gainbacktest

Sichere Passwörter

Wie werden Passwörter geknackt?

Meist durch Online-Klau. Immer wieder kommen zigtausendfach Nutzerdaten abhanden, oft inklusive Passwörtern – zuletzt etwa Adobe oder Snapchat. Jedes Passwort ist normalerweise so verschlüsselt, dass man es nur durch Ausprobieren wieder herstellen kann (->Brute-Force-Attacke) – die Entschlüsselung ist also eine Frage der Zeit. Auf dieser Website kann man sich übrigens eine Schätzung berechnen lassen, wie lange es dauert, um das eigene Passwort zu knacken. Wer ein langes und schwer vorhersagbares Wort gewählt hat, ist da also klar im Vorteil. Aber wer das geklaute Passwort auch bei anderen Websites verwendet hat, muss sich beeilen und das Sicherheitsloch stopfen. Zweithäufigste Methode der Passwort-Knacker ist das Ausspähen, etwa durch Lauschprogramme (->Keylogger) oder (->Phishing). Hier sind Länge und Unvorhersagbarkeit des Passworts leider egal – siehe letzte Frage.

Was heißt dann “sicheres Passwort”?

“Sicher” bedeutet bei Passwörtern: Lang (über acht Zeichen, wenn es geht zwölf oder mehr), neu (nicht länger als ein Jahr im Gebrauch), und am Besten auch noch weltweit einmalig und nicht zu erraten. Namen, Geburtsorte, leicht zu erratende Zahlenkombinationen (Geburtsorte, Handynummer, 123456) und alle Worte, die in irgend einem Lexikon stehen, sind unsicher – denn sie werden nach dem Klau zuerst ausprobiert. Passwörter, die auf mehreren Websites verwendet werden, sind unsicher. Ein sicheres Passwort sieht also in etwa so aus: “!Lya_mm3$#ObAsAck:Vay”. Wer dieses Passwort jetzt verwendet, ist aber selber Schuld – jetzt ist es ja öffenlich und damit auch eher unsicher.

Wie soll man sich denn so ein Passwort merken?

Das geht nur mit Tricks. Die Macher des populären Mozilla-Browsers beschreiben auf ihrer Website ein nettes Rezept: Wähle einen Lieblingssatz, sagen wir “Schläft Ein Lied In Allen Dingen” (Joseph von Eichendorf). Nehme die ersten beiden Buchstaben jedes Wortes und wechsele Groß- und Kleinschreibung ab (“ScEiLiInDi”, wird laut http://www.howsecureismypassword.net/ in einem Jahr Rechenzeit von einem normalen PC geknackt). Jetzt noch mit Sonderzeichen garnieren (“?ScEiLiInDi*”, 1 Million Jahre), fertig ist der erste Teil des neuen Passwortes. Der zweite wird aus dem Namen der betreffenden Website und dem Jahr gebildet, nach einer eigenen Regel, etwa: Eine Ziffer, ein Buchstabe (Facebook wird zu “2F0a1c4″). Und jetzt kombinieren (“?ScEiLiInDi*2F0a1c3″, 384 Trilliarden Jahre) – fertig.

Darf ich mir das wenigstens irgendwo notieren?

Die Idee ist gar nicht so abwegig, einige Sicherheitsexperten sehen darin das kleinere Übel (in diesem Artikel findet sich eine Zusammenfassung der Diskussion). Aufschreiben ist jedenfalls besser als unsichere Passworte zu verwenden oder ein und dasselbe Passwort auf vielen Websites einzusetzen. Der Nachteil ist natürlich, dass der Zettel verloren gehen oder in falsche Hände geraten kann. Ab und zu eine Kopie in einem versiegelten Umschlag an einen sicheren Ort deponieren hilft zumindest gegen das Verlorengehen.

Gibt es dafür keine App?

Doch, sogar eine ganze Reihe von Apps und kleinen Helferprogrammen. Man muss sich dann nur noch ein Passwort merken und kann im Gegenzug beliebig viele sehr komplexe Passwörter vergeben. Die meisten Programme bieten auch eine Zufallsfunktion an, die ein besonders seltenes Passwort auswürfelt, das muss man dann meistenst auch gar nicht mehr selber eintippen, viele Programme übernehmen das Passwort in die Zwischenablage, so dass man es sehr einfach in das entsprechende Feld einfügen kann – Roboform ist da ganz komfortabel. Vergleichsartikel über Hilfsprogramme mit ähnlichen Funktionen findet man in der Computerwoche (Februar 2013) oder Information Week (April 2013). Sicherheitsexperte Bruce Schneier hat so einen Helfer für seine eigenen Passwörter geschrieben und veröffentlicht: Password Safe. Die meisten der Programme bieten Funktionen, um die verschlüsselten Passworte zu sichern, etwa vom PC auf das Handy. Natürlich kann die Datei dabei abgefangen werden – trotzdem ist das immer noch sicherer, als auf vielen Websites das gleiche Passwort zu verwenden.

Und wenn das Passwort sicher ist, ist alles in Ordnung?

Natürlich nicht. Gegen Abhören und Ausspionieren ist kein noch so sicheres Passwort gewachsen. Vielleicht ist Dein Computer verwanzt, vielleicht schickt eine Schadsoftware jeden Tastenanschlag an einen gekaperten Rechner auf einem fernen Kontinent, oder vielleicht ist die Website, auf der Du das Passwort eingegeben hast, auch schon gehackt. Gegen solche Szenarien braucht man noch etwas mehr als ein sicheres Passwort, vielleicht einen Fingerabdruck oder die Zusendung eines Einmal-Codes per SMS, wie man es vom Online-Banking gewohnt ist  (->Zwei-Faktor-Authentifiziernug).

,,,,,,

Wie werden Passwörter geknackt?

Meist durch Online-Klau. Immer wieder kommen zigtausendfach Nutzerdaten abhanden, oft inklusive Passwörtern – zuletzt etwa Adobe oder Snapchat. Jedes Passwort ist normalerweise so verschlüsselt, dass man es nur durch Ausprobieren wieder herstellen kann (->Brute-Force-Attacke) – die Entschlüsselung ist also eine Frage der Zeit. Auf dieser Website kann man sich übrigens eine Schätzung berechnen lassen, wie lange es dauert, um das eigene Passwort zu knacken. Wer ein langes und schwer vorhersagbares Wort gewählt hat, ist da also klar im Vorteil. Aber wer das geklaute Passwort auch bei anderen Websites verwendet hat, muss sich beeilen und das Sicherheitsloch stopfen. Zweithäufigste Methode der Passwort-Knacker ist das Ausspähen, etwa durch Lauschprogramme (->Keylogger) oder (->Phishing). Hier sind Länge und Unvorhersagbarkeit des Passworts leider egal – siehe letzte Frage.

Was heißt dann “sicheres Passwort”?

“Sicher” bedeutet bei Passwörtern: Lang (über acht Zeichen, wenn es geht zwölf oder mehr), neu (nicht länger als ein Jahr im Gebrauch), und am Besten auch noch weltweit einmalig und nicht zu erraten. Namen, Geburtsorte, leicht zu erratende Zahlenkombinationen (Geburtsorte, Handynummer, 123456) und alle Worte, die in irgend einem Lexikon stehen, sind unsicher – denn sie werden nach dem Klau zuerst ausprobiert. Passwörter, die auf mehreren Websites verwendet werden, sind unsicher. Ein sicheres Passwort sieht also in etwa so aus: “!Lya_mm3$#ObAsAck:Vay”. Wer dieses Passwort jetzt verwendet, ist aber selber Schuld – jetzt ist es ja öffenlich und damit auch eher unsicher.

Wie soll man sich denn so ein Passwort merken?

Das geht nur mit Tricks. Die Macher des populären Mozilla-Browsers beschreiben auf ihrer Website ein nettes Rezept: Wähle einen Lieblingssatz, sagen wir “Schläft Ein Lied In Allen Dingen” (Joseph von Eichendorf). Nehme die ersten beiden Buchstaben jedes Wortes und wechsele Groß- und Kleinschreibung ab (“ScEiLiInDi”, wird laut http://www.howsecureismypassword.net/ in einem Jahr Rechenzeit von einem normalen PC geknackt). Jetzt noch mit Sonderzeichen garnieren (“?ScEiLiInDi*”, 1 Million Jahre), fertig ist der erste Teil des neuen Passwortes. Der zweite wird aus dem Namen der betreffenden Website und dem Jahr gebildet, nach einer eigenen Regel, etwa: Eine Ziffer, ein Buchstabe (Facebook wird zu “2F0a1c4″). Und jetzt kombinieren (“?ScEiLiInDi*2F0a1c3″, 384 Trilliarden Jahre) – fertig.

Darf ich mir das wenigstens irgendwo notieren?

Die Idee ist gar nicht so abwegig, einige Sicherheitsexperten sehen darin das kleinere Übel (in diesem Artikel findet sich eine Zusammenfassung der Diskussion). Aufschreiben ist jedenfalls besser als unsichere Passworte zu verwenden oder ein und dasselbe Passwort auf vielen Websites einzusetzen. Der Nachteil ist natürlich, dass der Zettel verloren gehen oder in falsche Hände geraten kann. Ab und zu eine Kopie in einem versiegelten Umschlag an einen sicheren Ort deponieren hilft zumindest gegen das Verlorengehen.

Gibt es dafür keine App?

Doch, sogar eine ganze Reihe von Apps und kleinen Helferprogrammen. Man muss sich dann nur noch ein Passwort merken und kann im Gegenzug beliebig viele sehr komplexe Passwörter vergeben. Die meisten Programme bieten auch eine Zufallsfunktion an, die ein besonders seltenes Passwort auswürfelt, das muss man dann meistenst auch gar nicht mehr selber eintippen, viele Programme übernehmen das Passwort in die Zwischenablage, so dass man es sehr einfach in das entsprechende Feld einfügen kann – Roboform ist da ganz komfortabel. Vergleichsartikel über Hilfsprogramme mit ähnlichen Funktionen findet man in der Computerwoche (Februar 2013) oder Information Week (April 2013). Sicherheitsexperte Bruce Schneier hat so einen Helfer für seine eigenen Passwörter geschrieben und veröffentlicht: Password Safe. Die meisten der Programme bieten Funktionen, um die verschlüsselten Passworte zu sichern, etwa vom PC auf das Handy. Natürlich kann die Datei dabei abgefangen werden – trotzdem ist das immer noch sicherer, als auf vielen Websites das gleiche Passwort zu verwenden.

Und wenn das Passwort sicher ist, ist alles in Ordnung?

Natürlich nicht. Gegen Abhören und Ausspionieren ist kein noch so sicheres Passwort gewachsen. Vielleicht ist Dein Computer verwanzt, vielleicht schickt eine Schadsoftware jeden Tastenanschlag an einen gekaperten Rechner auf einem fernen Kontinent, oder vielleicht ist die Website, auf der Du das Passwort eingegeben hast, auch schon gehackt. Gegen solche Szenarien braucht man noch etwas mehr als ein sicheres Passwort, vielleicht einen Fingerabdruck oder die Zusendung eines Einmal-Codes per SMS, wie man es vom Online-Banking gewohnt ist  (->Zwei-Faktor-Authentifiziernug).