Jun 262011
 

In letzter Zeit gab es sehr viele Hacks von Webseiten, dabei waren das Playstation Network, CIA und viele andere. Mir hat das echt Angst gemacht, zumal ich überall das gleiche Passwort hatte. Ich habe jetzt umgestellt und bin sehr froh darüber.

Wer kennt das nicht, das leidige Thema der Passwortsicherheit. Ich möchte heute mal allgemeinverständlich auf das Thema eingehen, denn 99% der Internetnutzer wissen zwar dass sie sich schützen sollten, kapitulieren aber oft an der Komplexität des Themas.

Offline Passwörter

Ca. 80% meiner Kunden kommen schon mit den Passwörtern für Interneteinwahl, Router und W-LAN durcheinander. Ich erstelle an dieser Stelle dann immer eine Dokumentation, die ich dem Kunden dann als DINA4 Blatt in die Hand drücke und ihn bitte das Blatt zu den Vertragsunterlagen des Internetanbieters zu legen. Außerdem erzähle ich dem Kunden, dass er diese Passwörter im Alltag nicht braucht, sie aber im Falle eines Problems von Techniker benötigt werden.

Das klappt in der Regel recht gut, aber es gibt aber auch Kunden die dann erst einmal mit dem Suchen anfangen wenn ich nach diesem Zettel Frage. Unschön für den Kunden, da es ihn meine Zeit kostet aber die meisten lernen es mit der Zeit.

Passwörter im Netz

Im Internet werden Passwörter in so genannten Datenbanken verschlüsselt abgespeichert. In dieser Datenbank gibt es dann neben vielen anderen Feldern wie „E-Mail“ i.d.R. ein Feld „Benutzername“ und ein Feld „Passwort“; im Feld Benutzername steh der Benutzername im Klartext. Das Passwort hingegen ist verschlüsselt und in der Praxis sieht das für den Betreiber der Seite dann so aus:

Das hier ist jetzt nur eine Testinstallation, im Normalfall stehen hier die Passwörter ALLER angemeldeten Benutzer in verschlüsselter Form. Bedeutet also dass wenn jemand der eine Seite hackt bei der ihr angemeldet seid an diese Daten kommt.

Das Passwort von Hans verschlüsselt lautet:

f08fa9b4dc862693bc45a0778252e82f:4rLibFrHChMgzlMXzVZ350LM5Yks8ZXS

unverschlüsselt:

Katze

Nochmal um es klar zustellen: Ein Angreifer erlangt im Angriffsfall die Daten, die der Betreiber der Seite eh schon hat!

wie werden Passwörter geknackt?

Um ein sicheres Passwort auswählen zu können sollte man wissen, wie Passwörter geknackt werden. Ich weise an dieser Stelle darauf hin, dass ich davon nur grobes theoretisches Wissen besitze, da ich kein Techniker bin. Es dürfte zur Verdeutlichung aber ausreichen.

Dictionary Attack

zunächst nutzt der Angreifer sog. „Dictionary Attacks“, also Wörterbuch Angriffe. Hierbei werden häufig genutzte Passwörter, Wörter und Namen durchprobiert. Unser Passwort Katze wäre bei einem aktuellen PC wahrscheinlich binnen 5 Sekunden geknackt.

Brute Force

„Brute Force“, zu Deutsch: rohe Gewalt. Diese Methode wird eingesetzt, wenn die Wörterbuchattacke kein Erfolg hatte. Der Computer probiert also eine Passwort Kombination nach der anderen aus.  Dabei fängt er bei einfachen an. Vermutlich also bei Zahlen, dann Buchstaben, danach ein mix und Später mit Sonderzeichen. Wie genau so etwas geschieht ist an dieser Stelle nicht wichtig, wichtig ist dass wir verstehen wie generell vorgegangen wird.

Beispiel:

Passwort aus Zahlen von 0-9:

bei einer Passwort Länge von 1 ist die Anzahl der Möglichkeiten: 10^1 = 10
bei 2 Stellen: 10^2 = 100
bei 3 Stellen: 10^3 = 1000
bei 8 Stellen: 10^8 = 100.000.000

bei Buchstaben (wir haben 26 Grundzeichen)

bei einer Stelle: 26^1 =26
bei 2 Stellen: 26^2 = 676
bei 3 Stellen: 26^3 = 17.576
bei 8 Stellen: 26^8 = 208.827.064.576

Bei Passwörtern mit Sonderzeichen (z.B. 255):

bei einer Stelle: 255^1 =255
bei 2 Stellen: 255^2 = 65.025
bei 3 Stellen: 255^3 = 16.581.375bei 8 Stellen: 255^8 = 17.878.103.347.812.900.000

Ich denke das macht deutlich wie sich die Länge und Art der Zeichen auf die Sicherheit der Passwörter auswirkt. Diese Rechnung setzt natürlich voraus, dass der Angreifer die Länge des Passworts kennt. In der Praxis wird einfach durchprobiert. Computer sind doof aber verdammt schnell bei einfachen Aufgaben.

Zusammenfassung

Wir haben gelernt wieso es so wichtig ist sicherere Passwörter zu wählen. Hier noch einmal die wichtigsten Kriterien:

  • NIEMALS unter KEINEN Umständen Wörter oder Namen nutzten
  • Das Passwort sollte mindestens 8 Zeichen lang sein
  • Sonderzeichen, Groß- und Kleinschreibung sowie Zahlen nutzen

Für den Fall dass ein Passwort bekannt wird sollte man überall ein anderes Passwort nutzen damit dann nur die Daten dieser Seite bekannt werden.

Außerdem sollte man bei der Passwortwahl sich nicht allzu sehr von der Größe der Möglichkeiten beruhigen lassen. Durch Cloud Dienste von z.B. Amazon können viele Grafikkarten gleichzeitig genutzt werden um Passwörter zu knacken und da ist ein 6-stelliges Passwort schon mal für wenige Euro unter einer Stunde geknackt. Passwörter jenseits der 10 Stellen gelten jedoch nach wie vor als sicher.

Trick zum Passwörter merken

kombiniert Passwörter

z.B. aus aus eurem alten unsicheren Passwort „Schatz“ und der aktuellen Jahreszahl und einem Sonderzeichen so etwas:

S  c  h  a  t  z
 2  0  1  1  !

S2c0h1a1t!z

Und schon habt ihr ein 11 Stellen langes Passwort was leicht zu merken ist. Die Eingabe erfordert etwas Übung, aber man schläft nachts besser, glaubt mir.

Leetspeak

Hierbei wandelt man Buchstaben in ähnliche Sonderzeichen um

z.B.:

E --> 3
l --> 1
O -- > 0

usw.

Nähere Infos gibt es auf der Wikipedia Seite zum Thema Leetspeak.

Passwörter verwalten

Ich persönlich bin bei über 100 Internetseiten angemeldet (114 als ich zuletzt gezählt habe) und kann mir natürlich nicht so viele sichere Passwörter merken. Also nutze ich KeePass um meine Passwörter zu verwalten. KeePass gibt mir auch gleich die Möglichkeit Passwörter zu generieren. Meine Passwörter sind also ca. 20 Stellen lang, was bei der Anzahl der Möglichkeiten eine Zahle mit über 20 Nullen ergibt.

Merken muss ich mir nur mein Master Passwort dass ich eingeben muss wenn ich an die Passwörter innerhalb von KeePass ran will.

KeePass gibt es auch für Android. Solltet ihr mal ausprobieren.

Aber ACHTUNG:

KeePass speichert eure Passwörter in einer geschützten Datei ab, diese müsst ihr unbedingt sichern, sonst sperrt ihr euch bei dem Crash eures PCs aus allen Internetlogins aus.

Zum Abschluss noch ein kurzes Video in Englisch das nochmal grob beschreibt über was ich beschrieben habe:

 Leave a Reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(required)

(required)

What is 5 + 2 ?
Please leave these two fields as-is:
IMPORTANT! To be able to proceed, you need to solve the following simple math (so we know that you are a human) :-)