Es dürfte ja mittlerweile überall angekommen sein, dass vermeintlich sichere Passwörter nicht zwangsläufig sicher sind. Spätestens, wenn man selbst Opfer wurde und das Passwort nutzlos wird, denkt man sich kagge. Vor allem, weil man natürlich überall das Gleiche oder diverse Variationen benutzt hat, die plötzlich auch nicht mehr sicher wirken.
Wie erstelle ich also sichere Passwörter?
Bevor ich diese Frage beantworte, wäre es gar nicht so verkehrt ein paar Methoden grob zu kennen, mit denen man überhaupt an Eure Passwörter und Daten gelangt.
Hashfunktion
Sobald Ihr Euch neu auf einer Website registriert, wird das eingegebene Passwort nicht als Klartext gespeichert, sondern zerlegt und in einen Algorithmus übertragen – der Hashwert. Wenn man das unmöglich zu erratene Passwort “qwertz” wählt, wird es, vereinfacht gesagt, beispielsweise in “123” umgewandelt. Dieser Wert darf sich nicht durch ein anderes Passwort wiederholen und der Hashwert darf sich nicht zur Ursprungseingabe zurück berechnen lassen. Wenn Ihr das Passwort dann zum Anmelden eingebt, wird es erneut zerstückelt und mit dem hinterlegten Hashwert verglichen. Bei Übereinstimmung seid Ihr erfolgreich eingeloggt.
Brute-Force-Cracking
Die Brute-Force (rohe Gewalt) ist ungefähr so, als würdet Ihr an einem Handy jegliche Zahlenkombinationen ausprobieren, um beispielsweise Eure/n Partner/in auszuspionieren – was fast so clever ist, wie die Top 20 der deutschen Passwörter, die ihr weiter unter aufgelistet findet.
Leistungsstarke Computer kreieren innerhalb von Sekunden Millionen Zeichen- und Zahlenfolgen. Diese werden mit den abgegriffenen Hashwerten verglichen, da sich Hashwerte nicht wieder zurück zur originalen Eingabe berechnen lassen. Es ist in dem Sinne also keine Entschlüsselung des Passworts, sondern ein Nachvollzug des Hashwerts. Pures raten.
Nehmen wir mal an, dass eine Million Zeichenfolgen pro Sekunde kreiert werden. Ein 8-stelliges Passwort wäre in maximal 29 Jahren geknackt. Ein 5-stelliges Passwort hingegen innerhalb von 26 Minuten.
Dictionary-Attack
Mit einem Wörterbuchangriff knackt man vor allem simple Passwörter, die im Prinzip durch elektronische Wörterbücher erraten werden. Da sich der Mensch an seiner Sprache orientiert, führte diese Methode in der Vergangenheit oftmals zum Erfolg. Als Gegenmaßnahme wurden Passwort-Richtlinien eingeführt, die Ziffern, Großbuchstaben oder Sonderzeichen verlangen.
Wegen der zusätzlich erforderlichen Zeichen und Ziffern versuchen Angreifer über Passwort-Wörterbücher das Passwort zu erraten. Diese Wörterbücher beinhalten häufig verwendete oder bei vergangenen Angriffen erbeutete Passwörter. Der Risikofaktor Mensch neigt eben dazu, Passwörter angelehnt an sein soziales Umfeld zu nutzen, die er sich leicht merken kann. Informationen zur Erstellung einer Wordlist werden beispielsweise auch aus sozialen Netzwerken gezogen. Die erforderlichen Zeichen zur Erfüllung der Passwort-Richtlinien stellt man dem Wort voran oder nach. Buchstaben können auch mit entsprechenden Sonderzeichen ersetzt werden. Deshalb sollte man konkreten Richtlinien nie einfach Folge leisten.
Pass-the-Hash
Außerhalb der Kryptologie nach zwei Zügen immer empfehlenswert, macht Pass the Hash (PtH) die Brute-Force im Prinzip überflüssig. Es muss nicht mehr das Passwort über den Hashwert randomisiert erraten werden, sondern der Hashwert an sich wird innerhalb der Domäne weiterverwendet und aus dem Arbeitsspeicher des PCs gezogen. Daher die Bezeichnung Pass the Hash. Ziele sind meistens Administratoren oder andere, höhere Tiere mit mehr Berechtigungen innerhalb eines Systems.
Der Beobachter
Jemand sieht Euch dabei zu, wie ihr Euer Passwort eingebt.
Ganz einfach – passt auf.
Falls Ihr Euch jetzt beobachtet fühlen solltet, helfen vielleicht ein paar lustige Tweets aus dem Büro.
Direktes Abgreifen beim User
Das sogenannte Phishing (password harvesting + fishing) läuft über Eure E-Mail Adresse, an die jemand über egal welchen Weg gelangen kann – selbst durch Visitenkarten. In Eurem E-Mail Postfach, das solche Mails im besten Fall direkt in den Spam-Ordner packt, findet Ihr dann echt wirkende Nachrichten von oftmals bekannten Firmen oder Organisationen. Per Link verweisen sie auf andere Seiten, die die originalen Websites imitieren, und fordern Euch zur Eingabe Eurer Daten auf. Der Vorwand kann logischerweise variieren. Die gesammelten Daten können beispielsweise dazu verwendet werden, in Euren Namen bei Online-Diensten zu bestellen und hohe Kosten zu verursachen. Zu beachten ist hier, dass seriöse Firmen niemals eine solche Aufforderung stellen.
Keylogger
Als Soft- oder Hardware protokolliert ein Keylogger entweder alle oder durch einen Algorithmus selektierte Eingaben, die relevant sein könnten – vor allem Passwörter. Als Software installiert sich der unerwünschte Protokollant über das Internet und ist öfter Teil einer umfangreicheren Schadsoftware. Je nach Typ sendet der Keylogger die Daten direkt an ein Zielsystem, selbst die Hardware basierten Keylogger, die mit einer Funkschnittstelle ausgestattet sind. Diese arbeiten unabhängig vom Betriebssystem und speichern die Daten lokal auf einem Datenträger, wodurch sie vielseitig einsetzbar sind. Beispielsweise getarnt als Werbegeschenk, das jemand im Büro erhält und sorglos an seinen PC anschließt.
Top 20 der deutschen Passwörter
Das Hasso Plattner Institut (HPI) veröffentlicht auf Grundlage des HPI Identity Leak Checkers jährlich die beliebtesten Passwörter der deutschen Internetnutzer, die offensichtlich nicht sonderlich kreativ, geschweige denn sichere Passwörter sind:
1. 123456 | 11. dragon |
2. 123456789 | 12. iloveyou |
3. 12345678 | 13. password1 |
4. 1234567 | 14. monkey |
5. password | 15. qwertz123 |
6. 111111 | 16. target123 |
7. 123456789 | 17. tinkle |
8. 123123 | 18. qwertz |
9. 000000 | 19. 1q2w3e4r |
10. abc123 | 20. 222222 |
Ich hoffe mal, dass Ihr Euch hier nicht wiederfindet, aber vielleicht in der Anfang 2019 veröffentlichten Passwort Collections #1-5, in der ungefähr 2,2 Milliarden Nutzerdaten aufgelistet sind. Falls Ihr es noch nicht getan haben solltet oder es an Euch vorbeigegangen ist, überprüft gerne mal per Leak Checker des HPI, ob ihr betroffen seid.
Tipps zur Passworterstellung
Kommen wir endlich zum Ende und beginnen mit der Ernüchterung, dass es hundertprozentig sichere Passwörter nicht gibt. Das sollte sich eventuell durch das ganze Vorspiel schon abgezeichnet haben, aber es gibt Möglichkeiten, es Hackern immerhin schwer zu machen.
Falls Eure Firma immer noch Richtlinien vorgeben sollte, die vorsehen, dass das Passwort alle 90 Tage geändert werden und genutzte Wörter Sonderzeichen beinhalten sollen, dann vergesst diese direkt. Die 2003 verfassten Empfehlungen des “NIST Special Publication 800-63. Appendix A” bereut der Verfasser Bill Burr heute. Eigentlich schon seit 2017. Stattdessen werden lange Passwörter empfohlen.
Acht Zeichen sind das Minimum für einigermaßen sichere Passwörter, aber umso mehr, desto besser. Ihr könnt also im Prinzip ganze Sätze bilden, solltet aber keine bekannten Phrasen nutzen. Ein Tabu sind logische Zahlen- oder Buchstabenreihen, genauso wie Geburtsdaten oder Namen aus der sozialen Umgebung. Übrigens solltet Ihr auf Umlaute verzichten, aus dem einfachen Grund, dass ihr in anderen Ländern eventuell nicht auf ein deutsches Tastaturlayout treffen werdet. Empfehlenswert ist natürlich auch, dass Ihr für jede Registrierung ein neues Passwort erstellt. Wie man sich all diese Passwörter merken soll, ist eine Frage, die beispielsweise mit einem Kennwort-Tresor beantwortet werden kann.
Falls Ihr Euch genauer mit den Methoden des Hackings oder der IT-Sicherheit beschäftigen wollt, stöbert einfach mal ein wenig bei Security-Insider herum.
Seid Ihr schon Opfer von Passwort- oder Datenklau geworden, oder habt eine Methode, wie Ihr Eure Passwörter erstellt oder sicher aufbewahrt? Lasst es uns wissen, falls Euch an Sicherheit immer noch nichts liegt.
Kommentare