Warnung vor Passwortdiebstahl und Hinweise zum Schutz
Unser schreibwütiger Azubi Mario hat sich heute mal das Thema Passwortsicherheit zur Brust genommen und einen sehr interessanten Off-Topic-Artikel verfasst. Nicht direkt seo-related, aber trotzdem wichtig zu wissen!
PayPal, LinkedIn, Yahoo, Last.fm – ihnen und vielen weiteren Online-Diensten ist eins gemeinsam: Hacker schafften es immer wieder Passwörter zu erbeuten, oftmals sogar im Klartext. Oft ist es ärgerlich, nicht selten sogar sehr gefährlich. Gerne wird das selbe Passwort für eine Vielzahl verschiedener Dienste und Anwendungen genutzt. Errät der Angreifer das Passwort bei einem Dienst, erhält er über den jeweiligen Benutzernamen (falls dieser auch bekannt ist) auch Zugang zu den anderen Diensten. Wir möchten Euch heute helfen, dieses Risiko zu minimieren und Eure Sicherheit zu erhöhen.
Generell gilt es, ein paar Fakten über Passwörter und deren Verwendung festzuhalten:
- Ein Dienst und die Verschlüsselung eines Dienstes sind immer nur so sicher, wie das schwächste Glied in der Kette, in den meisten Fällen das Passwort.
- Je größer die Zeichenzahl, desto sicherer
- Je größer der Zeichenvorrat, desto sicherer
- Je zufälliger, desto sicherer
Komplexität und Länge sind entscheidend
Ist die technische Implementierung in Ordnung, stellt das Passwort die einzige Schwachstelle dar, an der ein Einbruch ins entsprechende Nutzerkonto gelingen kann. Aus diesem Grund, sollte ein Passwort gewählt werden, das möglichst zufällig ist.
Angreifer nutzen häufig Wörterbücher – Listen in denen Millionen oder Milliarden verschiedene Worte und Kombinationen stehen. Diese werden auf das Konto angesetzt, bis alle Möglichkeiten genutzt sind oder das Passwort gefunden ist. Ein möglichst zufälliges Passwort, das keine Begriffe enthält, die existieren oder Sinn ergeben, kann hiergegen helfen. Ein Angreifer nutzt zusätzlich allerdings meist auch Programme und starke Rechner oder sogar ganze Rechnerfarmen, um per sogenanntem Brute Force das Passwort zu erraten. Dabei lässt er von einem Rechner oder Rechnerverbund alle möglichen Zeichenkombinationen durchprobieren. Entsprechend würde innerhalb dieses Rahmens auch jedes noch so komplizierte Passwort erraten werden. Deshalb muss das Passwort auch bestimmte Anforderungen an die Länge erfüllen, um den Aufwand in eine unverhältnismäßige Dimension zu heben. Ein gutes Passwort ist in der Regel mindestens 10 Zeichen lang.
Doch wie sieht ein gutes Passwort konkret aus? Was gibt es zu beachten?
Wie bereits erwähnt, sollten keine Begriffe vorkommen, die es tatsächlich gibt oder die Sinn ergeben. So fallen beispielsweise Orts- oder Personennamen, Geburtsdaten, Jahreszahlen, Telefonnummern usw. raus. Auch von Phantasiewörtern wie „Wasserwind“ oder „Lärmstille“ ist abzuraten, da moderne Knacksoftware auch vermeintliche unsinnige Kombinationen von Wörtern erraten kann. Deshalb bleiben nur Kombinationen von Zeichen, nach Möglichkeit immer bestehend aus großen und kleinen Buchstaben, Zahlen und Sonderzeichen. Ein Beispiel wäre etwa „A1bHfm1K.AgDs3.“, was die Abkürzung von „Auch ein (1) blindes Huhn findet mal ein (1) Korn.Aller guten Dinge sind 3.“ ist und durch seine Zufälligkeit und die Länge von 16 Zeichen ein durchaus brauchbares Passwort darstellt. Leicht zu merken ist es außerdem. Hinweis: Da dieses Passwort jedoch jetzt öffentlich ist, sollte es unter keinen Umständen genutzt werden 😉
Wer sowohl den Zeichenraum als auch die Zeichenanzahl des Passwortes kennt, kann errechnen, wie viele Kombinationen er maximal durchprobieren müsste, um das Passwort zu finden. Das ist bei der Erstellung aber ebenso hilfreich, da bereits ein einziges weiteres Zeichen den Aufwand vervielfacht. Die Berechnung erfolg mittels folgender Formel:
Zeichenvorrat ^ Zeichenanzahl = mögliche Kombinationen
Beispiel:
Bei einer Länge von 10 Stellen und einem Zeichenvorrat von 62 Zeichen [A-Z;a-z;0-9] ergibt sich bereits eine Anzahl von 8,39299366 × 10^17 möglichen Kombinationen. Bei einer Geschwindigkeit von 1 Milliarde Kombinationen pro Sekunde, benötigt ein Computer knapp 27 Jahre. In der Realität ist das Passwort statistisch allerdings bereits in etwa der halben Zeit erraten, sodass es bei angegebener Geschwindigkeit in etwa 13,5 Jahren errechnet wäre. Durch Hinzufügen eines einzigen weiteren Zeichens wird der Aufwand wieder vervielfacht. Es ist also ratsam, immer mindestens ein Zeichen mehr zu verwenden, als man für sicher halten würde.
Der Mann in der Mitte und Regenbogen-Tabellen
Auch wenn ein Passwort sicher gewählt ist, kann es trotzdem unter Umständen abgefangen oder erraten werden. Das Abfangen nennt man „Man-in-the-middle“-Attacke. Die Methode funktioniert nur, wenn der Übertragungsweg unverschlüsselt ist. Bei einer verschlüsselten Verbindung, etwa wie zu Googlemail, ist die Attacke wirkungslos. Nichtsdestotrotz sollte man ihre Gefahr nicht unterschätzen, denn es gibt noch einen Trick. Passwörter werden in der Regel nicht als Klartext übertragen und dann verglichen. Stattdessen wird über mathematische Berechnungen ein sogenannter „Hash“ erzeugt. Das ist eine Zeichen- und Ziffernfolge, deren Ursprung (das Passwort) man nur über sehr aufwändige Berechnungen aus dem Bereich der Primfaktorzerlegung erfahren kann. Das dauert allerdings sehr lange und so haben findige Hacker sogenannte „Rainbow-Tables“ entworfen. Darin stehen Listen von Passwörtern und den zugehörigen Hash-Werten. So muss nicht mehr zurückgerechnet, sondern nur noch der Hash verglichen werden.
Da es also immer wieder neue Methoden gibt, Passwörter zu knacken und regelmäßig Schwachstellen in Algorithmen und System gefunden werden, möchten wir noch ein paar Tipps und Hinweise geben, die den Alltag im Netz und am Rechner etwas sicherer machen:
- Für jeden Dienst ein unterschiedliches Passwort verwenden. So ist im schlimmsten Fall nur ein einziger Dienst betroffen.
- Passwörter grundsätzlich nicht mit anderen Personen teilen, wenn nicht unbedingt erforderlich.
- Wenn möglich eine verschlüsselte HTTPS-Verbindung benutzen.
- Browser, AntiViren-Software und Firewall regelmäßig aktualisieren und somit auf einem aktuellen Stand halten.
- Passwörter nicht im Browser speichern
- Passwörter nicht auf Post-Its notieren und/oder an den Bildschirm kleben
- Wenn möglich sollte ein Passwort regelmäßig geändert werden (Ein sicheres und kostenloses Programm zur Verwaltung und Generierung von Passwörtern ist KeePass.)
- Bei unzureichender Kenntnis über die Sicherheit eines Dienstes gilt: Keine sensiblen Informationen übertragen oder Daten vor dem Versenden verschlüsseln.
Die Zukunft des Passwortknackens
Wie die Zukunft des Passwortknackens aussieht, lässt sich noch nicht sehr gut absehen, doch aktuelle Tendenzen gehen dahin, Grafikkarten statt CPUs zu verwenden, da diese aufgrund ihrer Architektur für einige der Aufgaben beim Knacken sehr viel besser geeignet sind. Eine andere Hoffnung beim Entschlüsseln, allerdings auch beim Verschlüsseln sind Quantencomputer. Einfache Prototypen konnten bereits hergestellt werden, eignen sich jedoch noch nicht für den Alltag. Deswegen können zufällige Passwörter mit einer Länge von über 10 Zeichen und einem Zeichenvorrat von 62 oder mehr Zeichen noch als ausreichend sicher bezeichnet werden.
Wir hoffen, Euch hat dieser Artikel gefallen und geholfen, Eure Passwörter sicherer zu gestalten. Habt Ihr vielleicht selbst auch ein paar Tipps zum Umgang mit Passwörtern oder kennt Ihr eine Methode, sich leicht zu merkende und dennoch sichere Passwörter auszudenken? Dann immer her damit. Die anderen Leser sind sicher gespannt.
Gruß Mario