{"id":214,"date":"2009-04-21T20:36:11","date_gmt":"2009-04-21T18:36:11","guid":{"rendered":"http:\/\/www.butschek.de\/?page_id=214"},"modified":"2009-04-21T20:36:11","modified_gmt":"2009-04-21T18:36:11","slug":"sichere-passworter","status":"publish","type":"page","link":"https:\/\/www.butschek.de\/fachartikel\/sichere-passworter\/","title":{"rendered":"Sichere Passw\u00f6rter"},"content":{"rendered":"<div style=\"width: 242px\" class=\"wp-caption alignleft\"><img loading=\"lazy\" title=\"Passwordabfrage\" src=\"\/files\/pages\/sichere-passwoerter\/password.png\" alt=\"Passw\u00f6rter sichern unsere Identit\u00e4t im Internet\" width=\"232\" height=\"134\" \/><p class=\"wp-caption-text\">Passw\u00f6rter sichern unsere Identit\u00e4t im Internet und sollten damit m\u00f6glichst hohe Sicherheit bieten.<\/p><\/div>\n<p>Passw\u00f6rter erlauben heutzutage den Zugang zu geheimen Informationen, Firmeninternas, Kundendaten und pers\u00f6nlichen Einstellungen. Sie ersetzen im Internetzeitalter den Schl\u00fcssel, mit dem fr\u00fcher nicht\u00f6ffentliche Informationen und Dinge in einem Schrank verschlossen wurden.<\/p>\n<p>Dies ist der Grund, warum es von hoher Bedeutung ist, Passw\u00f6rter geheim zu halten und daf\u00fcr zu sorgen, dass diese keinesfalls in fremde H\u00e4nde geraten.<\/p>\n<p>Abgesehen davon, dass Mitarbeiter pers\u00f6nliche Passw\u00f6rter gerne mal bei allgemeinen Umfragen oder bei R\u00fcckfragen von Personen, die sich Admin nennen, freiwillig herausgeben, sollte das Passwort nicht erraten oder geknackt werden k\u00f6nnen. Um dies sicherzustellen sollte ein Passwort grunds\u00e4tzlich zuf\u00e4llig gew\u00e4hlt werden.<\/p>\n<h2>Social Engineering<\/h2>\n<p>Gute Passw\u00f6rter sollten keine pers\u00f6nliche Daten enthalten. Geburtstage und -jahre, Namen von Kindern oder Enkeln oder auch Telefonnummer, Hausnummern und \u00e4hnliches sind generell nicht zu benutzen, da diese von Personen aus Ihrem Umfeld leicht erraten werden k\u00f6nnen. Diese Methode nennt man &#8217;social engineering&#8216;, das Aussp\u00e4hen des Passwortes durch Kenntnis des sozialen Umfeldes.<\/p>\n<p>Auch kann sich ein \u00dcbelt\u00e4ter beim Blick \u00fcber die Schulter ein Passwort schneller merken, wenn es aus Buchstaben eines normalen Wortes besteht.<\/p>\n<p>Damit scheiden folgende Passw\u00f6rter generell aus:<\/p>\n<ul>\n<li>michael (Name)<\/li>\n<li>michael75 (Name + Geburtsjahr)<\/li>\n<li>mb75 (Initialen + Geburtsjahr)<\/li>\n<li>asdfg (Muster auf der Tastatur)<\/li>\n<\/ul>\n<p>\u00dcbrigens: Ein Systemadministrator kann das Passwort jederzeit neu setzen oder ohne Passwort auf Daten zugreifen. Daher sollten Sie niemals auf R\u00fcckfrage des Admins Ihr Passwort bekannt geben. Es kann sich hier nur um einen Betrugsversuch handeln!<\/p>\n<h2>W\u00f6rterbuch-Attacken<\/h2>\n<p>Auch Passw\u00f6rter, die aus W\u00f6rtern bestehen, die im W\u00f6rterbuch zu finden sind &#8211; auch Kombinationen daraus &#8211; sind nicht geeignet. Es gibt n\u00e4mlich genug Programme im Internet, die einfach alle W\u00f6rter aus einem W\u00f6rterb\u00fcchern ausprobieren und so das Passwort knacken. Ungeeignet sind also auch folgende Passw\u00f6rter:<\/p>\n<ul>\n<li>Italien (steht im W\u00f6rterbuch)<\/li>\n<li>tycoon (steht im englischen W\u00f6rterbuch)<\/li>\n<li>Italien89 (steht im W\u00f6rterbuch + eine Zahl)<\/li>\n<\/ul>\n<h2>Brute-Force-Attacken<\/h2>\n<p>Passw\u00f6rter sollten zudem mindestens 6 Zeichen lang sein, besser noch 8 oder mehr Zeichen. Zum einen, damit man es sich beim Blick<\/p>\n<p>\u00fcber die Ihre Schulter nicht sofort merken kann, zum zweiten aber, damit automatische Passwort-Knack-Programme, welche einfach alle Kombinationen ausprobieren keine Chance haben. Damit scheiden folgende Passw\u00f6rter aus:<\/p>\n<ul>\n<li>mhb<\/li>\n<li>mb75<\/li>\n<li>ipx2004<\/li>\n<\/ul>\n<h2>Pattern<\/h2>\n<p>Muster jeglicher Art sollten in Passw\u00f6rtern dringend vermieden werden, da Knackprogramme entsprechende Pattern durch probieren erraten k\u00f6nnen. Unter Muster z\u00e4hlen sowohl Zahlenreihen, Buchstabenreihen im Alphabet aber auch entlang der Tastatur.<\/p>\n<p>Es gibt nicht sehr viele M\u00f6glichkeiten f\u00fcr solche Reihen, daher sind diese besonders schnell zu knacken. Damit schlie\u00dfen sich also auch folgende Passw\u00f6rter aus:<\/p>\n<ul>\n<li>123456<\/li>\n<li>abcdef<\/li>\n<li>asdfgh<\/li>\n<li>qwertz<\/li>\n<\/ul>\n<h2>Gute Passw\u00f6rter<\/h2>\n<p>Ein gutes Passwort besteht aus 6 Zeichen, besser noch 8 oder mehr Zeichen. Es enth\u00e4lt zuf\u00e4llige Kombinationen von Zeichentypen jeder Art, also Klein- und Gro\u00dfbuchstaben, Zahlen und auch Sonderzeichen.<\/p>\n<p>Das Passwort sollte keinen R\u00fcckschluss auf den Inhaber zulassen und ist bestenfalls auch nicht als Wort lesbar. Je zuf\u00e4lliger das Passwort aussieht, desto sicherer ist es:<\/p>\n<ul>\n<li>2zbFXc\/Ycq<\/li>\n<li>e4J9nuPGaw<\/li>\n<li>A456UTd.TQ<\/li>\n<\/ul>\n<h2>Etwas Mathematik&#8230;<\/h2>\n<p>Die Zeit, um ein Passwort mit einem Knackprogramm herauszufinden h\u00e4ngt ma\u00dfgeblich von den m\u00f6glichen Kombinationen ab, die das Programm versuchen mu\u00df. Ein einfaches Beispiel:<\/p>\n<p>Sehe ich meine Kollegin beim Eingeben Ihres Passwortes nur im Bereich der Buchstaben tippen, sehe dabei nur einen Finger arbeiten und h\u00f6re ich 4 Tastenanschl\u00e4ge, so weiss ich sofort, dass das Passwort aus 4 Buchstaben besteht und vermutlich keine Gro\u00dfbuchstabend enth\u00e4lt, da sie sonst mindestens 2 Finger eingesetzt h\u00e4tte.<\/p>\n<p>Es gibt 26 verschiedene Kleinbuchstaben und wir haben genau 4 Zeichen. Also gibt es 4^26 (26<em>26<\/em>26*26) verschiedene M\u00f6glichkeiten, wie das Passwort lauten kann, das ergibt also etwa 500.000 verschiedene M\u00f6glichkeiten.<\/p>\n<p>Mathematisch betrachtet wird man im Schnitt bei der H\u00e4lfte der m\u00f6glichen Versuche Erfolg haben, also gehe ich von etwa 250.000 Versuchen aus, bis ich das Passwort habe.<\/p>\n<p>Mit meinem Knackprogramm, welches 1000 Versuche pro Minute macht, kann ich das Passwort also vermutlich in 250 Minuten, also etwas mehr als 4 Stunden knacken. Nachdem aber meine Kollegin gar nicht merkt, dass ich gerade \u00fcber&#8217;s Netzwerk versuche, auf Ihren PC zu kommen, kann ich das in Ruhe w\u00e4hrend einem Arbeitstag laufen lassen, w\u00e4hrend sie am PC sitzt und ahnungslos weiterarbeitet. Und morgen kann ich dann alles mitlesen, was sie so macht&#8230;<\/p>\n<p>Ein anderes Beispiel: Ein anderer Kollege benutzt ein kompliziertes Passwort &#8211; ich h\u00f6re 8 Anschl\u00e4ge. Er benutzt auch Gro\u00dfbuchstaben, zwischendurch mal Zahlen und tippt auch Zeichen ziemlich auf der rechten Seite &#8211; also scheinbar Sonderzeichen.<\/p>\n<p>Ich muss also davon ausgehen, dass er Kleinbuchstaben (26 M\u00f6glichkeiten), Gro\u00dfbuchstaben (26), Zahlen (10) und auch Sonderzeichen (ca. 38) benutzt, also haben wir etwa 100 verschiedene M\u00f6glichkeiten je Zeichen und das bei einer Passwortl\u00e4nge von 8 Zeichen.<\/p>\n<p>Gem\u00e4\u00df der Formel [Kombinationen] ^ [L\u00e4nge] \/ 2 liegen wir hier also bei einer durchschnittlichen Trefferwahrscheinlichkeit nach etwa 5 Billiarden Versuchen. Mein Programm, das immer noch etwa 1000 Versuche pro Minute macht, w\u00fcrde also 5 Billionen Minuten brauchen, bis es das Passwort erraten hat. Das entspricht etwa 9 Millionen Jahren.<\/p>\n<p>Gut, mit etwas Gl\u00fcck hat mein Programm das Passwort auch schon nach 3 Millionen Jahren geknackt, nur leider wird es bis dahin weder mir etwas bringen noch wird es meinen Kollegen st\u00f6ren.<\/p>\n<p>Die beiden Beispiele zeigen also deutlich, dass L\u00e4nge und Zeichensatz eine entscheidende Rolle spielt, wenn es darum geht, das Passwort sicher zu gestalten.<\/p>\n<p>Ganz schlimm steht es \u00fcbrigens um W\u00f6rtern aus dem W\u00f6rterbuch. Mein deutsches W\u00f6rterbuch (\/usr\/share\/dict\/ngerman) umfasst zur Zeit 308860 W\u00f6rter. Nutzt man dahinter dem Wort noch die Jahreszahl, welche ja nicht von 00-99 liegt, sondern bei Menschen im mittlerem Alter meist im Bereich 60-90, ergibt das also trotz langem Passwort nur etwa 9 Millionen Kombinationen, welches mein Knackprogramm bei 1000 Versuchen pro Minute locker in 3 Tagen rausfinden kann.<\/p>\n<p>Das Beispiel zeigt, dass ein Passwort aus 4 Zeichen bei vollem Zeichenumfang mit etwa 100 Millionen Kombinationen um den Faktor 11 sicherer ist als ein langes Passwort aus einem W\u00f6rterbuch inklusive einer Jahreszahl am Ende.<\/p>\n<h2>Passwort-Recycling<\/h2>\n<p>Die schlechteste von allen ist \u00fcbrigens, Passw\u00f6rter sehr lange Zeit oder bei verschiedenen Diensten mehrfach zu nutzen. Jeder Systemadministrator kann sich mit etwas krimineller Energie Zugriff auf das Passwort seiner Nutzer verschaffen und mit gleichem Benutzernamen dann diverse Dienste ausprobieren.<\/p>\n<p>Ein im kleinen E-Shop bestelltes Kleidungsst\u00fcck kann dann schnell dazu f\u00fchren, dass pl\u00f6tzlich gr\u00f6\u00dfere Mengen Hardware von Amazon auf Ihrem Namen geordert werden. Und selbst ein Bekannter, der ein Passwort mal zuf\u00e4llig irgendwo gesehen hat, kann in die Versuchung kommen, bei eBay und Paypal mal pr\u00fcfen, ob man damit nicht vielleicht den Weihnachtseinkauf g\u00fcnstiger erledigen k\u00f6nnte.<\/p>\n<p>Und wer schonmal \u00fcberlegt hat, wie viele Kollegen die vertrauliche PIN an der Eingangst\u00fcrkontrolle schon beim Tippen sehen k\u00f6nnte, sollte sich Gedanken machen, wenn eines Tages mal die Kontokarte fehlt. Denn wer hier die selbe Nummer benutzt handelt laut der Bank grob fahrl\u00e4ssig und erh\u00e4lt keinen Ersatz.<\/p>\n<h2>Eselsbr\u00fccken<\/h2>\n<p>Immer wieder behaupten Leute, sie w\u00fcrden einfache Passw\u00f6rter vorziehen, da komplizierte Kombinationen wie 2zbFXc\/Ycq kaum zu merken sind. Obwohl es eigentlich unklug ist, gibt es einen einfachen Weg, sich Passw\u00f6rter dennoch zu merken: Bilden Sie ein Passwort aus den Anfangsbuchstaben eines Satzes.<\/p>\n<p>Der Satz sollte nat\u00fcrlich anderen nicht bekannt sein, doch das sollte sich problemlos einrichten lassen. Er sollte aber auch Zahlen und Sonderzeichen ber\u00fcchsichtigen.<\/p>\n<p>Nehmen wir folgenden Satz: &#8218;Ich war zuletzt 88 in Italien.&#8216;<\/p>\n<p>Der Satz l\u00e4\u00dft sich als Passwort Iwz88iI. schreiben und enth\u00e4lt neben 8 Zeichen sowohl Gro\u00df- als auch Kleinbuchstaben, Zahlen und Sonderzeichen, was also 10 Billiarden Kombinationen ergibt und damit als Sicher gelten sollte.<\/p>\n<p>Noch besser ist es, Zeichen durch \u00e4hnlich aussehende Sonderzeichen zu ersetzen, um Sonderzeichen nicht nur am Ende sondern auch mitten im Passwort er erhalten.<\/p>\n<p>Nehmen wir den Satz: &#8218;Ich habe ein Cisco IP Phone auf dem Schreibtisch&#8216;, w\u00fcrde dies erstmal IheCIPPadS ergeben.<\/p>\n<p>Ersetze ich das gro\u00dfe I durch ein Pipe-Symbol und das C durch eine \u00f6ffnende Klammer, haben wir dieses Passwort: |he(|PPadS<\/p>\n<p>Die Vorteile: Niemand, weder im Bekanntenkreis noch unter den Arbeitskollegen, kennt dieses Passwort oder den Satz dahinter, es hat 10 Zeichen lang und dennoch einfach zu merken und schnell zu tippen und selbst ein Blick \u00fcber meine Schulter ergibt nur ein verwirrendes Tippen auf der Tastatur, bei dem kaum ein Muster zu erkennen ist.<\/p>\n<h2>Zusammenfassung<\/h2>\n<ul>\n<li>Passw\u00f6rter werden nie jemandem mitgeteilt\n<ul>\n<li>Nicht dem Systemadministrator<\/li>\n<li>Nicht der eigenen Urlaubsvertretung<\/li>\n<li>Nicht fremden Personen in einer Umfrage<\/li>\n<\/ul>\n<\/li>\n<li>Passw\u00f6rter enthalten&#8230;\n<ul>\n<li>keine pers\u00f6nlichen Daten<\/li>\n<li>keine W\u00f6rter aus W\u00f6rterb\u00fcchern<\/li>\n<li>keine Muster oder Reihen<\/li>\n<li>mindestens 8 Zeichen<\/li>\n<li>alle Zeichen, also\n<ul>\n<li>Kleinbuchstaben<\/li>\n<li>Gro\u00dfbuchstaben<\/li>\n<li>Zahlen<\/li>\n<li>Sonderzeichen<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<li>Passw\u00f6rter werden niemals mehrfach benutzt<\/li>\n<li>Passw\u00f6rter werden regelm\u00e4\u00dfig gewechselt.<\/li>\n<li>Eselsbr\u00fccke sind erlaubt, solange dadurch niemand auf das Passwort oder Teile davon kommen kann.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Passw\u00f6rter erlauben heutzutage den Zugang zu geheimen Informationen, Firmeninternas, Kundendaten und pers\u00f6nlichen Einstellungen. Sie ersetzen im Internetzeitalter den Schl\u00fcssel, mit dem fr\u00fcher nicht\u00f6ffentliche Informationen und Dinge in einem Schrank verschlossen wurden. Dies ist der Grund, warum es von hoher Bedeutung ist, Passw\u00f6rter geheim zu halten und daf\u00fcr zu sorgen, dass diese keinesfalls in fremde H\u00e4nde [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":252,"menu_order":0,"comment_status":"open","ping_status":"open","template":"","meta":[],"_links":{"self":[{"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/pages\/214"}],"collection":[{"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/comments?post=214"}],"version-history":[{"count":0,"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/pages\/214\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/pages\/252"}],"wp:attachment":[{"href":"https:\/\/www.butschek.de\/wp-json\/wp\/v2\/media?parent=214"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}