Tagtäglich verwenden wir Passwörter, um uns in verschiedenen Accounts anzumelden, doch nur wenige denken wirklich darüber nach, ob ihr gewähltes Passwort noch immer sicher ist. In der Regel schützt nur das Passwort deine privatesten Daten vor potenziellen Angreifern aber zu oft erstellt man ein Passwort für einen neuen Account und ändert es dann nie wieder. Das ist jedoch ein großer Fehler.
Die Sicherheitsexperten von “Hive Systems” überprüfen jedes Jahr, wie lange es mit der neuesten Hardware dauert, Passwörter mit bestimmter Zusammensetzung per Brute-Force-Angriff zu knacken. Leider gibt es schlechte Nachrichten: Es geht immer schneller, und die bisher empfohlene Regel mit den 8 Zeichen für Passwörter bietet keinen ausreichenden Schutz mehr.
Diese Tabelle zeigt deutlich: Man muss alle Passwortregeln beachten, damit ein 8-Zeichen-Passwort noch einigermaßen lange sicher ist. Befolgt man die üblichen Passwortregeln und mischt Groß- und Kleinschreibung, Zahlen und Sonderzeichen in einem 8-Zeichen-Passwort, ist es nach 7 Jahren geknackt. Das klingt erst einmal lang, aber ich möchte nicht, dass die Daten auf der verschlüsselten Festplatte, die vor 7 Jahren von der Polizei beschlagnahmt wurde, jetzt plötzlich lesbar sind.
Was kann man also aus der Tabelle mitnehmen?
Um seine Daten vor Angriffen und auch nach einer Hausdurchsuchung vor einer Auswertung durch Behörden zu schützen, müssen die Passwörter ab sofort länger werden. Deswegen haben wir für politischen Aktivisten eine neue Faustregel aufgestellt:
- Das Passwort beinhaltet mindestens(!) 12 Zeichen
- Es beinhaltet große und kleine Buchstaben (a-z, A-Z)
- Es beinhaltet Zahlen (0-9)
- Es beinhaltet Sonderzeichen („_“, „+“, „?“, „#“, „&“, „%“)
Für weiterführende Sicherheitshinweise empfehlen wir unseren Passwort-Leitfaden, jedoch geben wir auch hier noch einige Hinweise:
- Erstelle für jeden Account ein separates Passwort.
- Ändere regelmäßig (1x pro Jahr) all deine Passwörter.
- Benutze einen Passwort-Manager.
- Sei vor allem auf mobilen Geräten sehr sparsam mit Passworteingaben.
- Dein Passwort ist nur so lange sicher, wie es vor anderen geheim gehalten werden kann.
Update: 24.05.2024
Noch einmal zum Thema Passwort-Sicherheit. Hier ein Ausschnitt einer Polizeiakte. Das Passwort für das Telefon wurde direkt vom »Beschuldigten« an die Behörden weitergegeben. Der Typ muss sich jetzt damit abfinden und sein Umfeld sollte die notwendigen Konsequenzen daraus ziehen, dass er mindestens eine weitere Person direkt ans Messer geliefert hat, da er sein Passwort nicht geheim halten wollte.Der politisch Inhaftierte Manuel Eder hat bedauerlicherweise seinerzeit ein zu schwaches Passwort für sein Telefon benutzt. Es konnte geknackt werden und das Ergebnis dieser Unachtsamkeit ist bekannt.
Wir können es nur immer wieder sagen:
Schützt euch und eure Kameraden – Ein Passwort ist das Tor zu euren Daten und diese bringen allzu oft auch dritte in Gefahr.
“die bisher empfohlene Regel mit den 8 Zeichen für Passwörter” – Wer zum Henker hat bisher pauschal 8 Zeichen für Passwörter empfohlen??? So ein Blödsinn. Die bunte Tabelle ist auch nichts weiter als Augenwischerei und kann nur als Marketingunsinn von “Hive Systems” betrachtet werden. Wie lange es dauert ein Passwort zu knacken, hängt von deutlich mehr Faktoren ab, wie etwa den verwendeten Hashwert, die Hardware welche zum Knacken verwendet wird (z.B. Typ und Anzahl der Grafikkarten), aber auch weiteren Dingen, wie etwa der PIM bei Veracrypt. Einen besseren Blog-Beitrag, ebenfalls von s-f-n.org, gibt es zu dem Thema bereits: https://www.s-f-n.org/blogs/it-tipps/wie-lang-sollte-ein-kennwort-sein-und-wie-lange-dauert-das-knacken-eines-kennwortes
Auch die Schlussempfehlung jedes Jahr das Passwort zu ändern ist, vorsichtig formuliert, naiv. Es ist schwer genug den Anwendern näher zu bringen überhaupt mal ein sicheres Passwort zu verwenden. Wenn sie das nun auch noch jedes Jahr ohne konkreten Grund ändern sollen, lassen es nicht wenige ganz bleiben. Und ja, Passwortmanager machen einige Dinge leichter, insbesondere für weniger wichtige Zugänge (Foren o.ä.). Die wichtigen Zugänge sollte man als politischer Akteur aber ausschließlich im Kopf haben, denn wie man bei Lastpass gesehen hat, können auch diese Anwendungen Probleme haben.
https://www.golem.de/news/datenleck-dritte-hatten-zugriff-auf-nutzerdaten-bei-lastpass-2212-170164.html
https://www.golem.de/news/mehr-als-150-angriffe-lastpass-datenleck-muendet-in-teuren-kryptodiebstaehlen-2309-177482.html
Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat immer wieder in seinen Leitfäden die Verwendung von mindestens! 8 Zeichen als sicheres Passwort empfohlen. Wir haben uns bisher dieser Empfehlung angeschlossen. Natürlich ist jedoch wichtig zu beachten, dass die in diesem Beitrag enthaltene Tabelle nicht für alle Passwort- / Angriffsvarianten gleichermaßen gilt. Sie veranschaulicht lediglich die zeitlichen Möglichkeiten unter optimalen Bedingungen für einen Angreifer.
Die Forderung, Passwörter regelmäßig zu ändern, mag für dich auf den ersten Blick naiv erscheinen, jedoch ist sie ein wichtiger Bestandteil eines umfassenden Leitfadens für die Passwortsicherheit. Wir werden auch weiterhin jedes Jahr am 01. Februar auf den nationalen “Ändere-dein-Passwort-Tag” aufmerksam machen, denn das Thema Passwortsicherheit wird in der politischen Bewegung viel zu lasch angegangen. Sei es drum, letztendlich liegt es in der Verantwortung der einzelnen Benutzer, ob sie ihre Passwörter ändern möchten.
Auszug aus dem Leitfaden zum Passwort-Manager:
Es ist noch wichtig zu erwaehnen, Bitte nicht online tools zur passwortsicherheit verwenden, also die jenigen wo du dein pw eintraegst und das tool dann sagt ob es sicher ist. Diese Tools sind nicht vertrauenswuerdig, viele von den tools speichern die getesteten passwoerter, diese werden dann verkauft und naja wir wissen alle wofuer sie dann benutzt werden.
Wie ist es denn bei Veracrypt?
Würde es ausreichen, ein 20-stelliges Passwort aus allen verfügbaren Zeichen zusammenzustellen, ohne zusätzlich PIM oder Schlüsseldatei zu vergeben, damit die Daten sicher/nicht zu entschlüsseln sind? Oder könnten zumindest staatliche Stellen ein solche Passwort trotzdem bald knacken?
Ich frage, weil ich vor kurzem ein Video gesehen habe, wo gesagt wird, das Passwort soll mindesten 60 Stellen haben, damit es sicher ist, nicht 20.
Es ist etwas Paranoid 60 Zeichen für ein Passwort zu veranschlagen. Selbst für ein VeraCrypt Passwort würde ich mit maximal 20 Zeichen ansetzen +/-