Die Seite Gaijin.at wird durch Werbung finanziert.
Durch das Zulassen von Werbung auf der Domain Gaijin.at helfen Sie mit, weiterhin kostenlos Programme, Scripts und Online-Tools anzubieten.

Passwortsicherheit

Inhalt

Passwortrichtlinien
Erstellen von Passwörtern
Aufbewahrung von Passwörtern
Speichern von Passwörtern in Anwendungen

Relevante Programme und Online-Tools

Passwortrichtlinien

Bei der Suche nach dem richtigen Passwort sind einem Angreifer keine Grenzen gesetzt. Die Palette reicht vom Ausprobieren beliebiger Wörter bis hin zum Ausspähen des Passwortes mit aufwendiger Abhörtechnik.

Computersicherheit fängt mit der Vergabe eines einigermaßen sicheren Passwortes an.

Passwörter sollen keinen persönlichen Bezug haben. Da die Angreifer oft Passwortlisten verwenden, sollten auch keine Wörter verwendet werden, die in einem Wörterbuch vorkommen oder allgemein gebräuchlich sind. Passwortlisten sind einfache Textdateien, in denen nacheinander Unmengen von Wörtern eingetragen sind, die dann von einem Programm automatisch durchprobiert werden. So können einfache Passwörter in kürzester Zeit ermittelt werden. Passwortlisten sind in praktisch allen Sprachen verfügbar und können von diversen Seiten im Internet herunter geladen werden.

Bevor man ein Passwort vergibt, sollte man sich mit den Passwortrichtlinien auf dem eigenen System vertraut machen. Auf Firmencomputern sind meistens schon gewisse Richtlinien vorgegeben, wie ein Passwort auszusehen hat. Sollte dies nicht der Fall sein, sollte man sich seine eigenen Passwortrichtlinien zusammenstellen. Die folgenden Richtlinien sollen nur als Beispiel dienen, je nach Sensibilität der Daten könnten auch strengere Richtlinien angebracht sein.

Das Passwort sollte...

  • spätestens nach 6 Monaten geändert werden
  • mindestens 8 Zeichen lang sein
  • nicht in einem Wörterbuch stehen
  • aus Buchstaben und Zahlen bestehen
  • nach Möglichkeit Sonderzeichen enthalten
  • aus Groß- und Kleinbuchstaben bestehen
  • nicht aus Wörtern oder Zahlen bestehen, die einen persönlichen Bezug haben und
  • nicht ein bereits zuvor verwendetes Passwort sein
  • nirgends aufgeschrieben werden
TIPP:
Mit dem Online-Tool "Passwort-Generator" können Sie zufälligen Passwörter erstellen.
Zusätzlich können Sie das portable Freeware-Programm Passwort-Generator herunterladen.

Erstellen von Passwörtern

Um das Passwort nicht zu vergessen, wählen viele Benutzer leicht zu merkende Wörter, wie zum Beispiel den eigenen Vornamen, den Vornamen von Familienangehörigen, den Namen ihres Haustieres oder den Namen ihrer Freundin. Aber auch Wörter wie Urlaub, Boss, Liebe, Geheim, Passwort, oder auf der Tastatur direkt nebeneinander liegende Tasten wie QWERTZ, ASDF oder 12345 sind nicht so originell wie angenommen wird.

Das Verwenden von beliebigen Buchstaben, Zahlen und Sonderzeichen stellt sicherlich einen guten Schutz dar, allerdings sind solche Zeichenfolgen auch sehr schwer zu merken.

Passwörter müssen aber nicht unbedingt aus "zufälligen" Buchstaben bestehen. Wenn ein Wort abwechselnd aus Vokalen und Konsonanten besteht, oder sich aus Wortsilben zusammensetzt, ist es bereits leichter zu merken, allerdings auch unsicherer.

Auch Passwörter, die aus einem Satz zusammengestellt werden, erscheinen zufällig, lassen sich aber leicht merken. So kann aus dem Satz "Mit diesem Satz sollte ich mir das Passwort leichter merken." das Passwort "MdSsimdPlm" erstellt werden, indem der jeweils erste Buchstabe eines Wortes verwendet wird. Wenn noch Sonderzeichen und Zahlen eingefügt werden, könnte das Passwort etwa so aussehen: "Md$simdP1m.".

Aufbewahrung von Passwörtern

Um ein Passwort nicht zu vergessen, notieren sich manche Benutzer das Kennwort auf einem Zettel und verstecken diesen an diversen Orten. Sie sind der Meinung, dass nie jemand auf dieses Versteck kommen würde. Typische Verstecke für Passwörter sind etwa unter der Schreibtischunterlage, unter den Schreibtischschubladen oder hinter dem Monitor aufgeklebte Zettel.

An Stelle von Zetteln, können Passwörter mit speziellen Programmen (sog. Passwort-Safe) auf dem Computer gespeichert werden. Diese Programme sollten Passwörter verschlüsselt speichern. Damit ist nur noch ein Passwort erforderlich, das man sich merken muss. Ohne Verschlüsselung - etwa in Textdateien - sollten Passwörter keinesfalls auf dem Computer gespeichert werden.

Auch die als "Social Engineering" bekannte Methode, bei der sich der Angreifer als Netzwerkverantwortlicher oder als Systemadministrator ausgibt und dem Benutzer so sein Passwort entlockt, funktioniert öfter als man denken könnte. Kein Systemadministrator wird einen Benutzer nach dem Benutzernamen oder Passwort fragen. Auf Grund seiner Berechtigungen im System kann er meist alle Benutzerdaten einsehen. Besonders aufmerksam sollte man werden, wenn sich ein "Administrator" von sich aus meldet, ohne dass man ihn kontaktiert hat.

Speichern von Passwörtern in Anwendungen

Passwörter werden meist aus Sicherheitsgründen nicht im Klartext, sondern als Hash-Wert gespeichert. Jedoch reicht dies in Anbetracht von Rainbow-Tables und Brute-Force Attacken mittels Cloud-Computing nicht mehr aus. Vor allem wenn ein Benutzer ein unsicheres bzw. kurzes Passwort verwendet, ist die zum Knacken des Passwortes benötigte Zeit sehr gering. Nicht selten werden bereits auf normalen PCs mehrere Millionen Passwörter oder Hash-Werte pro Sekunde getestet.

Mit einem sogenannten "Salt" kann die Sicherheit eines Hash-Wertes so erhöht werden, dass Rainbow-Tables und auch andere Angriffe an Wirksamkeit einbüßen. Zudem kann mit Rundenfunktionen die Geschwindigkeit von Angriffsprogrammen erheblich eingebremst werden.

Passwort-Salt

Um Angriffe zu erschweren, kann dem zu speichernden Passwort ein Text angefügt werden. Damit werden Wortlisten von Passwort-Knackern unbrauchbar und auch Rainbow-Tables müssten neu erstellt werden. Als Salt kann entweder ein zufälliger Text verwendet werden, der mit dem Passwort gespeichert wird, oder ein bestimmter statischer Text, der bei jeder Überprüfung des Passwortes zur Verfügung steht. Dies könnte etwa der Benutzername oder die Mail-Adresse eines Benutzers sein. Natürlich lassen sich auch beide Methoden miteinander verbinden.

Beispiel für Passwort-Salting
hash = Hash_Methode(Passwort + Benutzername)

Rundenfunktionen

Normalerweise wird ein Passwort an eine Hash-Funktion übergeben und gespeichert. Angreifer müssen dies ebenso machen oder eine bereits vorgefertigte Rainbow-Table verwenden. Wird jedoch der Hash-Wert seinerseits wieder an die Hash-Funktion übergeben, werden Rainbow-Tables nutzlos. Sie müssten für genau diesen Fall neu erstellt werden, was sehr zeitaufwändig wäre. Je öfter ein Wert an die Hash-Funktion übergeben wird, desto öfter muss dies auch ein Angreifer für jedes einzelne Passwort tun. Dies hat zur Folge, dass die Angriffsgeschwindigkeit erheblich verringert wird.

Beispiel für eine Rundenfunktion
hash = Hash_Methode(Passwort)
for 1 to Anzahl
  hash = Hash_Methode(hash)

Man muss sich jedoch nicht auf das Passwort bzw. den Hash-Wert des Passwortes alleine beschränken. So kann beispielsweise das Passwort bei jedem Durchlauf an den zuvor errechneten Hash-Wert angefügt werden.

Relevante Programme und Online-Tools

Die folgenden Programme und Online-Tools von Gaijin.at haben einen Bezug zu diesem Thema.

Password Generator (Freeware, portabel)
Mit dem Programm "Password Generator" können sichere und dennoch leicht zu merkende Passwörter erstellt werden. Weiters können auch schnell WEP- und WPA2-Schlüssel für Wireless LAN (WLAN) erzeugt werden.
Passwort Check (Online-Tool)
Mit diesem Online-Tool kann die Sicherheit eines Passwortes geprüft werden.
Passwort Generator (Online-Tool)
Mit diesem Online-Tool können sichere Passwörter, WEP- und WPA2-Schlüssel erstellt werden.

Beta-Bereich | Webmaster | Sponsor / Werbung | Übersetzer | Unterstützung | Kontakt & Nutzungsbedingungen