Sicher Passwörter

Eine der häufigsten Ursachen, weshalb in Computer eingebrochen wird, oder andere wichtige Informationen von unbefugten Dritten eingesehen werden können, ist ein schlechtes Passwort. Leider machen sich die meisten Menschen kaum Gedanken über die Sicherheit Ihrer Passwörter.

Sehr häufig werden als Passwörter Worte oder Namen benutzt, die in jedem Lexikon zu finden sind. Ein weiterer Fehler besteht darin, dass persönliche Daten für Passwörter Verwendung finden. Im ersten Fall ist es sehr leicht möglich, über sogenannte Wörterbuchattacken diese Passwörter zu erraten. Dabei werden natürlich auch fremdsprachige Wörterbücher, sowie sämtliche grammatikalischen Variationen von Wörtern durchgetestet. Im zweiten Fall ist die Vorgehensweise eines Angreifers das sogenannte "social engeneering", das heißt, das soziale Umfeld der anzugreifenden Person wird ausgespäht. Es gibt noch viele weitere Fehler, die bezüglich der Wahl von Passwörtern gemacht werden können. Ich möchte mich hier nicht weiter auslassen, sondern Ihnen einige Regeln geben, wie sichere Passwörter auszusehen haben:

  • Ein Passwort sollte potentiell aus allen Zeichen bestehen, die über die Tastatur eingegeben werden können:
    • Großbuchstaben
    • Kleinbuchstaben
    • Ziffern
    • Satzzeichen
    • Sonderzeichen wie &, %, $, @, |, [, { und Ähnliches
  • Ein Passwort darf nie zu kurz sein (mindestens 6 Zeichen!)
  • Ein Passwort darf nie aufgeschrieben werden
  • Ein Passwort darf nie im Klartext auf einem Computer gespeichert werden
  • Ein Passwort darf nie einem bestimmten Muster auf der Tastatur entsprechen

Will man nun alle obigen Regeln befolgen, steht man vor dem Problem, dass man sich ein Passwort wie z.B. x6&A!35zaV? sicherlich nur sehr schlecht merken kann. Dies ist auch einer der häufigsten Ursachen für die Nicht-Verwendung solch starker Passwörter. Wir stehen also vor dem Dilemma, Sicherheitsrisiken zuzulassen oder irgendwann einmal vor unserem Rechner zu sitzen und das Passwort vergessen zu haben.

Die Lösung dieses Problems ist eigentlich gar nicht so schwer: Merken Sie sich einfach einen Satz, einen Spruch oder Ähnliches und basteln Sie sich daraus ein sicheres Passwort.

Beispiel: Der Titel des Märchens Der Wolf und die sieben Geißlein. ergibt ein sicheres Passwort, nämlich DW&d7G.. Ein solches Passwort kann man sich merken, und es entspricht dennoch den oben genannten Regeln. Einem Angreifer, der dieses Passwort knacken will, bliebe nichts weiter übrig, als alle Möglichkeiten, die in diesem Passwort stecken durchzuprobieren. Die Anzahl der Möglichkeiten errechnet sich folgendermaßen: Es ist die Anzahl der Möglichkeiten, die ich habe, ein Zeichen auf der Tastatur einzugeben (ca. 100) hoch der Anzahl der Zahl der Zeichen. Das wären in unserem Fall 1007 also 100.000.000.000.000. Würden Sie nur z. B. nur Kleinbuchstaben verwenden (der . fiele dann weg, und das & würde zu einem u), dann kämen Sie nur auf 266 also 308.915.776 Möglichkeiten. Eine Zahl, die ein Rechner heutzutage sehr schnell durchprobieren kann. Bei solchen Angriffen, die auf einfachem Durchprobieren der Möglichkeiten basieren, spricht man von so genannten "brute force attacks". Dabei werden aber auch nicht stur alle Möglichkeiten in geordneter Reihenfolge abgearbeitet, sondern der Angreifer geht meist von den Gewohnheiten der Benutzer und der angeborenen Faulheit aus. Zuerst werden Kleinbuchstaben ausprobiert, dann Großbuchstaben, dann eine Kombination von beiden, dann kommen Satzzeichen hinzu und so weiter. Je schwächer das Passwort, desto eher wird hierbei ein Treffer erzielt, und die Tür geht auf.

Bitte verwenden Sie nicht das oben genannte Beispiel, denn auch solche Beispiele sind bekannt und werden bei Wörterbuchangriffen ebenfalls benutzt.

Noch ein Hinweis zu Verwendung Ihrer Passwörter. Benutzen Sie immer mehrere Passwörter für unterschiedliche Zwecke. So kann es nicht geschehen, dass beim Verlust eines Passwortes, bzw.falls einer der von Ihnen genutzten Dienste einmal gehackt worden ist, alle Zugänge gesperrt bzw. kompromittiert sind. Auch hierbei kann man sich Gedächtnisstützen basteln. Bauen Sie sich ein Passwort nach dem obigen Schema und fügen diesem am Anfang den ersten Buchstaben und am Ende den letzten Buchstaben des betreffenden Dienstes hinzu. So können Sie sich die verschiedenen Passworter für die unterschiedlichsten Dienste leicht merken und vermeiden Umstellungsorgien für die Passwörter bei den Diensten die Sie nutzen, falls doch mal ein Passwort in die falschen Hände gerät.

Für besonders wichtig halte ich Folgendes: Verwenden Sie für Ihren E-Mail-Zugang nie ein Passwort, das sonst sicherheitsrelevanten Zwecken dient. Passwörter für E-Mails werden in der Regel im Klartext über das Internet verschickt. Sie sind also in ihrer vollen Schönheit für jeden lesbar, der Zugriff auf die entsprechenden Daten hat. Auch auf diesem Wege sind schon wichtige Passwörter in falsche Hände geraten.

Passwörter werden an den verschiedensten Stellen eingesetzt, um sensible Daten zu sichern. Bei Rechnerzugängen ist es zudem möglich, die Anzahl der Eingaben fehlerhafter Passwörter zu begrenzen. Der Benutzer muss dann entweder eine gewisse Zeitspanne warten, bis erneut der Versuch der Anmeldung möglich ist, oder sein Zugang wird so lange gesperrt, bis ihn der Administrator oder Superuser wieder frei schaltet. Dadurch werden Wörterbuckattacken, bei denen häufig tausende Versuche pro Sekunde erfolgen, erheblich erschwert. Bei den meisten Betriebssystemen besteht die Möglichkeit, dies einzustellen. Leider muss diese Einstellung meist manuell vorgenommen werden. Andere durch Passwörter geschützte Daten wie z. B. private Schlüssel, die zur Entschlüsselung verschlüsselter Daten und zur Erzeugung digitaler Unterschriften verwendet werden, bieten diese Möglichkeiten nicht. Deshalb ist besonders hier darauf zu achten, dass die Länge des Passworts groß genug gewählt wird, um die Anzahl der Möglichkeiten, die in einem solchen Passwort enthalten sind, auf ein Maß zu setzen, das Wörterbuchattacken und einfaches Durchprobieren (brute force attacks) einen Zeitaufwand entgegensetzt, der genügend Sicherheit gewährleistet.

Es ist also gar nicht so schwierig, mittels gut gewählter Passwörter mehr Sicherheit zu erreichen. Das größte Problem ist eigentlich hierbei, wie in vielen anderne Fällen auch, der Benutzer selbst. Oft sind Computerbenutzer einfach nur zu faul, mit sicheren Passwörtern zu arbeiten. Solche Menschen brauchen sich dann aber auch nicht wundern, wenn sie Probleme bekommen. Jeder ist seines eigenen Glückes Schmied. Grundsätzlich gilt halt nun mal, dass Sicherheit und Bequemlichkeit wie eine Wippe oder Balkenwaage zu betrachten sind. Viel Bequemlichkeit führt oft zu mangelnder Sicherheit, und hohe Sicherheit hat nun mal gewisse Unbequemlichkiten zur Folge.