• Home
  • Seit 1998 unabhängiger IT- und Tech Kanal, Forum mit über 1 Million registrierter Usern
• Board
  • Seit 1998 unabhängiger IT- und Tech Kanal, Forum mit über 1 Million registrierter Usern
• Nachrichten
  • Topnews
  • Interviews
  • Glossen
  • Reportagen
  • Kurioses
  • RSS-Feed
  • Twitter
  • Newsletter
• NewsPresso
  • Newsübersicht
  • Regeln
  • Highscore
  • RSS-Feed
• Internet
  • Denkanstösse
  • Wissenswertes
  • Filesharing
  • Tools
• IT-Sicherheit
  • Rechtliches
  • Anonymität
  • Cybercrime / Cyberwar
  • Verschlüsselung
  • Netzsperren
  • IT-Forensik
  • Linux-Server
  • Passwörter
  • Spam
  • WLAN
• Unterhaltung
  • Bild und Film
  • Ton und Musik
  • Mobile Endgeräte
  • PC und N-books
  • Internet
  • Spiele
  • Roboter
• Ansichtssache
  • Kommentiere und bewerte die Fundstücke.
• Chat
  • Anleitungen
  • Webchat
  • Channelstats
  • Zitate

Passwörter

Die gängigste Methode, Daten vor fremden Zugriff zu schützen, ist momentan die Verwendung von Passwörtern. Dabei jedoch gibt es einige Regeln zu beachten.

Die gängigste Methode, Daten vor fremden Zugriff zu schützen, ist momentan die Verwendung von Passwörtern (andere Methoden wie beispielsweise Biometrie oder das Arbeiten mit Sicherheitszertifikaten haben sich zumindest im privaten Bereich nicht richtig durchgesetzt und spielen nur eine quantitativ weit geringere Rolle). Dabei jedoch gibt es einige Regeln zu beachten, um Angreifern das Leben nicht zu leicht zu machen – gerade die extreme Verbreitung dieser Authentifizierungs-Methode hat nämlich auch einige kluge Angriffmethoden hervorgebracht, vor denen schwach gewählte Passwörter schnell kapitulieren.

Mit einigen Tricks bei der Erstellung von Passwörtern kann man sich vor vielen dieser Angriffe schützen. Die Anforderungen an ein sicheres Passwort sind jedoch für Anfänger oft sehr verwirrend. Je nach Angriffs-Szenario sehen auch die Anforderungen an Passwörter, die diesen Angriffen standhalten, unterschiedlich aus, und da man nie genau weiß, mit welchen Methoden einem Passwort zu Leibe gerückt wird, sollte das eigene Passwort allen verbreiteten Angriffen etwas entgegenzusetzen haben. Trotzdem muss es noch benutzbar sein, das heißt, man sollte im Alltag in der Lage sein, mit dem Passwort auch umzugehen. Wie genau erreicht man das?

Vorab sei gesagt, dass es keine allgemeingültige Weisheit gibt, wie genau das ideale Passwort auszusehen hat. Es gibt lediglich generelle Empfehlungen und Tipps, die dabei helfen, verbreitete Fehler zu vermeiden und ein möglichst sicheres Passwort zu bilden. Genau diese Empfehlungen und Tipps sollen Gegenstand dieses Textes sein.

Ein wichtiger Grundsatz ist, dass ein Passwort auf gar keinen Fall zu kurz sein darf. Anderenfalls kann es leicht durch Durchprobieren aller möglichen Kombinationen ("Brute Force") erraten werden. Da die Rechenleistung selbst privater PCs mittlerweile sehr groß ist und noch weiter anwachsen wird, sollte ein sicheres Passwort in jedem Fall mindestens acht Zeichen umfassen. Da die Rechenzeit mit jedem zusätzlichen Zeichen exponentiell steigt, macht bereits ein Zeichen mehr einen großen Unterschied.

Password, ©2003-2010 lonelyplanetgirl

Ebenfalls nicht schaden kann es, neben Buchstaben auch Zahlen und Sonderzeichen (sofern die technischen Möglichkeiten es erlauben) zu verwenden. Dadurch wird die Anzahl möglicher Kombinationen extrem erhöht. Ein vierstelliges Passwort bestehend nur aus den Ziffern von 0-9 lässt beispielsweise 10^4, also 10000, mögliche Kombinationen zu. Nähme man zusätzlich noch Groß- und Kleinbuchstaben hinzu, käme man schon auf 62^4, also in etwa 1.4776336*10^7, Möglichkeiten. Dieser Effekt wirkt sich logischerweise bei längeren Passwörtern noch weit stärker aus.

Übrigens schützt die Länge von Passwörtern nicht nur vor Brute Force-Angriffen. Auch komplexere Angriffsszenarien beispielsweise mit Rainbow Tables, die auf vorab berechneten Tabellen von Passwort-Hashes beruhen, kapitulieren vor langen Passwörtern mit großem Zeichenvorrat.

Eine weitere wichtige Eigenschaft sicherer Passwörter leitet sich aus der Möglichkeit sogenannter Wörterbuch-Attacken ab. Bei einer Wörterbuch-Attacke (englisch "Dictionary Attack" werden alle Wörter einer Wörterbuch-Datei als Passwort durchprobiert. Ein sicheres Passwort sollte daher kein verbreiteter Begriff oder Name sein, der in gängigen Wortlisten zu finden ist. Anderenfalls bietet auch die Länge des Passworts keinen Schutz, denn das verwendete Wörterbuch kann logischerweise Begriffe fast beliebiger Länge enthalten.

Bei all diesen Anforderungen darf man aber einen anderen Aspekt nicht vergessen: Ein Passwort, dass man häufig, womöglich täglich benutzt, muss auch einigermaßen leicht zu merken (idealerweise sogar leicht einzutippen) sein. Ein Passwort-Manager würde hier zwar Abhilfe schaffen, gerät aber schnell an seine Grenzen, wenn man mehrere Computer benutzt. Außerdem gab es bereits Fälle, wo Passwort-Manager ihrerseits Sicherheitslücken aufwiesen, über die die darin abgelegten Passwörter gestohlen werden konnten. Es ist also sinnvoll, ein Passwort zu wählen, dass man sich selbst merken kann. Das beste Passwort ist vollkommen sinnlos, wenn man es vergisst und sich selbst aussperrt oder man es auf ein Post-It schreibt und auf den Monitor klebt, wo es dann dem erstbesten Kollegen in die Hände fällt (oder sogar weniger wohlwollenden Personen, die morgens um fünf vor der Tür stehen).

Wie aber kommt man zu einem solchen Passwort? Hier kommen wir in den Bereich, in dem es mehrere verschiedene Möglichkeiten gibt, deren Anwendung auch vom persönlichen Stil abhängt. Einige Fachleute schwören beispielsweise darauf, ein immer gleiches (sicher aufgebautes) Passwort mit Teilen der Website-URL, möglicherweise durch einen Algorithmus wie die Cäsar-Verschiebung weiter verfremdet, zu kombinieren. Wer viel im Internet unterwegs ist, verwendet möglicherweise gerne Leetspeak oder ähnliches, um auf Passwörter zu kommen, die für einen selbst zwar Sinn ergeben, aber nicht im Wörterbuch stehen. Auf Fremdsprachen sollte man sich nicht unbedingt verlassen, zumindest nicht als einzige Sicherheitsmaßnahme – zwar wird kaum ein Angreifer beispielsweise spanisch oder isländisch können, es ist aber ohne weiteres möglich, entsprechende Wortlisten aus dem Internet herunterzuladen. Ansonsten sind der eigenen Fantasie hier wenig Grenzen gesetzt – alles, was Begriffe verfremdet, und für einen selbst, aber nicht auf den ersten Blick für andere einen Sinn ergibt, ist eine gute Idee. Schlecht ist dagegen alles, was auf Anhieb mit der eigenen Person assoziiert wird; das Geburtsdatum ebenso wie der Name des Haustieres oder der Lieblingsfilm (der selbstverständlich bei StudiVZ angegeben wurde).

Einen Sonderfall stellen die sogenannten Passphrases für bestimmte kryptographische Anwendungen, beispielsweise die Verschlüsselung kompletter Betriebssysteme mit Hilfe von Programmen wie TrueCrypt oder Linux-Bordmitteln, dar. Hier kann es durchaus sinnvoll sein, auf 20 oder 30 Zeichen Länge zu kommen, was Sätze oder Aneinanderreihungen von Begriffen (natürlich nach den oben genannten Regeln) nahelegt. Vorsichtig muss man hierbei unter Umständen mit der Verwendung von Sonderzeichen sein: Bei Linux wird mitunter das richtige (deutsche) Keyboard-Layout erst mit der grafischen Benutzeroberfläche geladen, so dass sich Umlaute und Sonderzeichen womöglich nicht an der richtigen Stelle befinden, wenn man versucht, beim Booten die Passphrase einzugeben.

Annika Kremer am 20. Juli 2010