Passwörter & Passwortsicherheit

Immer wieder kommt die Frage auf, warum es manchmal so einfach ist, an die Passwörter von fremden Menschen heranzukommen. Ich spreche jetzt nicht von Phishing und ähnlichen Dingen, bei denen man durch gefälschte E-Mails und gefälschte Webseiten an diese Passwörter gelangt. Häufig wird gefragt, warum für das Login oder den Stream etc. so komplizierte Passwörter vergeben werden. Diese Maßnahmen ergreifen die meisten Anbieter zum Schutz ihrer Dienste und Mitglieder. Der größte Schwachpunkt bei der Erstellung von Passwörtern ist der Mensch selbst. Passwörter wie 123456, Liebe oder z. B. das Geburtsdatum sind durch entsprechende Technik innerhalb weniger Augenblicke geknackt. Um das zu verdeutlichen, ist im nächsten Abschnitt ein Text kopiert, der die Situation hoffentlich gut erklärt.

Sichere Passwörter
Karin Zimmermann

Während kryptografische Algorithmen heute aufgrund der Vielzahl von möglichen Schlüsseln unknackbar sind, sind die verwendeten Passworte die Schwachstellen aktueller Verschlüsselungssysteme. Zum einen muss sich in der Regel ein Mensch das Passwort merken, zum anderen muss es eingegeben werden und kann in diesem Moment von anderen Menschen oder Programmen belauscht werden.

Es gibt verschiedene Möglichkeiten, ein Passwort in Erfahrung zu bringen:

Belauschen, ausspähen, erpressen und ergaunern sind geeignet, um unmittelbar in den Besitz eines Passworts zu gelangen. Technische Mittel können davor nur im Einzelfall schützen. Hier ist die Sorgfalt des Anwenders gefragt.

Erraten ist möglich, sobald der Angreifer den Anwender gut genug kennt und die Wahl des Passwortes ohne die notwendige Sorgfalt vorgenommen wurde. Typische Fälle sind hier die Namen von Partnern, Kindern und Haustieren oder auch Telefonnummern und Geburtstage als Passwörter.

Ausprobieren. Der deutsche Sprachschatz umfasst ca. 300.000-500.000 Worte. Der Duden kennt 120.000 Stichworte. Goethe hat ca. 80.000 Worte verwendet. Ein „normaler“ Mensch verwendet maximal 10.000 Worte. Die Bildzeitung 1.500. Wird nun ein einfaches Wort als Passwort gewählt, kann es mit hoher Wahrscheinlichkeit mit wenigen hunderttausend Versuchen ermittelt werden, indem einfach alle Worte durchprobiert werden – per Computer kein Problem.

Es werden ca. 0,3 Sekunden benötigt, um ein Passwort zu überprüfen (P4 3GHz): pro Sekunde also drei Passwörter. Wird also zum Beispiel ein Wort aus der Bildzeitung verwendet, kann dies in maximal 500 Sekunden, also knapp 9 Minuten ermittelt werden, wenn der Angreifer die technischen Möglichkeiten besitzt, diesen Prozess zu automatisieren.

Werden vier beliebige Zeichen (Klein- und Großbuchstaben sowie Ziffern) zufällig kombiniert, ergeben sich daraus mehr als 14 Millionen Möglichkeiten. Das würde auf einem Rechner bereits 57 Tage dauern alle auszuprobieren. Allerdings kann dies mit schnelleren und mehr Rechnern beschleunigt werden. Bei 8 zufälligen Zeichen würden auf einem Rechner mehr als 2 Millionen Jahre benötigt. Dazu würde bereits erhebliche Rechnerkapazität benötigt, um dies auf eine überschaubare Zeit zu reduzieren.

Bei der Auswahl eines Passwortes sollten Sie zunächst bedenken, vor wem Sie sich schützen wollen. Wenn im Privaten Geheimnisse zu schützen sind, sind die Anforderungen an die Passwortqualität geringer als in einem Firmenumfeld, wo Daten möglicherweise vor Mitarbeitern mit IT-Kenntnissen oder Wirtschaftsspionen geschützt werden müssen. Noch deutlich höhere Anforderungen ergeben sich natürlich, wenn Behörden oder Geheimdienste am Zugriff auf Daten gehindert werden sollen.

Es gibt verschiedene Strategien; gute Passwörter zu erzeugen. Die Beste ist die Verwendung eines Passwortgenerators für die Erzeugung eines Passworts, das mindestens aus 10 Zeichen besteht, die wiederum aus mindestens 62 verschiedenen Zeichen (die Klein- und Großbuchstaben des deutschen Alphabets sowie die Ziffern von 0 bis 9) ausgewählt werden. Das Problem hierbei ist natürlich, sich dieses Passwort auch zu merken. Speichern oder Aufschreiben hilft nur begrenzt: Auch wenn ein Passwort-Manager verwendet wird, benötigt man ein sicheres Passwort, um ihn zu öffnen – das sicherste Passwort nützt nichts, wenn es auf einem Zettel neben der Tastatur liegt. Ist das aber nicht der Fall, bietet ein Passwort-Manager eine bequeme und sichere Methode, eine unbegrenzte Zahl an hochsicheren Passwörtern zu erstellen, zu verwalten und auf Wunsch sogar automatisch zu verwenden.

Ein guter Kompromiss zwischen Sicherheit und Gedächtnisleistung sind Abkürzungen für Sätze. EgKzSuGsAfS wäre zum Beispiel das Ergebnis des letzten Satzes. Es sollten ebenfalls mindestens 10 Zeichen herauskommen. Werden dazu noch einzelne Zeichen durch Ziffern oder Sonderzeichen ersetzt, z.B. ‚E’ durch „8“ (Eight) oder „f“ durch ? (Fragezeichen), ergibt sich ein gutes Passwort, das sich leicht herleiten lässt.

Quelle: https://steganos.zendesk.com/hc/de/articles/360008866339-Sichere-Passw%C3%B6rter

Online – Generator für Passwörter

Wer keinen Passwortgenerator hat bzw. keine Software nutzt, die einen solchen mitbringt, kann sich seine Passwörter auch online erstellen lassen. Dafür kann man folgende Links nutzen:

https://www.passwort-generator.eu/de/

https://www.uni-muenster.de/IT-Sicherheit/passwortgenerator.html

Passwortgenerator – Programme

Manchmal möchte man vielleicht lieber ein Passwort auf dem eigenen Rechner erstellen lassen, als dies online auf irgendeiner Plattform zu tun. Auch dafür gibt es Abhilfe!

Hier gibt es Programme, mit denen man sichere Passwörter erstellen kann:

https://www.chip.de/downloads/Passwort-Generator_35512324.html

https://www.giga.de/webapps/passwort-generator/

Die obigen Links sind nur beispielhaft eingefügt und weder mit Referrerlinks versehen, noch auf andere Art und Weise vergütet. Eine Suche mittels einer Suchmaschine liefert noch viel mehr Ergebnisse und hier ist natürlich jedem User freigestellt, sich einen eigenen Onlinedienst oder ein eigenes Programm für die Nutzung zu suchen. Alternativ kann ein Passwort selbstverständlich auch immer noch manuell angelegt werden. Dabei sollte jedoch darauf geachtet werden, dass das Passwort aus Groß- und Kleinbuchstaben, Zahlen und, sofern vom Anbieter unterstützt, auch Sonderzeichen enthält. Bei einigen Anbietern sind die zur Verfügung stehenden Zeichen für Passwörter angegeben, also sollte man auch keine Zeichen außerhalb der Vorgaben verwenden (Fehlermeldungen oder inkorrekte Passwörter können die Folge sein).

Passwortsicherheit überprüfen

Es gibt sogar einen Onlinedienst, der die Sicherheit von Passwörtern ermittelt und das Ergebnis in einer Art und Weise mitteilt, dass hoffentlich jeder User bzw. jeder Gast und auch die Teammitglieder begreifen, wie wichtig heute ein sicheres Passwort ist. Bitte gebt dort nach Möglichkeit kein echtes Passwort ein (also eins, das ihr selbst nutzt), sondern eins, das in der Art und Weise eurem Passwort entspricht. Darauf werdet ihr auch auf der Seite selbst noch einmal hingewiesen.

https://checkdeinpasswort.de/