Passwortsicherheit

Inhalt

Passwortrichtlinien
Erstellen von Passwörtern
Aufbewahrung von Passwörtern
Speichern von Passwörtern in Anwendungen

Passwortrichtlinien

Bei der Suche nach dem richtigen Passwort sind einem Angreifer keine Grenzen gesetzt. Die Palette reicht vom Ausprobieren beliebiger Wörter bis hin zum Ausspähen des Passwortes mit aufwendiger Abhörtechnik.

Computersicherheit fängt mit der Vergabe eines einigermaßen sicheren Passwortes an.

Passwörter sollen keinen persönlichen Bezug haben. Da die Angreifer oft Passwortlisten verwenden, sollten auch keine Wörter verwendet werden, die in einem Wörterbuch vorkommen oder allgemein gebräuchlich sind. Passwortlisten sind einfache Textdateien, in denen nacheinander Unmengen von Wörtern eingetragen sind, die dann von einem Programm automatisch durchprobiert werden. So können einfache Passwörter in kürzester Zeit ermittelt werden. Passwortlisten sind in praktisch allen Sprachen verfügbar und können von diversen Seiten im Internet herunter geladen werden.

Bevor man ein Passwort vergibt, sollte man sich mit den Passwortrichtlinien auf dem eigenen System vertraut machen. Auf Firmencomputern sind meistens schon gewisse Richtlinien vorgegeben, wie ein Passwort auszusehen hat. Sollte dies nicht der Fall sein, sollte man sich seine eigenen Passwortrichtlinien zusammenstellen. Die folgenden Richtlinien sollen nur als Beispiel dienen, je nach Sensibilität der Daten könnten auch strengere Richtlinien angebracht sein.

Das Passwort sollte...

Gefällt dir meine Webseite, meine Freeware-Programme oder Online-Tools?

Dann spende bitte per PayPal und hilf mit, den Inhalt weiterhin kostenlos anbieten zu können - jeder Betrag ist willkommen!

Lese mehr über Unterstützungs­möglichkeiten...

Erstellen von Passwörtern

Um das Passwort nicht zu vergessen, wählen viele Benutzer leicht zu merkende Wörter, wie zum Beispiel den eigenen Vornamen, den Vornamen von Familienangehörigen, den Namen ihres Haustieres oder den Namen ihrer Freundin. Aber auch Wörter wie Urlaub, Boss, Liebe, Geheim, Passwort, oder auf der Tastatur direkt nebeneinander liegende Tasten wie QWERTZ, ASDF oder 12345 sind nicht so originell wie angenommen wird.

Das Verwenden von beliebigen Buchstaben, Zahlen und Sonderzeichen stellt sicherlich einen guten Schutz dar, allerdings sind solche Zeichenfolgen auch sehr schwer zu merken.

Passwörter müssen aber nicht unbedingt aus zufälligen Buchstaben bestehen. Wenn ein Wort abwechselnd aus Vokalen und Konsonanten besteht, oder sich aus Wortsilben zusammensetzt, ist es bereits leichter zu merken, allerdings auch unsicherer.

Auch Passwörter, die aus einem Satz zusammengestellt werden, erscheinen zufällig, lassen sich aber leicht merken. So kann aus dem Satz "Mit diesem Satz sollte ich mir das Passwort leichter merken." das Passwort "MdSsimdPlm" erstellt werden, indem der jeweils erste Buchstabe eines Wortes verwendet wird. Wenn noch Sonderzeichen und Zahlen eingefügt werden, könnte das Passwort etwa so aussehen: "Md$simdP1m.".

Aufbewahrung von Passwörtern

Um ein Passwort nicht zu vergessen, notieren sich manche Benutzer das Kennwort auf einem Zettel und verstecken diesen an diversen Orten. Sie sind der Meinung, dass nie jemand auf dieses Versteck kommen würde. Typische Verstecke für Passwörter sind etwa unter der Schreibtischunterlage, unter den Schreibtischschubladen oder hinter dem Monitor aufgeklebte Zettel.

An Stelle von Zetteln, können Passwörter mit speziellen Programmen (sog. Passwort-Safe) auf dem Computer gespeichert werden. Diese Programme sollten Passwörter verschlüsselt speichern. Damit ist nur noch ein Passwort erforderlich, das man sich merken muss. Ohne Verschlüsselung - etwa in Textdateien - sollten Passwörter keinesfalls auf dem Computer gespeichert werden.

Auch die als Social Engineering bekannte Methode, bei der sich der Angreifer als Netzwerkverantwortlicher oder als Systemadministrator ausgibt und dem Benutzer so sein Passwort entlockt, funktioniert öfter als man denken könnte. Kein Systemadministrator wird einen Benutzer nach dem Benutzernamen oder Passwort fragen. Auf Grund seiner Berechtigungen im System kann er meist alle Benutzerdaten einsehen. Besonders aufmerksam sollte man werden, wenn sich ein "Administrator" von sich aus meldet, ohne dass man ihn kontaktiert hat.

Speichern von Passwörtern in Anwendungen

Passwörter werden meist aus Sicherheitsgründen nicht im Klartext, sondern als Hash-Wert gespeichert. Jedoch reicht dies in Anbetracht von Rainbow-Tables und Brute-Force Attacken mittels Cloud-Computing nicht mehr aus. Vor allem wenn ein Benutzer ein unsicheres bzw. kurzes Passwort verwendet, ist die zum Knacken des Passwortes benötigte Zeit sehr gering. Nicht selten werden bereits auf normalen PCs mehrere Millionen Passwörter oder Hash-Werte pro Sekunde getestet.

Mit einem Salt kann die Sicherheit eines Hash-Wertes so erhöht werden, dass Rainbow-Tables und auch andere Angriffe an Wirksamkeit einbüßen. Zudem kann mit Rundenfunktionen die Geschwindigkeit von Angriffsprogrammen erheblich eingebremst werden.

Passwort-Salt

Um Angriffe zu erschweren, kann dem zu speichernden Passwort ein Text angefügt werden. Damit werden Wortlisten von Passwort-Knackprogrammen unbrauchbar und auch Rainbow-Tables müssten neu erstellt werden. Als Salt kann entweder ein zufälliger Text verwendet werden, der mit dem Passwort gespeichert wird, oder ein bestimmter statischer Text, der bei jeder Überprüfung des Passwortes zur Verfügung steht. Dies könnte etwa der Benutzername oder die Mail-Adresse eines Benutzers sein. Natürlich lassen sich auch beide Methoden miteinander verbinden.

Beispiel für Passwort-Salting
hash = Hash_Methode(Passwort + Benutzername)

Rundenfunktionen

Normalerweise wird ein Passwort an eine Hash-Funktion übergeben und gespeichert. Angreifer müssen dies ebenso machen oder eine bereits vorgefertigte Rainbow-Table verwenden. Wird jedoch der Hash-Wert seinerseits wieder an die Hash-Funktion übergeben, werden Rainbow-Tables nutzlos. Sie müssten für genau diesen Fall neu erstellt werden, was sehr zeitaufwändig wäre. Je öfter ein Wert an die Hash-Funktion übergeben wird, desto öfter muss dies auch ein Angreifer für jedes einzelne Passwort tun. Dies hat zur Folge, dass die Angriffsgeschwindigkeit erheblich verringert wird.

Beispiel für eine Rundenfunktion
hash = Hash_Methode(Passwort)
for 1 to Anzahl
  hash = Hash_Methode(hash)

Man muss sich jedoch nicht auf das Passwort bzw. den Hash-Wert des Passwortes alleine beschränken. So kann beispielsweise das Passwort bei jedem Durchlauf an den zuvor errechneten Hash-Wert angefügt werden.

Gefällt dir meine Webseite, meine Freeware-Programme oder Online-Tools?

Dann spende bitte per PayPal und hilf mit, den Inhalt weiterhin kostenlos anbieten zu können - jeder Betrag ist willkommen!

Lese mehr über Unterstützungs­möglichkeiten...




Diese Webseite verwendet Cookies und verarbeitet Daten. Informationen zur Datenverarbeitung sowie zur Möglichkeit, diese abzulehnen, finden Sie in der Datenschutzerklärung. Ok