26<\/em>26*26) verschiedene M\u00f6glichkeiten, wie das Passwort lauten kann, das ergibt also etwa 500.000 verschiedene M\u00f6glichkeiten.<\/p>\nMathematisch betrachtet wird man im Schnitt bei der H\u00e4lfte der m\u00f6glichen Versuche Erfolg haben, also gehe ich von etwa 250.000 Versuchen aus, bis ich das Passwort habe.<\/p>\n
Mit meinem Knackprogramm, welches 1000 Versuche pro Minute macht, kann ich das Passwort also vermutlich in 250 Minuten, also etwas mehr als 4 Stunden knacken. Nachdem aber meine Kollegin gar nicht merkt, dass ich gerade \u00fcber’s Netzwerk versuche, auf Ihren PC zu kommen, kann ich das in Ruhe w\u00e4hrend einem Arbeitstag laufen lassen, w\u00e4hrend sie am PC sitzt und ahnungslos weiterarbeitet. Und morgen kann ich dann alles mitlesen, was sie so macht…<\/p>\n
Ein anderes Beispiel: Ein anderer Kollege benutzt ein kompliziertes Passwort – ich h\u00f6re 8 Anschl\u00e4ge. Er benutzt auch Gro\u00dfbuchstaben, zwischendurch mal Zahlen und tippt auch Zeichen ziemlich auf der rechten Seite – also scheinbar Sonderzeichen.<\/p>\n
Ich muss also davon ausgehen, dass er Kleinbuchstaben (26 M\u00f6glichkeiten), Gro\u00dfbuchstaben (26), Zahlen (10) und auch Sonderzeichen (ca. 38) benutzt, also haben wir etwa 100 verschiedene M\u00f6glichkeiten je Zeichen und das bei einer Passwortl\u00e4nge von 8 Zeichen.<\/p>\n
Gem\u00e4\u00df der Formel [Kombinationen] ^ [L\u00e4nge] \/ 2 liegen wir hier also bei einer durchschnittlichen Trefferwahrscheinlichkeit nach etwa 5 Billiarden Versuchen. Mein Programm, das immer noch etwa 1000 Versuche pro Minute macht, w\u00fcrde also 5 Billionen Minuten brauchen, bis es das Passwort erraten hat. Das entspricht etwa 9 Millionen Jahren.<\/p>\n
Gut, mit etwas Gl\u00fcck hat mein Programm das Passwort auch schon nach 3 Millionen Jahren geknackt, nur leider wird es bis dahin weder mir etwas bringen noch wird es meinen Kollegen st\u00f6ren.<\/p>\n
Die beiden Beispiele zeigen also deutlich, dass L\u00e4nge und Zeichensatz eine entscheidende Rolle spielt, wenn es darum geht, das Passwort sicher zu gestalten.<\/p>\n
Ganz schlimm steht es \u00fcbrigens um W\u00f6rtern aus dem W\u00f6rterbuch. Mein deutsches W\u00f6rterbuch (\/usr\/share\/dict\/ngerman) umfasst zur Zeit 308860 W\u00f6rter. Nutzt man dahinter dem Wort noch die Jahreszahl, welche ja nicht von 00-99 liegt, sondern bei Menschen im mittlerem Alter meist im Bereich 60-90, ergibt das also trotz langem Passwort nur etwa 9 Millionen Kombinationen, welches mein Knackprogramm bei 1000 Versuchen pro Minute locker in 3 Tagen rausfinden kann.<\/p>\n
Das Beispiel zeigt, dass ein Passwort aus 4 Zeichen bei vollem Zeichenumfang mit etwa 100 Millionen Kombinationen um den Faktor 11 sicherer ist als ein langes Passwort aus einem W\u00f6rterbuch inklusive einer Jahreszahl am Ende.<\/p>\n
Passwort-Recycling<\/h2>\n
Die schlechteste von allen ist \u00fcbrigens, Passw\u00f6rter sehr lange Zeit oder bei verschiedenen Diensten mehrfach zu nutzen. Jeder Systemadministrator kann sich mit etwas krimineller Energie Zugriff auf das Passwort seiner Nutzer verschaffen und mit gleichem Benutzernamen dann diverse Dienste ausprobieren.<\/p>\n
Ein im kleinen E-Shop bestelltes Kleidungsst\u00fcck kann dann schnell dazu f\u00fchren, dass pl\u00f6tzlich gr\u00f6\u00dfere Mengen Hardware von Amazon auf Ihrem Namen geordert werden. Und selbst ein Bekannter, der ein Passwort mal zuf\u00e4llig irgendwo gesehen hat, kann in die Versuchung kommen, bei eBay und Paypal mal pr\u00fcfen, ob man damit nicht vielleicht den Weihnachtseinkauf g\u00fcnstiger erledigen k\u00f6nnte.<\/p>\n
Und wer schonmal \u00fcberlegt hat, wie viele Kollegen die vertrauliche PIN an der Eingangst\u00fcrkontrolle schon beim Tippen sehen k\u00f6nnte, sollte sich Gedanken machen, wenn eines Tages mal die Kontokarte fehlt. Denn wer hier die selbe Nummer benutzt handelt laut der Bank grob fahrl\u00e4ssig und erh\u00e4lt keinen Ersatz.<\/p>\n
Eselsbr\u00fccken<\/h2>\n
Immer wieder behaupten Leute, sie w\u00fcrden einfache Passw\u00f6rter vorziehen, da komplizierte Kombinationen wie 2zbFXc\/Ycq kaum zu merken sind. Obwohl es eigentlich unklug ist, gibt es einen einfachen Weg, sich Passw\u00f6rter dennoch zu merken: Bilden Sie ein Passwort aus den Anfangsbuchstaben eines Satzes.<\/p>\n
Der Satz sollte nat\u00fcrlich anderen nicht bekannt sein, doch das sollte sich problemlos einrichten lassen. Er sollte aber auch Zahlen und Sonderzeichen ber\u00fcchsichtigen.<\/p>\n
Nehmen wir folgenden Satz: ‚Ich war zuletzt 88 in Italien.‘<\/p>\n
Der Satz l\u00e4\u00dft sich als Passwort Iwz88iI. schreiben und enth\u00e4lt neben 8 Zeichen sowohl Gro\u00df- als auch Kleinbuchstaben, Zahlen und Sonderzeichen, was also 10 Billiarden Kombinationen ergibt und damit als Sicher gelten sollte.<\/p>\n
Noch besser ist es, Zeichen durch \u00e4hnlich aussehende Sonderzeichen zu ersetzen, um Sonderzeichen nicht nur am Ende sondern auch mitten im Passwort er erhalten.<\/p>\n
Nehmen wir den Satz: ‚Ich habe ein Cisco IP Phone auf dem Schreibtisch‘, w\u00fcrde dies erstmal IheCIPPadS ergeben.<\/p>\n
Ersetze ich das gro\u00dfe I durch ein Pipe-Symbol und das C durch eine \u00f6ffnende Klammer, haben wir dieses Passwort: |he(|PPadS<\/p>\n
Die Vorteile: Niemand, weder im Bekanntenkreis noch unter den Arbeitskollegen, kennt dieses Passwort oder den Satz dahinter, es hat 10 Zeichen lang und dennoch einfach zu merken und schnell zu tippen und selbst ein Blick \u00fcber meine Schulter ergibt nur ein verwirrendes Tippen auf der Tastatur, bei dem kaum ein Muster zu erkennen ist.<\/p>\n
Zusammenfassung<\/h2>\n\n- Passw\u00f6rter werden nie jemandem mitgeteilt\n
\n- Nicht dem Systemadministrator<\/li>\n
- Nicht der eigenen Urlaubsvertretung<\/li>\n
- Nicht fremden Personen in einer Umfrage<\/li>\n<\/ul>\n<\/li>\n
- Passw\u00f6rter enthalten…\n
\n- keine pers\u00f6nlichen Daten<\/li>\n
- keine W\u00f6rter aus W\u00f6rterb\u00fcchern<\/li>\n
- keine Muster oder Reihen<\/li>\n
- mindestens 8 Zeichen<\/li>\n
- alle Zeichen, also\n
\n- Kleinbuchstaben<\/li>\n
- Gro\u00dfbuchstaben<\/li>\n
- Zahlen<\/li>\n
- Sonderzeichen<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n
- Passw\u00f6rter werden niemals mehrfach benutzt<\/li>\n
- Passw\u00f6rter werden regelm\u00e4\u00dfig gewechselt.<\/li>\n
- Eselsbr\u00fccke sind erlaubt, solange dadurch niemand auf das Passwort oder Teile davon kommen kann.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"
Passw\u00f6rter erlauben heutzutage den Zugang zu geheimen Informationen, Firmeninternas, Kundendaten und pers\u00f6nlichen Einstellungen. Sie ersetzen im Internetzeitalter den Schl\u00fcssel, mit dem fr\u00fcher nicht\u00f6ffentliche Informationen und Dinge in einem Schrank verschlossen wurden. Dies ist der Grund, warum es von hoher Bedeutung ist, Passw\u00f6rter geheim zu halten und daf\u00fcr zu sorgen, dass diese keinesfalls in fremde H\u00e4nde […]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":252,"menu_order":0,"comment_status":"open","ping_status":"open","template":"","meta":[],"_links":{"self":[{"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/pages\/214"}],"collection":[{"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/comments?post=214"}],"version-history":[{"count":0,"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/pages\/214\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/pages\/252"}],"wp:attachment":[{"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/media?parent=214"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}