Passwortgeschützte Daten sind nur dann sicher, wenn auch das Passwort, mit denen sie verschlüsselt wurden, sicher ist. Der sicherste Verschlüsselungsalgorithmus nützt wenig, wenn als Schlüssel ein einfach zu erratendes Passwort verwendet wird.
Inhaltsverzeichnis
Dabei meint “einfach zu erraten” nicht nur Personen, die z.B. die Namen deiner (Ex-)Partnerin, Freundin, Haustiere, Kinder oder Lieblingsbands sowie Wörter zu deinen Hobbies oder aus deinen Interessens- und Arbeitsgebieten ausprobieren, um an deine Daten zu kommen.
Gefahren für dein Passwort
Der Keylogger
Ein Keylogger ist eine Hard- oder Software, die dazu verwendet wird, die Eingaben des Benutzers an einem Computer mitzuprotokollieren und dadurch zu überwachen oder zu rekonstruieren. Keylogger werden beispielsweise von Hackern verwendet, um an vertrauliche Daten – etwa Kennwörter oder PIN – zu gelangen. Ein Keylogger kann dazu sämtliche Eingaben aufzeichnen oder gezielt auf Schlüsselwörter wie z. B. Passwörter warten und dann erst aufzeichnen, um Speicherplatz zu sparen.
Die Phishing Attacke
Die zweite Möglichkeit besteht darin, das Opfer zu “Verarschen”. Im großen Stil funktioniert das über Phishing. Hier werden dem Nutzer auf eine gemeine Weise die Zugangsdaten geklaut.
Ein kleines Beispiel für die Verständlichkeit:
Ich möchte mich bei Amazon einloggen. Gebe also oben in der Webadresse www.amazon.de ein. In wirklichkeit habe ich aber ein Tippfehler begangen, und habe www.aamazon.de eingegeben. Doch mir fällt nichts auf weil die Seite genauso aussieht, wie die echte. Logge mich also ein und werde zur richtigen amazon Seite umgeleitet als wäre nichts geschehen. In Wirklichkeit hat die gefälschte Seite im Hintergrund meine eBrief-Adresse und Passwort in eine Datenbank gespeichert, die dem Angreifer zur verfügung steht.
Die Holz Hacker Methode
Kommen wir nun zu einer Methode, die gerne eingesetzt wird um einzelne Konten gezielt zu knacken. Die eingesetzte Methode heißt: Bruteforce. Sogenannte Bruteforce Programme probieren jede Möglichkeit aus, bis Sie das richtige Passwort erraten haben. Je mehr Möglichkeiten, desto länger benötigt das Programm.
Über mehr Rechenleistung bei modernen Prozessoren und Grafikkarten freuen sich nicht nur der Computer-Anwender, sondern auch die Passwort-Knacker. Je leistungsfähiger die Rechner sind, desto schneller haben sie ein Passwort durch simples Ausprobieren aller möglicher Zeichenkombinationen gefunden.
Forscher der Firma Electric Alchemy haben die Kosten fürs Knacken einer mit 9 Zeichen verschlüsselten ZIP-Datei per Brute-Force berechnet: Bei EC2 sind für solch ein Passwort, das nur aus Buchstaben und Zahlen besteht, weniger als 2000 Dollar und eine Stunde Zeit nötig.
Zugegeben: 2000 Dollar sind kein Schnäppchenpreis. Und die Kosten steigen bei längeren Passwörtern dramatisch an. Doch Hacker haben noch ganz andere Mittel, um an ein Passwort zu kommen.
Server-Hacks
Selbst das längste Passwort schützt dich nicht, wenn Hacker es im Klartext von einem Server klauen können. Das ist in den vergangenen zwei Jahren mit Millionen Passwörtern geschehen. Etwa bei Yahoo, wo die Diebe eBrief-Adressen und Klartext-Passwörter von mehr als 450 000 Nutzern stehlen konnten. Die Daten veröffentlichten sie anschließend im Weltnetz.
Erschreckend ist alleine, wie häufig es Hacker schaffen, an die Datenbanken großer Internet-Firmen zu gelangen. Dass diese Firmen, wie im Falle von Yahoo, die Passwörter im Klartext gespeichert haben, ist eine Schande für die Firma und eine Katastrophe für die Nutzer.
Computer-Hacks
Bei den Passwort-Dieben ist der Server-Einbruch ebenso beliebt, wie der Einbruch auf dem Computer des Heimnutzers. Diesen erledigen aktuelle Viren, etwa Keylogger und Browser-Passwort-Trojaner für ihn. Zumindest gegen diese Angriffe kann sich der Anwender mit einem Antiviren-Programm und gebotener Vorsicht beim Laden von Dateien halbwegs gut schützen.
Die “Passwort vergessen” Option
Sollte ein Hacker mit keiner der bisher genannten Methoden an dein Passwort gekommen sein, dann kann er die Passwort-Zurücksetzfunktion von Webdiensten nutzen. Damit die Funktion wirkt, muss man eine Sicherheitsabfrage beantworten können, etwa: “Wie lautet der Geburtsort deiner Mutter?”.
Ist das geschehen, erlischt das aktuelle Passwort umgehend und man darf ein neues Passwort vergeben. Das große Problem an dieser Methode: Die nötigen Infos sind meist nicht besonders geheim. In der Regel besitzen diese Infos schon die meisten Freunde, Bekannte, oft aber auch Kollegen oder bei Kindern die Mitschüler. Führt einer von ihnen Böses im Schilde, kann er sich so spielend in viele Internetdienste hacken. Echte Hacker kommen an die nötigen Funktionen über eine Recherche im Internet und die Suche in sozialen Netzen.
Erstelle dir ein sicheres Passwort
Die Frage, die sich einem stellen sollte, wenn man sich ein neues Passwort zulegen muss, sollte stets sein: Wie kann ich es lang genug machen, mir es aber trotzdem einfach merken können?
Ein sicheres Passwort erkennt man an den folgenden Aspekten:
- Es beinhaltet mindestens(!) 8 Zeichen
- Es beinhaltet große und kleine Buchstaben (a-z, A-Z)
- Es beinhaltet Zahlen (0-9)
- Es beinhaltet Sonderzeichen („_“, „+“, „?“, „#“, „&“, „%“)
Befolgst du nun diese 4 Regeln entstehen z.B. Passwörter wie „j7%_P+1r&U“, „e56U_W?a0“ und so weiter. Zugegebenermaßen sind solche wirren Zeichenfolgen für den Ungeübten ziemlich schlecht zu merken. Deshalb geben wir weiterführend den Rat:
Dadurch sind sie nicht nur einfacher zu merken, sondern gewinnen ebenfalls erheblich an Größe. Folgend nun zwei Beispiele:
Solche Passwörter sind sehr sicher und ebenso einfach zu merken, oder? Nach mehrmaligem Probetippen hat man sie sicher drauf. Du siehst außerdem, dass wir an der einen oder anderen Stelle Zahlen anstatt Buchstaben genutzt haben. Diese Schreibvariation (auch Leet-Speak genannt) bietet die Möglichkeit, ähnlich aussehende Zahlen und Zeichen einfach anstatt den ursprünglichen Buchstaben zu nutzen. Hier eine kleine Liste:
|
A = 4 |
B = 8 |
C = ( |
D = |) |
E = 3 |
G = 9 |
H = |-| |
I = 1 |
|
K = |< |
L = |_ |
M = |\/| |
N = |\| |
O = 0 |
R = 2 |
S = 5 |
X = >< |
Neben diesen Vorschlägen kannst du natürlich auch eigene Kreationen nutzen. Es ist alles Recht, sei es noch so komisch, es dient letztendlich deiner Sicherheit.
Es gibt wage Schätzungen wie lange ein Supercomputer für das Knacken eines solch langen Passwortes brauchen würde. Diese sind aber definitiv nicht aussagefähig, da die Technologie voranschreitet und damit die Verarbeitungsgeschwindigkeit eines Rechenprozessors stets zunimmt.
Nehmen wir mal an, man hält sich an die o.g. Regeln, und nutzt alle Zeichenkategorien aus dem ASCII-Zeichensatz. Demnach gäbe es 93 verschiedene Zeichen die man verwendet haben könnte (33:! bis 126: ~). Der Angreifer weiß nicht genau welche, und muss deswegen von allen ausgehen. Die Anzahl der möglichen Kombinationen ergibt sich aus:
Anzahl = Zeichenanzahl ^ Passwortlänge.
Bei unserem Beispiel mit einer Passwortlänge von 8 Zeichen entspricht das:
- Anzahl = 93 ^ 8
- Anzahl = 5.595.818.096.650.401 Möglichkeiten
Wenn der Angreifer es schafft, 1.000.000 Passwörter pro Sekunde zu testen, was bei einem Login auf ein Forum utopisch sein dürfte, dann würde die Person immer noch 5595818096 Sekunden brauchen, was ~ 177 Jahren entspricht.
Wenn sich der Staat auch überlegt für das Knacken deines Passwortes solch einen Supercomputer für 5-6-stellige Euro-Summen zu beauftragen, steht es nicht mehr in unserer Macht dies zu verhindern, haben wir aber alles Mögliche getan, unser Passwort so sicher wie möglich zu gestalten und es der Maschine so schwer wie nur möglich zu machen.
Deine persönlichen Passwörter sind die Schlüssel zu deinen Informationen. Gehe also sehr vorsichtig mit ihnen um und notiere sie dir nirgends, deinen Haustürschlüssel würdest du in der Öffentlichkeit auch nicht überall hinlegen, oder? Ebenso wenig solltest du ungeschützte Passwortlisten auf dem Rechner erstellen oder diese im Mobiltelefon speichern.
Desweiteren legen wir dir folgenden Rat ans Herzen:
Geheimhaltung des eigenen Passwortes
Das sicherste Passwort ist nicht mehr sicher wenn man es jedem weitergibt dem man vertraut. Ein Passwort sollte man immer nur für sich behalten. Auch dem Lebens- oder Ehepartner sollte man ein Passwort niemals mitteilen. Man kann jetzt sagen, dass es ein Vertrauensbruch darstellt aber auch unbeabsichtigt kann dadurch das sicherste Passwort an die falschen Leute geraten. Zum Beispiel wenn das Passwort leichtsinnig auf der Arbeit unter Beobachtung eingegeben oder sogar aufgeschrieben wird. Gerade aber aufschreiben oder in eine Textdatei speichern sollte man ein Passwort nicht.
Dies ist nur eine Anregung zur Zusammenstellung eines Passworts. Der Fantasie sind dabei eigentlich keine Grenzen gesetzt. Das Gegenteil ist der Fall. Wenn man sich eine eigene Methode zur Erstellung eines Passwortes einfallen lässt ist es sogar noch individueller und damit auch sicherer.
Bei solch einfallsreichen und langen Passwörtern stellt sich uns ein weiteres Problem in die Quere: Wenn man für jeden Anbieter, bei dem man ein Passwort benötigt, ein anderes, 20-Zeichen langes, Passwort mit Zahlen und Sonderzeichen nutzt, wie soll man sich diese dann bitteschön alle merken?
Die Lösung für dieses Problem ist ein Passwort-Manager
Kommentar hinzufügen