1899449

Die besten Tricks für ein sicheres Passwort

17.06.2014 | 11:34 Uhr |

Ein Passwort ist immer nur so sicher, wie es kompliziert ist. Zu leichte Passwörter sind in Sekunden geknackt, mit höchst unangenehmen Folgen für den Passwort-Inhaber.

Die Liste der schlechtesten Passwörter in Deutschland wird dominiert von den nicht gerade einfallsreichen Zahlenkombinationen 1234, 12345, 123456, 12345678, 696969 sowie den nicht minder schwer zu erratenden Wörtern passwort, geheim, keins, schatzi und qwertz. Das wurde mehrfach dadurch dokumentiert, dass Hacker Nutzerdaten bei Online-Diensten und Webshops gestohlen und sie dann im Internet veröffentlicht haben. Wenn auch Sie eines der genannten Passwörter verwenden, um etwa Ihren Ebay-Account oder Ihr Amazon-Konto zu schützen, dann sollten Sie unbedingt weiterlesen und die folgenden Hinweise zur Passwortsicherheit umsetzen.

Wie lange ein moderner PC braucht, um ihr Passwort zu knacken, zeigt die Webseite www.howsecureismypassword.net . Ein vermeintlich sicheres Passwort wie „g3h31m“ ist mit entsprechenden Hilfsmitteln in rund einer halben Sekunde geknackt. Für „da515tg3h31m“ braucht man hingegen 37 Jahre.

Um zu prüfen, ob eines Ihrer Passwörter gestohlen und bereits in Hacker-Foren veröffentlicht wurde, besuchen Sie den Online-Dienst „ Should I Change My Password? “. Geben Sie dort Ihre Mailadresse ein, die Sie als Benutzernamen für Internetdienste verwenden.

Der Online-Dienst Should I Change My Password? (auf Deutsch: „Sollte ich mein Passwort ändern?“) greift auf Datenbanken geknackter Passwörter seit 2007 zurück.
Vergrößern Der Online-Dienst Should I Change My Password? (auf Deutsch: „Sollte ich mein Passwort ändern?“) greift auf Datenbanken geknackter Passwörter seit 2007 zurück.

Unsichere Passwörter  - so leicht werden sie geknackt

Die Dauer des Passwort-Knackens ist abhängig von der Komplexität und Länge des Passwortes und der vom Angreifer verwendeten hardware. In den meisten Fällen kommen die folgenden zwei Angriffsarten zum Einsatz:

Wörterbuchangriff: Eine Software probiert jedes Wort einer Passwortliste und/oder eines Wörterbuches aus. Selbst Standard-Computer benötigen für den kompletten Durchlauf mit einigen Dutzend Sprachen nur wenige Sekunden. Es existieren auch Zahlenlisten. Man verwendet diese Methode, wenn man davon ausgehen kann, dass das Passwort aus einer sinnvollen Zeichenkombination besteht. Dies ist erfahrungsgemäß in den meisten Fällen so.

Erfolg versprechend ist dieses Verfahren jedoch nur, wenn ein Angreifer möglichst viele Passwörter äußerst schnell hintereinander ausprobieren kann.

Brute-Force-Attacke : oft sind Passwörter mit hilfe von kryptographischen hash-Funktionen verschlüsselt. Eine direkte Berechnung des Passworts aus dem hashwert ist praktisch nicht möglich. Ein Angreifer kann jedoch die hash-Werte vieler Passwörter berechnen. Stimmt ein Wert mit dem Wert des hinterlegten Passwortes überein, hat er das (oder ein passendes) Passwort gefunden. Brute Force („rohe Gewalt“) bedeutet hier also simples Ausprobieren von möglichen Passwörtern. Vordefinierte hash-Listen häufig verwendeter Passwörter nennt man rainbow Table. Über mehr rechen-Power bei modernen Prozessoren und Grafikkarten freuen sich nicht nur die PC-nutzer, sondern auch die Passwortknacker. Je leistungsfähiger die rechner sind, desto schneller haben sie ein Passwort durch simples Ausprobieren der möglichen Zeichenkombinationen gefunden.

Diese Brute-Force-Methode funktioniert immer, bei längeren, komplizierteren Passwörtern dauert es aber auch eine Weile. Verkürzen lässt sich die Zeit mit noch mehr rechen-Power – und die ist für wenig Geld im Internet zum Beispiel beim Amazon EC2-Service zu mieten.

Die 25 schlechtesten Passwörter der Welt

Das ist Gesetz: Passwort-Knacker sind verboten

Deutschland hat im August 2007 die EU-Vorgaben zur Bekämpfung von Computerkriminalität umgesetzt. Der Paragraf 202c des Strafgesetzbuches (StGB) hält unter „Vorbereiten des Ausspähens und Abfangens von Daten“ fest: Wer eine Straftat nach § 202a (Ausspähen von Daten) oder § 202b (Abfangen von Daten) vorbereitet, indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit einer Geldstrafe bestraft.

Apple preist den Fingerabdrucksensor und die im System hinterlegte Technik Touch ID als die beste denkbare Authentifizierung an – sie sei besser als jedes Passwort.
Vergrößern Apple preist den Fingerabdrucksensor und die im System hinterlegte Technik Touch ID als die beste denkbare Authentifizierung an – sie sei besser als jedes Passwort.

Zugriffsschutzmethoden für Geräte, Dienste und Dokumente

PC, Smartphone und Tablet können mit einem Passwort vor einem unbefugten Zugriff geschützt werden. Mehr und mehr wird das Passwort aber durch neuere Methoden abgelöst: Am Smartphone gibt es etwa ein Entsperrmuster, bei dem maximal neun Punkte miteinander verbunden werden können. Das ergibt ganze 389.122 Kombinationsmöglichkeiten.

Das iPhone 5s setzt auf Touch-ID für das Entsperren und Authentifizieren per Fingerabdruck. Im Home-Knopf ist ein Fingerabdruck- Sensor integriert, der den Finger schon beim Auflegen erkennt, nicht erst beim Drücken. Damit lässt sich das Smartphone potenziell besser schützen als durch eine PIN-Eingabe. Ein Security-Token nutzt Hardware zur Authentifizierung von Benutzern. Dazu erhält der Nutzer einen USB-Stick, eine Smartcard oder einen Chip, womit er sich am Computer oder bei bestimmten Diensten anmelden kann. Security-Tokens können personalisiert sein. Sie sind dann eindeutig einem bestimmten Benutzer zugeordnet. Zusätzlich können die Geräte mit einer PIN abgesichert sein. USB-Token haben im Gegensatz zu einer Smartcard den Vorteil, dass kein spezielles Kartenlesegerät am Computer notwendig ist.

Der Benutzer muss sich beim Security-Token nicht zwangsläufig ein Passwort merken. Viele Programme und Dienste bestehen nur darauf, dass der Token angeschlossen beziehungsweise eingesteckt ist. Bessere Sicherheit gibt es nur bei einer separaten Anmeldung. Security- Token sind etwa SIM-Karten im Handy und Zugangskarten zu Pay-TV-Angeboten. Auch der neue Personalausweis bietet eine Online-Funktion, bei der sich Nutzer über ein Kartenlesegerät ausweisen können. Leider greifen derzeit im Netz kaum Dienste darauf zurück.

Die Nachteile der Security-Token liegen klar auf der Hand: Verliert oder zerstört der Eigentümer die Hardware, schließt er sich selbst vom System aus. Kommt der Token in falsche Hände und ist nicht mit einen zusätzlichen Log-in-Schutz versehen, erhält ein möglicher Angreifer Zugriff auf Systeme oder Dienste.

Security-Token kommen meist als Ausweise zur Absicherung von Transaktionen zum Einsatz. Hier ein USB-Stick mit Zwei-Faktor-Authentifizierung.
Vergrößern Security-Token kommen meist als Ausweise zur Absicherung von Transaktionen zum Einsatz. Hier ein USB-Stick mit Zwei-Faktor-Authentifizierung.

Für Office-Dokumente gibt es eingebauten Passwortschutz

Es gibt verschiedene Motive, Dokumente mit einem Passwort zu schützen: So wollen Sie etwa nicht, dass Dritte Kenntnis vom Inhalt Ihrer Dateien erhalten und einsehen können, was Sie erstellt haben. Auch Veränderungsschutz ist ein häufiger Grund für die Verwendung eines Kennworts, etwa bei besonders wichtigen Dokumenten wie Vertragsentwürfen, Redevorlagen oder Produktinfos sowie Schriftstücken, die für einen gewissen Zeitraum einer Veröffentlichungssperre unterliegen. Nur Sie als Ersteller haben dank Passwortschutz die Möglichkeit, Teile des Dokuments oder das ganze Werk zu bearbeiten.

Die Verwendung von Passwörtern ist darüber hinaus beim gemeinsamen Zugriff auf Dateien und Ordner im Netzwerk mit Kollegen oder zu Hause mit anderen Familienmitgliedern ratsam. Insbesondere Kinder und Heranwachsende treibt eine natürliche Neugier häufig dazu, alle vorhandenen Laufwerke zu durchsuchen und Dateien mit interessant klingenden Namen zu öffnen. In Firmen kann zwar ein Mitarbeiter normalerweise nicht auf die Dokumente seiner Kollegen zugreifen, doch während einer Besprechung oder in Pausen steht der PC oftmals einem Fremdzugriff offen.

Sicheres Passwort erstellen mit PC-WELT-Browsercheck

Mit dem Passwort- Generator der PC-WELT erstellen Sie im Handumdrehen sichere und schier unknackbare Passwörter.
Vergrößern Mit dem Passwort- Generator der PC-WELT erstellen Sie im Handumdrehen sichere und schier unknackbare Passwörter.

Auch passwortgeschützte Dienste stehen in der Pflicht

Das beste und sicherste Passwort nützt wenig, wenn Anbieter von passwortgeschützten Diensten schlampig mit der Sicherheit Ihrer Daten umgehen. So sollte es normalerweise Usus sein, Passwörter nicht im Klartext zu speichern. Stattdessen dürfen sie nur den Hash- Wert eines Passworts in ihrer Datenbank ablegen. Der Hash-Wert ist eine neue Zeichenkombination, die sich immer wieder aus dem Originalpasswort erzeugen lässt. Jedes Mal, wenn sich der Anwender bei dem Dienst mit seinem Passwort einloggen will, wird der Hash-Wert neu berechnet und mit dem gespeicherten Wert in der Datenbank verglichen. Umgekehrt funktioniert das jedoch nicht: Aus dem bekannten Hash-Wert lässt sich das Passwort nicht berechnen.

Wie Kreditkartenunternehmen die Nutzung einer Karte schon seit Langem analysieren und bei auffälligen Mustern Abbuchungen stoppen, sollten auch wichtige Diensteanbieter analysieren, mit welchem Gerät sich ein Kunde wann und wo anmeldet. Erscheint irgendetwas zweifelhaft, sollte der Dienst ein weiteres Passwort fordern. Dieses könnte der Anwender etwa bei der Anmeldung bekannt gegeben haben. Solche Zusatzpasswörter sind nicht unproblematisch. Im Zweifelsfall hat der Nutzer sie vergessen und keine Chance, das Konto wieder freizuschalten. Besser funktioniert da die Zwei-Faktoren-Authentifizierung.

Dabei meldet man sich bei einem Dienst mit etwas an, das man weiß (das Passwort) und mit etwas, das man hat (ein Hardware-Token oder Smartphone mit passender Code-App des Diensteanbieters).

Die Methode ist hinreichend effektiv, um Hackern den Zugang zu einem Konto zu erschweren. Denn selbst wenn sie Nutzernamen und Passwort stehlen konnten, sind sie zumeist nicht im Besitz des Hardware-Teils. Bisher bieten erst wenige Online-Dienste diese Methode an, etwa Paypal und Google. Das könnte sich bald ändern.

Das Tool RK-WLAN Keygen erstellt auf Basis eines Zufallsgenerators Chiffrierschlüssel für alle gängigen Funknetzwerktypen.
Vergrößern Das Tool RK-WLAN Keygen erstellt auf Basis eines Zufallsgenerators Chiffrierschlüssel für alle gängigen Funknetzwerktypen.

Die wichtigsten Grundsätze für sichere Passwörter

Das Bundesamt für Sicherheit in der Informationstechnik spricht Empfehlungen für sichere Kennwörter aus:

Passwörter sollten mindestens aus acht Zeichen bestehen. Eine Ausnahme bilden Verschlüsselungsverfahren wie die Absicherung der WLAN-Verbindung daheim. Hier sollte das Passwort mindestens 20 Zeichen lang sein. Denn dort sind, anders als bei Online-Konten, lang anhaltende Offlineattacken möglich. Nicht verwenden sollte man Namen von Familienmitgliedern, Haustieren, Freunden, Lieblingsstars oder deren Geburtsdaten. Ebenso ungeschickt sind Begriffe aus Wörterbüchern und gängigen Varianten und Wiederholungs- oder Tastaturmuster: also nicht „asdfgh“ (Tastenfolge auf der Tastatur), „1234abcd“ oder Ähnliches. Wenig Sinn hat auch das Anhängen einer Ziffer oder eines Sonderzeichens ans Ende eines im Übrigen unsicheren Kennwortes, also zum Beispiel „Schatzi4“. 

Umlaute in Passwörtern erhöhen die Sicherheit, können aber im Ausland häufig nicht einfach über die dort üblichen Tastaturen eingegeben werden. Noch besser als die Sonderzeichen auf der Tastatur sind Sonderzeichen, die nicht auf der Tastatur stehen, da sie bei Angriffen öfter unbeachtet bleiben. Beispielsweise kann das Zeichen ® nur über das Eintippen der Zahlen 0174 bei gedrückter ALT-Taste eingegeben werden (funktioniert nur über den Num-Block).

Passwörter darf man keinesfalls zugänglich aufschreiben oder unverschlüsselt auf dem PC speichern, sondern man muss sie sicher aufbewahren oder in einer verschlüsselten Datei ablegen. Zudem sollte man Passwörter regelmäßig ändern, spätestens alle paar Monate. Auf gar keinen Fall darf man einheitliche Passwörter verwenden. Wer für mehrere Online- Accounts die gleichen oder leicht abgewandelte Zugangscode verwendet, handelt leichtsinnig. Wird nämlich ein Zugang geknackt, sind auch die übrigen in Gefahr.

Ändern Sie voreingestellte Passwörter, denn viele Geräte „verschlüsseln“ die Hersteller werkseitig mit einem Standard oder lassen die Absicherung gleich ganz weg. Der Bundesgerichtshof hat 2010 im Urteil zur Störerhaftung (Az. I ZR 121/08) ausdrücklich gefordert, dass Besitzer von WLAN-Routern den vom Hersteller voreingestellten Schutz durch einen individuellen abändern müssen.

Schritt für Schritt: So ändern Sie Ihr WLAN-Passwort

Wie sicher ein Passwort ist, lässt sich mit dem PC-WELT-Browsercheck schnell ermitteln.
Vergrößern Wie sicher ein Passwort ist, lässt sich mit dem PC-WELT-Browsercheck schnell ermitteln.

Sichere Passwörter automatisch mit Tools und Diensten generieren

Nicht alle Anwender sind bei ihren Passwörtern besonders kreativ – sie verwenden leicht zu erratende Begriffe oder Wörterbucheinträge. Die sind mithilfe spezieller Tools leicht zu knacken und stellen für gewiefte Hacker keine wirkliche Hürde dar. Recht gut funktionieren sogenannte Phrasen, mit denen man sich komplizierte Passwörter ausdenken und vor allem auch merken kann: Beispielsweise wird aus „Max ist 10 Jahre alt und ein holländischer Schäferhund“ das Passwort „Mi10JauehS“.

Mit dem Gratisprogramm Password Generator, der unter www.gaijin.at/olspwgen.php auch in einer vereinfachten Online-Version zur Verfügung steht, lassen sich auf Knopfdruck sichere Passwörter erstellen. Sie wählen die Bestandteile des neuen Passworts aus, wobei sich unter anderem Klein- und Großbuchstaben, Ziffern, Sonderzeichen und Hex-Werte einbeziehen lassen. Durch die getrennte Verwendung von Vokalen und Konsonanten, sowie von einzelnen Wortsilben werden die Passwörter gut lesbar und sind einfach zu merken.

Ein sicheres Passwort können Sie auch mit dem Passwortgenerator im PC-WELT-Browsercheck erzeugen. Geben Sie hinter „Kennwort-Länge“ einfach den gewünschten Wert ein, oder übernehmen Sie die Vorgabe „10“. Klicken Sie dann auf „Kennwort erstellen“. Markieren Sie das Kennwort mit der Maus, und kopieren Sie es mit der Tastenkombination Strg-C in die Zwischenablage. Mit Strg-V fügen Sie es dann in das Eingabeformular etwa auf einer Webseite ein.

Auch das WLAN-Passwort sollte möglichst lang und komplex sein. Denkt man sich selbst ein Passwort aus, neigt man dazu, ein leicht zu merkendes und daher auch leicht knackbares zu wählen. Daher sollten Sie diese Aufgabe dem Tool RK-WLAN-Keygen übertragen. Wählen Sie aus dem Ausklappmenü unter „SSID/Schlüsseltyp“ den Punkt „WPAPSK/ WPA2-PSK Passphrase ASCII 8-63 Zeichen“. Im Abschnitt darunter legen Sie fest, welche Zeichentypen für die Generierung verwendet werden sollen. Die dritte Option „0-9, A-Z, a-z + erweiterte Sonderzeichen“ ist dabei die sicherste. Allerdings können dann auch Umlaute dabei sein, die in der deutschen Tastenbelegung nicht enthalten sind. Ein guter Kompromiss ist daher die zweite Option „0-9, A-Z, a-z + Sonderzeichen“. Als Nächstes gilt es noch, die gewünschte Passwortlänge zu wählen. Das Optimum sind 63 Zeichen. Klicken Sie auf „Schlüssel generieren“.

Tipp: Mit dem Passwortcheck der PC-WELT können Sie die Sicherheit eines Passworts feststellen. Die visuellen Rückmeldungen geben Hinweise auf mögliche Schwächen. Es gibt keine offiziellen Formeln zur Berechnung der Passwortsicherheit. Deshalb verwendet diese Seite ein eigenes Gewichtungssystem.

Ein Beispiel für die Swipe-Passwort-Eingabe.
Vergrößern Ein Beispiel für die Swipe-Passwort-Eingabe.

Sicherheit am Smartphone

Ohne Zugangsschutz kann quasi jeder, der Ihr Smartphone findet oder entwendet, auf die Daten zugreifen, telefonieren und Mails in Ihrem Namen verschicken. Daher ist es unerlässlich, das Handy mit einer wirkungsvollen Sperre zu sichern.

Android: Das Google-Betriebssystem bietet einige eingebaute Optionen, die Ihnen die Wahl lassen, wie Sie Ihr Telefon sichern wollen. Von den angebotenen ist das Sperrmuster am einfachsten anzuwenden. Das Aktivieren des Sperrmusters funktioniert am Galaxy S4 wie folgt (und auf anderen Galaxys ähnlich): Öffnen Sie die „Einstellungen“, und gehen über den reiter „Mein Gerät“ zu „Sperrbildschirm“. Jetzt tippen Sie auf „Muster“. Standardmäßig bietet das Sperrmuster neun Punkte, auf denen Sie mit dem Finger ein Muster malen. Ein Sperrmuster muss aus mindestens vier Punkten bestehen. Malen Sie ein möglichst kompliziertes Muster, aber eines, das Sie sich sicher merken können. Selbst das komplizierteste Muster ist in einer Sekunde gemalt. Zusätzlich müssen Sie eine Sicherungs-PIN festlegen, mit der Sie das Smartphone entsperren, falls Sie das Muster vergessen haben.

Apple iOS: Die altbekannte Code-Sperre spielt auch unter iOS 7 eine große Rolle. Sie verhindert, dass jemand direkt Zugriff auf das iPhone bekommen kann. Die Code-Sperre sollte so eingerichtet sein, dass sie sofort aktiv ist und man jedes Mal den Code eingeben muss, wenn der Bildschirm entsperrt werden soll. noch viel sicherer ist ein längeres, kompliziertes Kennwort. Dazu deaktiviert man in den iOS-Einstellungen unter „Allgemein“ und „Code-Sperre“ den Menüpunkt „Einfacher Code“. Mit jeder Zahlenstelle erhöht sich die Zeit, die ein Brute- Force-Angriff zum Knacken des Codes benötigt. Für eine sechsstellige Geheimzahl braucht man laut Apple bereits 22 Stunden, während eine neunstellige PIn erst in zweieinhalb Jahren zu knacken wäre.

0 Kommentare zu diesem Artikel
1899449