Passwörter erlauben heutzutage den Zugang zu geheimen Informationen, Firmeninternas, Kundendaten und persönlichen Einstellungen. Sie ersetzen im Internetzeitalter den Schlüssel, mit dem früher nichtöffentliche Informationen und Dinge in einem Schrank verschlossen wurden.
Dies ist der Grund, warum es von hoher Bedeutung ist, Passwörter geheim zu halten und dafür zu sorgen, dass diese keinesfalls in fremde Hände geraten.
Abgesehen davon, dass Mitarbeiter persönliche Passwörter gerne mal bei allgemeinen Umfragen oder bei Rückfragen von Personen, die sich Admin nennen, freiwillig herausgeben, sollte das Passwort nicht erraten oder geknackt werden können. Um dies sicherzustellen sollte ein Passwort grundsätzlich zufällig gewählt werden.
Social Engineering
Gute Passwörter sollten keine persönliche Daten enthalten. Geburtstage und -jahre, Namen von Kindern oder Enkeln oder auch Telefonnummer, Hausnummern und ähnliches sind generell nicht zu benutzen, da diese von Personen aus Ihrem Umfeld leicht erraten werden können. Diese Methode nennt man ’social engineering‘, das Ausspähen des Passwortes durch Kenntnis des sozialen Umfeldes.
Auch kann sich ein Übeltäter beim Blick über die Schulter ein Passwort schneller merken, wenn es aus Buchstaben eines normalen Wortes besteht.
Damit scheiden folgende Passwörter generell aus:
- michael (Name)
- michael75 (Name + Geburtsjahr)
- mb75 (Initialen + Geburtsjahr)
- asdfg (Muster auf der Tastatur)
Übrigens: Ein Systemadministrator kann das Passwort jederzeit neu setzen oder ohne Passwort auf Daten zugreifen. Daher sollten Sie niemals auf Rückfrage des Admins Ihr Passwort bekannt geben. Es kann sich hier nur um einen Betrugsversuch handeln!
Wörterbuch-Attacken
Auch Passwörter, die aus Wörtern bestehen, die im Wörterbuch zu finden sind – auch Kombinationen daraus – sind nicht geeignet. Es gibt nämlich genug Programme im Internet, die einfach alle Wörter aus einem Wörterbüchern ausprobieren und so das Passwort knacken. Ungeeignet sind also auch folgende Passwörter:
- Italien (steht im Wörterbuch)
- tycoon (steht im englischen Wörterbuch)
- Italien89 (steht im Wörterbuch + eine Zahl)
Brute-Force-Attacken
Passwörter sollten zudem mindestens 6 Zeichen lang sein, besser noch 8 oder mehr Zeichen. Zum einen, damit man es sich beim Blick
über die Ihre Schulter nicht sofort merken kann, zum zweiten aber, damit automatische Passwort-Knack-Programme, welche einfach alle Kombinationen ausprobieren keine Chance haben. Damit scheiden folgende Passwörter aus:
- mhb
- mb75
- ipx2004
Pattern
Muster jeglicher Art sollten in Passwörtern dringend vermieden werden, da Knackprogramme entsprechende Pattern durch probieren erraten können. Unter Muster zählen sowohl Zahlenreihen, Buchstabenreihen im Alphabet aber auch entlang der Tastatur.
Es gibt nicht sehr viele Möglichkeiten für solche Reihen, daher sind diese besonders schnell zu knacken. Damit schließen sich also auch folgende Passwörter aus:
- 123456
- abcdef
- asdfgh
- qwertz
Gute Passwörter
Ein gutes Passwort besteht aus 6 Zeichen, besser noch 8 oder mehr Zeichen. Es enthält zufällige Kombinationen von Zeichentypen jeder Art, also Klein- und Großbuchstaben, Zahlen und auch Sonderzeichen.
Das Passwort sollte keinen Rückschluss auf den Inhaber zulassen und ist bestenfalls auch nicht als Wort lesbar. Je zufälliger das Passwort aussieht, desto sicherer ist es:
- 2zbFXc/Ycq
- e4J9nuPGaw
- A456UTd.TQ
Etwas Mathematik…
Die Zeit, um ein Passwort mit einem Knackprogramm herauszufinden hängt maßgeblich von den möglichen Kombinationen ab, die das Programm versuchen muß. Ein einfaches Beispiel:
Sehe ich meine Kollegin beim Eingeben Ihres Passwortes nur im Bereich der Buchstaben tippen, sehe dabei nur einen Finger arbeiten und höre ich 4 Tastenanschläge, so weiss ich sofort, dass das Passwort aus 4 Buchstaben besteht und vermutlich keine Großbuchstabend enthält, da sie sonst mindestens 2 Finger eingesetzt hätte.
Es gibt 26 verschiedene Kleinbuchstaben und wir haben genau 4 Zeichen. Also gibt es 4^26 (262626*26) verschiedene Möglichkeiten, wie das Passwort lauten kann, das ergibt also etwa 500.000 verschiedene Möglichkeiten.
Mathematisch betrachtet wird man im Schnitt bei der Hälfte der möglichen Versuche Erfolg haben, also gehe ich von etwa 250.000 Versuchen aus, bis ich das Passwort habe.
Mit meinem Knackprogramm, welches 1000 Versuche pro Minute macht, kann ich das Passwort also vermutlich in 250 Minuten, also etwas mehr als 4 Stunden knacken. Nachdem aber meine Kollegin gar nicht merkt, dass ich gerade über’s Netzwerk versuche, auf Ihren PC zu kommen, kann ich das in Ruhe während einem Arbeitstag laufen lassen, während sie am PC sitzt und ahnungslos weiterarbeitet. Und morgen kann ich dann alles mitlesen, was sie so macht…
Ein anderes Beispiel: Ein anderer Kollege benutzt ein kompliziertes Passwort – ich höre 8 Anschläge. Er benutzt auch Großbuchstaben, zwischendurch mal Zahlen und tippt auch Zeichen ziemlich auf der rechten Seite – also scheinbar Sonderzeichen.
Ich muss also davon ausgehen, dass er Kleinbuchstaben (26 Möglichkeiten), Großbuchstaben (26), Zahlen (10) und auch Sonderzeichen (ca. 38) benutzt, also haben wir etwa 100 verschiedene Möglichkeiten je Zeichen und das bei einer Passwortlänge von 8 Zeichen.
Gemäß der Formel [Kombinationen] ^ [Länge] / 2 liegen wir hier also bei einer durchschnittlichen Trefferwahrscheinlichkeit nach etwa 5 Billiarden Versuchen. Mein Programm, das immer noch etwa 1000 Versuche pro Minute macht, würde also 5 Billionen Minuten brauchen, bis es das Passwort erraten hat. Das entspricht etwa 9 Millionen Jahren.
Gut, mit etwas Glück hat mein Programm das Passwort auch schon nach 3 Millionen Jahren geknackt, nur leider wird es bis dahin weder mir etwas bringen noch wird es meinen Kollegen stören.
Die beiden Beispiele zeigen also deutlich, dass Länge und Zeichensatz eine entscheidende Rolle spielt, wenn es darum geht, das Passwort sicher zu gestalten.
Ganz schlimm steht es übrigens um Wörtern aus dem Wörterbuch. Mein deutsches Wörterbuch (/usr/share/dict/ngerman) umfasst zur Zeit 308860 Wörter. Nutzt man dahinter dem Wort noch die Jahreszahl, welche ja nicht von 00-99 liegt, sondern bei Menschen im mittlerem Alter meist im Bereich 60-90, ergibt das also trotz langem Passwort nur etwa 9 Millionen Kombinationen, welches mein Knackprogramm bei 1000 Versuchen pro Minute locker in 3 Tagen rausfinden kann.
Das Beispiel zeigt, dass ein Passwort aus 4 Zeichen bei vollem Zeichenumfang mit etwa 100 Millionen Kombinationen um den Faktor 11 sicherer ist als ein langes Passwort aus einem Wörterbuch inklusive einer Jahreszahl am Ende.
Passwort-Recycling
Die schlechteste von allen ist übrigens, Passwörter sehr lange Zeit oder bei verschiedenen Diensten mehrfach zu nutzen. Jeder Systemadministrator kann sich mit etwas krimineller Energie Zugriff auf das Passwort seiner Nutzer verschaffen und mit gleichem Benutzernamen dann diverse Dienste ausprobieren.
Ein im kleinen E-Shop bestelltes Kleidungsstück kann dann schnell dazu führen, dass plötzlich größere Mengen Hardware von Amazon auf Ihrem Namen geordert werden. Und selbst ein Bekannter, der ein Passwort mal zufällig irgendwo gesehen hat, kann in die Versuchung kommen, bei eBay und Paypal mal prüfen, ob man damit nicht vielleicht den Weihnachtseinkauf günstiger erledigen könnte.
Und wer schonmal überlegt hat, wie viele Kollegen die vertrauliche PIN an der Eingangstürkontrolle schon beim Tippen sehen könnte, sollte sich Gedanken machen, wenn eines Tages mal die Kontokarte fehlt. Denn wer hier die selbe Nummer benutzt handelt laut der Bank grob fahrlässig und erhält keinen Ersatz.
Eselsbrücken
Immer wieder behaupten Leute, sie würden einfache Passwörter vorziehen, da komplizierte Kombinationen wie 2zbFXc/Ycq kaum zu merken sind. Obwohl es eigentlich unklug ist, gibt es einen einfachen Weg, sich Passwörter dennoch zu merken: Bilden Sie ein Passwort aus den Anfangsbuchstaben eines Satzes.
Der Satz sollte natürlich anderen nicht bekannt sein, doch das sollte sich problemlos einrichten lassen. Er sollte aber auch Zahlen und Sonderzeichen berüchsichtigen.
Nehmen wir folgenden Satz: ‚Ich war zuletzt 88 in Italien.‘
Der Satz läßt sich als Passwort Iwz88iI. schreiben und enthält neben 8 Zeichen sowohl Groß- als auch Kleinbuchstaben, Zahlen und Sonderzeichen, was also 10 Billiarden Kombinationen ergibt und damit als Sicher gelten sollte.
Noch besser ist es, Zeichen durch ähnlich aussehende Sonderzeichen zu ersetzen, um Sonderzeichen nicht nur am Ende sondern auch mitten im Passwort er erhalten.
Nehmen wir den Satz: ‚Ich habe ein Cisco IP Phone auf dem Schreibtisch‘, würde dies erstmal IheCIPPadS ergeben.
Ersetze ich das große I durch ein Pipe-Symbol und das C durch eine öffnende Klammer, haben wir dieses Passwort: |he(|PPadS
Die Vorteile: Niemand, weder im Bekanntenkreis noch unter den Arbeitskollegen, kennt dieses Passwort oder den Satz dahinter, es hat 10 Zeichen lang und dennoch einfach zu merken und schnell zu tippen und selbst ein Blick über meine Schulter ergibt nur ein verwirrendes Tippen auf der Tastatur, bei dem kaum ein Muster zu erkennen ist.
Zusammenfassung
- Passwörter werden nie jemandem mitgeteilt
- Nicht dem Systemadministrator
- Nicht der eigenen Urlaubsvertretung
- Nicht fremden Personen in einer Umfrage
- Passwörter enthalten…
- keine persönlichen Daten
- keine Wörter aus Wörterbüchern
- keine Muster oder Reihen
- mindestens 8 Zeichen
- alle Zeichen, also
- Kleinbuchstaben
- Großbuchstaben
- Zahlen
- Sonderzeichen
- Passwörter werden niemals mehrfach benutzt
- Passwörter werden regelmäßig gewechselt.
- Eselsbrücke sind erlaubt, solange dadurch niemand auf das Passwort oder Teile davon kommen kann.