Auf https://haveibeenpwned.com/Passwords gibt es eine Datenbank von einer halben Milliarde Passwörter. Diese wäre in nur einer halben Sekunde durchgerechnet. Für alle Passwörter der Maximallänge 7 (8 Milliarden Möglichkeiten), bräuchte man gerade mal 4 Sekunden Berechnungszeit. Diese Werte und weitere könnt ihr auf http://www.1pw.de/brute-force.html nachlesen. Dass Computer dabei von Jahr zu Jahr schneller werden, ist dabei hoffentlich jedem bewusst.

Doch vor aktuelleren Brute-Force-Attacken seid ihr auch nicht sicher, wenn ihr ein euch wichtiges Wort nehmt und dieses einfach erweitert. Wenn Hacker an genau eure Daten wollen, würden sie ihren Algorithmus beispielsweise mit Daten über eure Person füllen. Eure Schwester heißt Franziska? Dann ist Franziska123 kein 12-Zeichen langes Passwort, sondern 4. Der Algorithmus wird Franziska als ein Zeichen sehen. Bekannte Spielereien wie das Ersetzen eines a durch eine 4 werden viele Algorithmen heutzutage auch berücksichtigen. Euch könnt ihr euch sicher sein, dass bekannte Passwortpassagen nur ein Zeichen in einigen Algorithmen sein werden. 123456 oder password sind also an sich nicht nur unsichere Passwörter, auch als Teilpasswort sind sie unsicher. Damit ist Franziska123456 statt 15-Zeichen nurnoch 2-Zeichen lang. Daher solltet ihr nie umkreativ bei Passwörtern werden.

Warum Sonderzeichen eine unnötige Idee sind

Bill Burr hat 2003 Sicherheitsrichtlinien veröffentlicht in Bezug auf Passwortsicherheit (Diese bereut er mittlerweile). Eine dieser war: Nutzt Sonderzeichen. Der Gedanke dahinter ist recht einfach und im ersten Moment schlau gedacht. Sonderzeichen erhöhen das genutzte Alphabet, wodurch bei Brute-Force mehr Zeichen erratet werden müssen und damit ist das Passwort schwieriger zu knacken. Damit kommt leider nur ein Problem dazu: Das Passwort wird schwieriger für den Nutzer zu merken. Das Passwort Tr0ubb4dor&3 z.B. sieht zwar kompliziert aus, aber bei der Zeichenlänge sind nur 268 Millionen Rateversuche nötig (Quelle). Ein Buchstabe mehr bei Entfernung der Sonderzeichen, benötig allerdings das 36-fache an Zeit zum knacken (getestet mit https://www.grc.com/haystack.htm). Spart euch also Sonderzeichen und habt dafür ein besser merkbares Passwort.

Einschränkungen führen zu Faulheit

Auch dank Bill werden häufig Passwörter eingeschränkt. Nutze mindestens ein Sonderzeichen, habe eine so große Länge oder fang nicht mit deinem eigenen Namen an. Viele solcher Einschränkungen nerven den User. Sie haben keine Lust kreativ zu werden und wiederholen ihre genutzten Passwörter. plötzlich wird überall eine Standardphrase genutzt, die man nurnoch auf die Einschränkungen anpasst. Besonders schlimm: Der Zwang dann das Passwort alle 90 Tage o.ä. ändern zu müssen. Die Lust sich alle 90 Tage was neues ausdenken zu müssen vergeht schnell, man gewöhnt sich noch mehr an seiner Standardphrase und passt diese nur weiter an. Es ist vielleicht ab und an wichtig, sein Passwort zu ändern, aber wirklich nötig ist es nur, sobald man einen Hackangriff vermutet oder erfährt, dass das eigene oder eines der eigenen Passworte gehackt wurde. Sein Passwort zu ändern ist zwar sinnvoll, aber nur, wenn man motiviert ist es richtig zu machen, ansonsten bewirkt es eher das Gegenteil des erhofften Ziels.

^{Quelle: XKCD}

Die besten Passwort sind zufällig und lang

Die obige Illustration beschreibt es perfekt. Es zeigt nochmal wie schnell ein kompliziert gedachtes Passwort gehackt werden kann. Dabei ist das Passwort unproduktiv, da es auch noch kompliziert ist sich zu merken. Sicherer vor Brute-Force Angriffen sind lange Passwörter. 4 zufällige Worte werden noch Jahrelange Entwicklung brauchen, bevor ein Computer auch nur annähernd die Rechenleistung zum knacken aufbringen kann. Doch Vorsicht: werdet auch hierbei nicht faul. Weiter oben hatte ich das Beispiel Franziska erwähnt. Wenn eure Schwester so heißt, werden es Hacker als ein Zeichen behandeln. Genauso werden Hacker auch wahrscheinliche Worte zuerst berechnen, um die obige Methode zu knacken. Ihr seid auf einer Gaming-Plattform? Beim knacken des Passwortes werden zuerst sämtliche Gaming-Begriffe durchgeraten. So auch auf sämtlichen anderen Plattformen. Um auch mit dieser Methode wirklich sicher zu sein, benutzt man bestenfalls keine eigenen Worte, sondern ein Wortgenerator und generiert so häufig Worte, bis 4 merkbare dabei waren. Doch nun zur besten Lösung:

Der Passwort-Manager als Allround-Lösung

Das Prinzip klingt gefährlich. Alle Passwörter liegen gemeinsam in einer Datenbank. Doch die Vorteile sind enorm und die Unsicherheit klingt nur gefährlich. Dank eines Passwortmanagers müsst ihr euch nicht für hunderte Seiten neue Passwörter ausdenken, wodurch ihr in Faulheit geratet. Dank der Passwort-Generierung bleibt jedes Passwort individuell und dabei lang genug um vor Brute-Force geschützt zu sein. Auch hier kann man sich häufig aussprechbare Passwörter generieren, falls man sie doch nochmal außerhalb verwenden will. Bei aktuellen Passwortmanagern wie 1password sind alle Passwörter sehr gut verschlüsselt. Wenn jemand durch diese kommt, kommt er durch eigentlich alle bekannten Systeme und kann sich auch so die Passwörter von euch von den meisten Plattformen knacken. Sich nurnoch ein Passwort merken zu müssen, bietet Gewissheit und man ist motiviert ein nicht zu einfaches Passwort zu nutzen.

Mein MasterPasswort sind übrigens keine 4 Worte, sondern nach der Satzmethodik gebildet (Immer den Anfangsbuchstaben nutzen). Ich habe einen sehr langen Satz, weshalb es den Worten on der Länge her gleich kommt, ich es mir merken kann und mich sicher fühle, da ich definitiv nicht in statistisch ausgewählte Worte bei Algorithmen fallen kann.

Der Letzte Schrei: 2-Faktor Authentifizierung

Wenn im letzten Schritt der Passwortmanager versagt, bzw. jemand euer Passwort für eine Plattform knackt, weil die Plattform ein Sicherheitsleck hatte, bieten immer mehr Webseiten die 2-Faktor Authentifizierung an. Dabei handelt es sich um ein System, bei dem ihr beim Versuch eines einloggens eine SMS mit einem Code erhaltet, den ihr auch zum einloggen benötigt (oder email, per app generierten code etc.). Mit dieser Technologie könnt ihr Seiten, in denen zu persönliche oder wichtige Daten wie Bankverbindungen liegen noch mit einem weiteren Schritt sichern. Dies ist einfach und bietet eine enorme Sichherheitssteigerung, da dadurch beispielsweise auch euer Handy/netz geknackt werden muss.

Zusammenfassung

4 oder mehr ZUFÄLLIGE Worte aneinander zu reihen in kleinen Buchstaben geschrieben lässt sich als Passwort besser merken und ist sicherer als ein komisches 12-Zeichen-Passwort wie Tr0ubb4dor&3. Es ist aber wichtig, dass die Worte zufällig gewählt sind, damit man sie nicht mit statistischen Verfahren erraten kann. Zur sehr guten Unterstützung ist es nicht schlimm, sondern empfehlenswert Passwortmanager zu nutzen. Wer dann noch mehr Sicherheit benötigt kann auf den meisten Plattformen die 2-Faktor Authentifizierung nutzen.

Ich hoffe aus diesem Artikel konntet ihr etwas zum Thema Passwortsicherheit mitnehmen und ihr werdet in Zukunft nicht mehr passwort123 nutzen, um euch irgendwo zu registrieren. Ich bin mir sicher jeder hat schonmal einen Passworthack bei sich oder Bekannten erlebt. Passt auf!

Weitere Quellen:

• Gehackte Passwörter: https://haveibeenpwned.com/Passwords
• Brute-Force: http://www.1pw.de/brute-force.html
  -Sonderzeichen und Einschränkungen: https://gizmodo.com/the-guy-who-invented-those-annoying-password-rules-now-1797643987#1502254353752
• https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/
• http://www.spiegel.de/netzwelt/web/passwortschutz-diese-kennwoerter-sollten-sie-lieber-vermeiden-a-1195147.html

Bilder mit CC0 Lizenz von Pixabay:

• https://pixabay.com/de/codierung-computer-hacker-hacken-1841550/
• https://pixabay.com/de/zeichen-spezial-grunge-fett-gelb-2635029/