SfN
blank

Das sichere Passwort? Wir müssen reden …

Tagtäglich verwenden wir Passwörter, um uns in verschiedenen Accounts anzumelden, doch nur wenige denken wirklich darüber nach, ob ihr gewähltes Passwort noch immer sicher ist. In der Regel schützt nur das Passwort deine privatesten Daten vor potenziellen Angreifern aber zu oft erstellt man ein Passwort für einen neuen Account und ändert es dann nie wieder. Das ist jedoch ein großer Fehler.

Die Sicherheitsexperten von “Hive Systems” überprüfen jedes Jahr, wie lange es mit der neuesten Hardware dauert, Passwörter mit bestimmter Zusammensetzung per Brute-Force-Angriff zu knacken. Leider gibt es schlechte Nachrichten: Es geht immer schneller, und die bisher empfohlene Regel mit den 8 Zeichen für Passwörter bietet keinen ausreichenden Schutz mehr.

blank
So schnell sind die Passwörter geknackt.
Bild: Hive Systems

Diese Tabelle zeigt deutlich: Man muss alle Passwortregeln beachten, damit ein 8-Zeichen-Passwort noch einigermaßen lange sicher ist. Befolgt man die üblichen Passwortregeln und mischt Groß- und Kleinschreibung, Zahlen und Sonderzeichen in einem 8-Zeichen-Passwort, ist es nach 7 Jahren geknackt. Das klingt erst einmal lang, aber ich möchte nicht, dass die Daten auf der verschlüsselten Festplatte, die vor 7 Jahren von der Polizei beschlagnahmt wurde, jetzt plötzlich lesbar sind.

Was kann man also aus der Tabelle mitnehmen?

Um seine Daten vor Angriffen und auch nach einer Hausdurchsuchung vor einer Auswertung durch Behörden zu schützen, müssen die Passwörter ab sofort länger werden. Deswegen haben wir für politischen Aktivisten eine neue Faustregel aufgestellt:

  • Das Passwort beinhaltet mindestens(!) 12 Zeichen
  • Es beinhaltet große und kleine Buchstaben (a-z, A-Z)
  • Es beinhaltet Zahlen (0-9)
  • Es beinhaltet Sonderzeichen („_“, „+“, „?“, „#“, „&“, „%“)

Für weiterführende Sicherheitshinweise empfehlen wir unseren Passwort-Leitfaden, jedoch geben wir auch hier noch einige Hinweise:

  • Erstelle für jeden Account ein separates Passwort.
  • Ändere regelmäßig (1x pro Jahr) all deine Passwörter.
  • Benutze einen Passwort-Manager.
  • Sei vor allem auf mobilen Geräten sehr sparsam mit Passworteingaben.
  • Dein Passwort ist nur so lange sicher, wie es vor anderen geheim gehalten werden kann.

Passwort Leitfaden

Update: 24.05.2024

blank
Ausschnitt aus einer Ermittlungsakte
Noch einmal zum Thema Passwort-Sicherheit. Hier ein Ausschnitt einer Polizeiakte. Das Passwort für das Telefon wurde direkt vom »Beschuldigten« an die Behörden weitergegeben. Der Typ muss sich jetzt damit abfinden und sein Umfeld sollte die notwendigen Konsequenzen daraus ziehen, dass er mindestens eine weitere Person direkt ans Messer geliefert hat, da er sein Passwort nicht geheim halten wollte.

Der politisch Inhaftierte Manuel Eder hat bedauerlicherweise seinerzeit ein zu schwaches Passwort für sein Telefon benutzt. Es konnte geknackt werden und das Ergebnis dieser Unachtsamkeit ist bekannt.

Wir können es nur immer wieder sagen:

Schützt euch und eure Kameraden – Ein Passwort ist das Tor zu euren Daten und diese bringen allzu oft auch dritte in Gefahr.

5 Kommentare

  • “die bisher empfohlene Regel mit den 8 Zeichen für Passwörter” – Wer zum Henker hat bisher pauschal 8 Zeichen für Passwörter empfohlen??? So ein Blödsinn. Die bunte Tabelle ist auch nichts weiter als Augenwischerei und kann nur als Marketingunsinn von “Hive Systems” betrachtet werden. Wie lange es dauert ein Passwort zu knacken, hängt von deutlich mehr Faktoren ab, wie etwa den verwendeten Hashwert, die Hardware welche zum Knacken verwendet wird (z.B. Typ und Anzahl der Grafikkarten), aber auch weiteren Dingen, wie etwa der PIM bei Veracrypt. Einen besseren Blog-Beitrag, ebenfalls von s-f-n.org, gibt es zu dem Thema bereits: https://www.s-f-n.org/blogs/it-tipps/wie-lang-sollte-ein-kennwort-sein-und-wie-lange-dauert-das-knacken-eines-kennwortes

    Auch die Schlussempfehlung jedes Jahr das Passwort zu ändern ist, vorsichtig formuliert, naiv. Es ist schwer genug den Anwendern näher zu bringen überhaupt mal ein sicheres Passwort zu verwenden. Wenn sie das nun auch noch jedes Jahr ohne konkreten Grund ändern sollen, lassen es nicht wenige ganz bleiben. Und ja, Passwortmanager machen einige Dinge leichter, insbesondere für weniger wichtige Zugänge (Foren o.ä.). Die wichtigen Zugänge sollte man als politischer Akteur aber ausschließlich im Kopf haben, denn wie man bei Lastpass gesehen hat, können auch diese Anwendungen Probleme haben.

    https://www.golem.de/news/datenleck-dritte-hatten-zugriff-auf-nutzerdaten-bei-lastpass-2212-170164.html
    https://www.golem.de/news/mehr-als-150-angriffe-lastpass-datenleck-muendet-in-teuren-kryptodiebstaehlen-2309-177482.html

    0

    0

    • Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat immer wieder in seinen Leitfäden die Verwendung von mindestens! 8 Zeichen als sicheres Passwort empfohlen. Wir haben uns bisher dieser Empfehlung angeschlossen. Natürlich ist jedoch wichtig zu beachten, dass die in diesem Beitrag enthaltene Tabelle nicht für alle Passwort- / Angriffsvarianten gleichermaßen gilt. Sie veranschaulicht lediglich die zeitlichen Möglichkeiten unter optimalen Bedingungen für einen Angreifer.

      Die Forderung, Passwörter regelmäßig zu ändern, mag für dich auf den ersten Blick naiv erscheinen, jedoch ist sie ein wichtiger Bestandteil eines umfassenden Leitfadens für die Passwortsicherheit. Wir werden auch weiterhin jedes Jahr am 01. Februar auf den nationalen “Ändere-dein-Passwort-Tag” aufmerksam machen, denn das Thema Passwortsicherheit wird in der politischen Bewegung viel zu lasch angegangen. Sei es drum, letztendlich liegt es in der Verantwortung der einzelnen Benutzer, ob sie ihre Passwörter ändern möchten.

      Auszug aus dem Leitfaden zum Passwort-Manager:


      Natürlich speichere um Himmels willen nicht alle deine Passwörter im Passwort-Manager! Stattdessen lädst du darin nur den ganzen unwichtigen Ballast ab, irgendwelche Foren, in denen es um nichts Wichtiges geht, das siebzehnte soziale Netzwerk, das eh keiner nutzt, etc.
      Eine Handvoll von Passwörtern solltest du dir weiterhin merken und sie auf keinen Fall im Passwort-Manager speichern, also zum Beispiel VeraCrypt Passwörter, PayPal oder Online-Banking Zugänge. Stelle dir sozusagen Sicherheitsbereiche und Hochsicherheitsbereiche vor: Sicherheitsbereiche haben Passwörter, die du im Passwort-Manager speicherst; Hochsicherheitsbereiche haben Passwörter, die du NIRGENDWO speicherst, außer im Kopf. Das ist unbequemer, aber sicherer.

      0

      0

  • Es ist noch wichtig zu erwaehnen, Bitte nicht online tools zur passwortsicherheit verwenden, also die jenigen wo du dein pw eintraegst und das tool dann sagt ob es sicher ist. Diese Tools sind nicht vertrauenswuerdig, viele von den tools speichern die getesteten passwoerter, diese werden dann verkauft und naja wir wissen alle wofuer sie dann benutzt werden.

    0

    0

  • Wie ist es denn bei Veracrypt?

    Würde es ausreichen, ein 20-stelliges Passwort aus allen verfügbaren Zeichen zusammenzustellen, ohne zusätzlich PIM oder Schlüsseldatei zu vergeben, damit die Daten sicher/nicht zu entschlüsseln sind? Oder könnten zumindest staatliche Stellen ein solche Passwort trotzdem bald knacken?

    Ich frage, weil ich vor kurzem ein Video gesehen habe, wo gesagt wird, das Passwort soll mindesten 60 Stellen haben, damit es sicher ist, nicht 20.

    0

    0

Inhalte melden

Beiträge, Kommentare und sonstige Veröffentlichungen in dem SfN Informationsblog werden vor dem Hintergrund der gültigen Gesetzgebung in der BRD überprüft. Sollte dennoch der Verdacht bestehen, dass ein Beitrag gegen Gesetze verstoßen könnte und / oder Beschwerden sonstiger Art vorliegen, wird gebeten, die Redaktion zu kontaktieren, um den bedenklichen Inhalt zu überprüfen bzw. entfernen.


blank

blank

Es liegt an dir selbst, was du für dich und deine Sicherheit übernimmst.