Passwortgeschützte Daten sind nur dann sicher, wenn auch das Passwort, mit denen sie verschlüsselt wurden, sicher ist. Der sicherste Verschlüsselungsalgorithmus nützt wenig, wenn als Schlüssel ein einfach zu erratendes Passwort verwendet wird.
Dabei meint “einfach zu erraten” nicht nur Personen, die z.B. die Namen deiner (Ex-)Partnerin, Freundin, Haustiere, Kinder oder Lieblingsbands sowie Wörter zu deinen Hobbys oder aus deinen Interessens- und Arbeitsgebieten ausprobieren, um an deine Daten zu kommen.
Gefahren für dein Passwort
Es gibt unzählige Gefahren für Passwörter. Selbst das sicherste Passwort könnte durch solche Umstände unsicher werden.
Ein kleines Beispiel für die Verständlichkeit:
Ich möchte mich bei Amazon einloggen. Gebe also oben in der Webadresse www.amazon.de ein. In Wirklichkeit habe ich aber ein Tippfehler begangen, und habe www.aamazon.de eingegeben. Doch mir fällt nichts auf, weil die Seite genauso aussieht, wie die echte. Logge mich also ein und werde zur richtigen Amazon Seite umgeleitet, als wäre nichts geschehen. In Wirklichkeit hat die gefälschte Seite im Hintergrund meine eBrief-Adresse und Passwort in eine Datenbank gespeichert, die dem Angreifer zur Verfügung steht.
Über mehr Rechenleistung bei modernen Prozessoren und Grafikkarten freuen sich nicht nur der Computer-Anwender, sondern auch die Passwort-Knacker. Je leistungsfähiger die Rechner sind, desto schneller haben sie ein Passwort durch simples Ausprobieren aller möglicher Zeichenkombinationen gefunden.
Forscher der Firma Electric Alchemy haben die Kosten fürs Knacken einer mit 9 Zeichen verschlüsselten ZIP-Datei per Brute-Force berechnet: Bei EC2 sind für solch ein Passwort, das nur aus Buchstaben und Zahlen besteht, weniger als 2000 Dollar und eine Stunde Zeit nötig.
Erschreckend ist alleine, wie häufig es Hacker schaffen, an die Datenbanken großer Internet-Firmen zu gelangen. Dass diese Firmen, wie im Falle von Yahoo, die Passwörter im Klartext gespeichert haben, ist eine Schande für die Firma und eine Katastrophe für die Nutzer.
Ist das geschehen, erlischt das aktuelle Passwort umgehend und man darf ein neues Passwort vergeben. Das große Problem an dieser Methode: Die nötigen Informationen sind meist nicht besonders geheim. In der Regel besitzen diese Infos schon die meisten Freunde, Bekannte, oft aber auch Kollegen oder bei Kindern die Mitschüler. Führt einer von ihnen Böses im Schilde, kann er sich so spielend in viele Internetdienste hacken. Echte Hacker kommen an die nötigen Funktionen über eine Recherche im Internet und die Suche in sozialen Netzen.
Erstelle dir ein sicheres Passwort
Die Frage, die sich einem stellen sollte, wenn man sich ein neues Passwort zulegen muss, sollte stets sein: Wie kann ich es lang genug machen, mir es aber trotzdem einfach merken können? Ein sicheres Passwort erkennt man an den folgenden Aspekten:
- Es beinhaltet mindestens(!) 12 Zeichen
- Es beinhaltet große und kleine Buchstaben (a-z, A-Z)
- Es beinhaltet Zahlen (0-9)
- Es beinhaltet Sonderzeichen („_“, „+“, „?“, „#“, „&“, „%“)
Befolgst du nun diese 4 Regeln entstehen z.B. Passwörter wie „j7%_P+1r&U“, „e56U_W?a0“ und so weiter. Zugegebenermaßen sind solche wirren Zeichenfolgen für den Ungeübten ziemlich schlecht zu merken. Deshalb geben wir weiterführend den Rat:
Dadurch sind sie nicht nur einfacher zu merken, sondern gewinnen ebenfalls erheblich an Größe. Folgend nun zwei Beispiele:
- Aus Nachbar Müllers Hund heißt Bodo wird 0NACHbar1_2MuElLeRs?hund_8_hEiSsT_8_boDO.
- Aus Susi hat lange blonde Haare wird sUSi=123=HAT_lANGe%bl0nde&H44Re.
Solche Passwörter sind sehr sicher und ebenso einfach zu merken, oder? Nach mehrmaligem Probetippen hat man sie sicher drauf. Du siehst außerdem, dass wir an der einen oder anderen Stelle Zahlen anstatt Buchstaben genutzt haben. Diese Schreibvariation (auch Leet-Speak genannt) bietet die Möglichkeit, ähnlich aussehende Zahlen und Zeichen einfach anstatt den ursprünglichen Buchstaben zu nutzen. Hier eine kleine Liste:
A = 4 |
B = 8 |
C = ( |
D = |) |
E = 3 |
G = 9 |
H = |-| |
I = 1 |
K = |< |
L = |_ |
M = |\/| |
N = |\| |
O = 0 |
R = 2 |
S = 5 |
X = >< |
Neben diesen Vorschlägen kannst du natürlich auch eigene Kreationen nutzen. Es ist alles recht, sei es noch so komisch, es dient letztendlich deiner Sicherheit.
Es gibt vage Schätzungen, wie lange ein Supercomputer für das Knacken eines solch langen Passwortes brauchen würde. Diese sind aber definitiv nicht aussagefähig, da die Technologie voranschreitet und damit die Verarbeitungsgeschwindigkeit eines Rechenprozessors stets zunimmt. Nehmen wir mal an, man hält sich an die o.g. Regeln, und nutzt alle Zeichenkategorien aus dem ASCII-Zeichensatz. Demnach gäbe es 93 verschiedene Zeichen, die man verwendet haben könnte (33:! bis 126: ~). Der Angreifer weiß nicht genau welche, und muss deswegen von allen ausgehen. Die Anzahl der möglichen Kombinationen ergibt sich aus:
- Anzahl = Zeichenanzahl ^ Passwortlänge.
Bei unserem Beispiel mit einer Passwortlänge von 8 Zeichen entspricht das:
- Anzahl = 93 ^ 8
- Anzahl = 5.595.818.096.650.401 Möglichkeiten
Wenn der Angreifer es schafft, 1.000.000 Passwörter pro Sekunde zu testen, was bei einem Login auf ein Forum utopisch sein dürfte, dann würde die Person immer noch 5595818096 Sekunden brauchen, was ~ 177 Jahren entspricht.
Wenn sich der Staat auch überlegt für das Knacken deines Passwortes solch einen Supercomputer für 5-6-stellige Euro-Summen zu beauftragen, steht es nicht mehr in unserer Macht dies zu verhindern, haben wir aber alles Mögliche getan, unser Passwort so sicher wie möglich zu gestalten und es der Maschine so schwer wie nur möglich zu machen.
Deine persönlichen Passwörter sind die Schlüssel zu deinen Informationen. Gehe also sehr vorsichtig mit ihnen um und notiere sie dir nirgends, deinen Haustürschlüssel würdest du in der Öffentlichkeit auch nicht überall hinlegen, oder? Ebenso wenig solltest du ungeschützte Passwortlisten auf dem Rechner erstellen oder diese im Mobiltelefon speichern.
Desweiteren legen wir dir folgenden Rat ans Herzen:
Geheimhaltung des eigenen Passwortes
Das sicherste Passwort ist nicht mehr sicher, wenn man es jedem weitergibt, dem man vertraut. Ein Passwort sollte man immer nur für sich behalten. Auch dem Lebens- oder Ehepartner sollte man ein Passwort niemals mitteilen. Man kann jetzt sagen, dass es ein Vertrauensbruch darstellt, aber auch unbeabsichtigt kann dadurch das sicherste Passwort an die falschen Leute geraten. Zum Beispiel, wenn das Passwort leichtsinnig auf der Arbeit unter Beobachtung eingegeben oder sogar aufgeschrieben wird. Gerade aber aufschreiben oder in eine Textdatei speichern sollte man ein Passwort nicht.
Dies ist nur eine Anregung zur Zusammenstellung eines Passworts. Der Fantasie sind dabei eigentlich keine Grenzen gesetzt. Das Gegenteil ist der Fall. Wenn man sich eine eigene Methode zur Erstellung eines Passwortes einfallen lässt, ist es sogar noch individueller und damit auch sicherer.
Die Lösung für dieses Problem ist ein Passwort-Manager
Kommentar hinzufügen