Tipps und Tücken bei der Passwortwahl

Tipps und Tücken bei der Passwortwahl

Um Passwörter kommt man im Internet nicht herum. Sie sind nötig, weil man mit ihnen beweisen kann, dass man ist, wer man behauptet zu sein. Das ist wichtig im Privatgebrauch und umso wichtiger, wenn damit der Zugang zu Firmeninfrastruktur geschützt wird. Aber was ist ein starkes Passwort? Und welche Fehler kann man bei der Passwortwahl machen?

Der folgende Text bietet eine kurze Übersicht zur Funktionsweise von Passwörtern, wie man sie brechen kann, und welche Tipps man beim Setzen von Passwörtern befolgen sollte.

Was sind Passwörter und wie werden sie gespeichert?

Ein Passwort ist abstrakt gesprochen ein Stück Information, das nur du kennst. Ein Geheimnis, sozusagen. Da sonst niemand im Besitz dieser Information ist, kannst du durch zeigen dieser Information beweisen, dass du berechtigt bist, dich zum Beispiel in einen E-Mail-Account einzuloggen. Weil nur du dein Passwort kennen solltest, wird dieses von Diensteanbietern wie Google oder Facebook aber nicht direkt gespeichert. Stattdessen wird ein sogenannter ‚Hash‘ aus deinem Passwort generiert. Ein Hash eine Zeichenkette die man als eine Art Fingerabdruck deines Passworts verstehen kann. Zwei verschiedene Passwörter haben zwei verschiedene Hashes. Und es ist sehr schwierig, von einem Hash auf das ihm zugrundeliegende Passwort zu kommen.

Wenn du dich nun auf einer Seite einloggst, so tippst du dein Passwort in ein Feld auf dieser Webseite. Die Webseite nimmt dieses Passwort und generiert den Hash daraus. Dieser wird dann mit dem von der Webseite gespeicherten Hash verglichen. Stimmen die Hashes überein, so wirst du eingeloggt, andernfalls erhältst du eine Fehlermeldung.

Dass nicht Passwörter selbst, sondern nur ihre Hashes gespeichert werden, ist aus zwei Gründen wichtig. Einerseits möchtest du nicht, dass eine Webseite dein Passwort kennt. Und andererseits passiert es immer wieder, dass Webseiten gehackt werden. Oft landen dann alle von der Webseite gespeicherten Hashes gemeinsam mit der zugehörigen E-Mail-Adresse irgendwo im Internet, was bedeutet, dass der ‚Fingerabdruck‘ deines Passwortes öffentlich verfügbar ist.

Ob eines deiner Konten in der Vergangenheit von einem Hack (zB bei Dropbox, Tumblr, o.ä.) betroffen war, kannst du beispielsweise über den Dienst www.haveibeenpwned.com herausfinden.

Wie bricht man ein Passwort?

Nun wurde oben erwähnt, dass es schwierig ist, von einem Hash auf das zugrundeliegende Passwort zu kommen. Diese Aussage stimmt nur halb: Wenn ein Passwort stark ist, so ist es tatsächlich äusserst schwierig. Wenn du aber ein schwaches Passwort benutzst, kann es unter Umständen in Sekunden, Stunden oder Tagen gebrochen werden. Hierfür gibt es verschiedene Strategien.

Die meist erfolgsversprechendste Strategie ist eine sogenannte Wörterbuch-Attacke. Dabei hat ein Angreifer zwei Listen zur Hand: eine Liste mit Wörtern und eine Liste mit Regeln. Die Wortliste ist sehr umfangreich und enthält schnell einmal einige Millionen Wörter. Die Regelliste ist deutlich kürzer. Bei der Attacke wird nun jedes Wort auf der Wörterliste betrachtet und der Reihe nach jede Regel aus der Regelliste darauf angewendet. Eine Regel könnte zum Beispiel sein, dass dem Wort noch die Zeichenfolge ‚123‘ angehängt wird. Aus den so entstehenden ‚Passwörtern‘ wird dann jeweils der Hash generiert und mit dem zu knackenden Hash verglichen. Stimmen die Hashes überein, haben wir das Passwort gefunden.

Diese Attacke ist effektiv, weil Menschen oft einfache Passwörter wählen, die aus nur einem Wort bestehen, das geringfügig verändert wurde (z.B. indem am Ende ‚123‘ angehängt wird). Ein Computer kann je nach Art des Hashes einige Milliarden mögliche Passwörter pro Sekunde durchprobieren. Wenn dein Passwort also aus einem Wort besteht, das in der Wörterliste enthalten ist und mit Regeln verändert wurde, die in der Regelliste stehen, dann ist es schlimmstenfalls innert einer Stunde geknackt.

Neben der Wörterbuch-Attacke gibt es noch diverse andere Angriffsmethoden. Speziell erwähnen möchten wir hier noch die ‚Brute Force‘-Attacke, also der Angriff auf Ihr Passwort mit ‚roher Gewalt‘. Hierbei werden einfach alle überhaupt möglichen Zeichenkombinationen ausprobiert. Man tut dies mit aufsteigender Passwortlänge. Zuerst werden also alle möglichen einstelligen Passwörter durchprobiert. Das wären z.B. einfach alle möglichen Gross- und Kleinbuchstaben, alle Zahlen und alle Sonderzeichen. Dann probiert man alle zweistelligen Passwörter; man überprüft also jede mögliche Kombination aus zwei Gross-/Kleinbuchstaben, Zahlen, oder Sonderzeichen. Dann alle dreistelligen Passwörter, alle Vierstelligen, alle Fünstelligen, und so weiter. Da die Anzahl möglicher Kombinationen mit jeder zusätzlichen Stelle sehr stark steigt, sind solche Attacken nur für kurze Passwörter effizient durchführbar.

Was ist ein schwaches Passwort?

Ein schwaches Passwort ist also eines, das anfällig für eine der verschiedenen Angriffsarten ist. Die primitivste Angriffsart – die oben gar nicht erwähnt wurde – ist das simple Erraten von Passwörtern. Dies wird einfach, wenn dein Passwort auf persönlichen Informationen (Geburtsdatum, Name des Hundes, o.ä.) basiert. Die zweite grosse Gefahr besteht, wenn dein Passwort zu kurz und damit anfällig für eine ‚Brute-Force-Attacke‘ ist. 8 Zeichen sollten für jedes Passwort als Minimum betrachtet werden. Das dritte Problem ist die oben erwähnte Anfälligkeit für Wörterbuch-Attacken. Ein Passwort wie ‚Bücherg3stell.518‘ mag auf den ersten Blick stark wirken; schliesslich erfüllt es die gängige Anforderung, aus Grossbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen zu bestehen und hat eine passable Länge. Da die Grundlage des Passworts (‚Büchergestell‘) aber schnell in einer Wörterliste landet und die Veränderungen simpel genug für eine Regelliste sind, kann ein solches Passwort nicht als stark betrachtet werden. Auch Passwörter die aus dem (z.B.) schweizerdeutschen Dialekt stammen, sind nicht gegen Wörterbuch-Attacken gefeit. Sie schützen allerhöchstens vor ungezielten Einbruchversuchen.

Was ist ein starkes Passwort?

Die stärkstmögliche Art von Passwörtern sind komplett zufallsgenerierte Zeichenfolgen. Also nichts, was deinem Kopf entspringt, sondern etwas, das zum Beispiel ausgewürfelt wird. Da sich solche Zeichenfolgen schlecht bis gar nicht merken lassen, ist für eine solche Passwortstrategie meist ein Passwort-Manager nötig. Das ist ein Programm, das deine Passwörter in verschlüsselter Form für dich speichert. Für diese Verschlüsselung musst du ein ‚Masterpasswort‘ wählen, das du beim Öffnen des Passwort-Managers eingibst. Dann kannst du die gespeicherten, zufallsgenerierten Passwörter via copy/paste in die gewünschte Webseite einfügen.

Wenn du keinen Passwort-Manager verwendest, solltest du deine Passwörter möglichst stark wählen. Ein starkes Passwort ist eines, das mindestens folgende Kriterien erfüllt:

  • Es basiert nicht auf persönlichen Daten (Arbeitsort, Lieblingsfarbe, Hochzeitstag, …)
  • Es ist mindestens 8 Zeichen lang; je mehr desto besser
  • Es verwendet möglichst viele verschiedene Arten von Zeichen (Grossbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen)
  • Es basiert nicht auf einem Satz, der irgendwo in einer Liste stehen könnte

Diese Kriterien zu erfüllen mag im ersten Moment herausfordernd erscheinen. Wie im vierten Kriterium angedeutet, ist es hilfreich, vom ‚Password‘ zur ‚Passphrase‘ (‚Passsatz‘) umzudenken: Überlege dir statt einem Wort einen Satz, den du dann unter Benutzung möglichst verschiedener Zeichen in ein Passwort giesst. Es empfiehlt sich, einen möglichst unsinnigen Satz zu wählen, da solche mit sehr grosser Wahrscheinlichkeit in keiner Wortliste auftauchen werden. ‚UNGETÜMEhosen&13uhrenschwimmenimwald‘ ist beispielsweise ein Passwort, das in keiner Form in einer Liste stehen wird, alle Arten von Zeichen verwendet und sehr starke 36 Zeichen lang ist. Durch die Unsinnigkeit des Satzes ist es ausserdem relativ leicht zu merken.

Die deutsche Sprache hat die Tendenz, bei dieser Strategie relativ lange Passwörter hervorzubringen. Wem das zu viel Tipparbeit ist, kann auch Sätze mit kürzeren Wörtern bilden. Wichtig ist einzig, dass die Anzahl verschiedener Begriffe dabei nicht zu klein wird. Als Faustregel lässt sich wohl sagen, dass ein Satz aus ca. fünf Wörtern ausreichend sein sollte.

Um möglichst viele verschiedene Zeichenarten zu verwenden, kann man (wie im obigen Beispiel ersichtlich) einzelne Wörter durch Zahlen oder Sonderzeichen ersetzen. Alternativ können solche auch zufällig in die Passphrase eingestreut werden. Hierbei ist anzumerken, dass Einstreuungen an den Wortgrenzen (z.B. ‚UNGETÜME123hosen‘) deutlich weniger Sicherheitsgewinn verschaffen, als tatsächlich beliebig hinzugefügte Zeichen (z.B. ‚UNGE123TÜMEhosen‘). Dies ist der Fall, weil das Einstreuen an den Wortgrenzen ein relativ häufiges Vorgehen ist, das man einfach durchprobieren kann; sehr viele Wortgrenzen gibt es ja nie. Muss man hingegen das Einfügen eines Zeichens an jeder beliebigen Stelle durchprobieren, so ergeben sich sofort sehr viel mehr Möglichkeiten, weshalb solche Einstreuungen einem Angreifer deutlich mehr Aufwand abverlangen.

Fazit

Die soeben beschriebene Passwortstrategie ist resistent gegenüber allen oben erwähnten Angriffsarten. Sie ist resistent bezüglich dem einfachen Erraten, weil keine persönlichen oder die Organisation betreffenden Informationen enthalten sind. Sie ist resistent gegenüber Brute-Force-Angriffen, weil viele verschiedene Zeichenarten und eine gewisse Mindestlänge verwendet werden, wodurch die Menge der auszuprobierenden Kombinationen sehr gross wird. Die Strategie ist schliesslich resistent gegenüber Wörterbuch-Angriffen, weil ein Satz gewählt wird, der nirgends in einer Liste steht und somit nicht anhand einer solchen geknackt werden kann.

Mit einem solchen Passwort stehen die Chancen gut, dass ein Angreifer der im Besitz eines Hashes (Fingerabdrucks) deines Passwortes ist, dieses nicht innert nützlicher Frist (z.B. einem Menschenleben) herausfinden wird. Dies natürlich nur unter dem Vorbehalt der sich stetig entwickelnden Technik.

Von |2018-11-28T10:28:51+00:0021. November 2018|Uncategorized|0 Kommentare

Hinterlassen Sie einen Kommentar