Passwort-Tipps und -Tools
Der schnelle Weg zum sicheren Passwort
Je mehr Dienste Sie online nutzen, desto mehr Zugangscodes müssen Sie sich merken. Mit unseren Tipps und Tools bringen Sie Ordnung in das Passwort-Chaos und surfen sicher.
Ebay, Online-Tv-Recorder, Office im Web: Für diese und jede Menge andere Dienste brauchen Sie immer wieder Kennwörter. Das nervt und kann dazu verleiten, ein Standardpasswort zu benutzen – für wirklich sensible Log-ins dasselbe wie für unwichtige Foren und Web-Einkaufslisten. Das ist aber ein gewaltiges Sicherheitsrisiko. Hier finden Sie Tools, Tipps und Tricks, mit denen Sie sichere Passwörter erstellen und sie perfekt verwalten.
Know-how: Passwort-Technik
Es gibt eine sehr sichere Technik, wie ein System sich ein Passwort merkt. Es speichert das Wort nicht im Klartext, sondern als Hash. Dabei handelt es sich um eine codierte Form des Passworts, die mit einer mathematischen Funktion erstellt wird. Der Clou: Die Funktion arbeitet nur in eine Richtung, denn das Verfahren ist verlustbehaftet. Der Hash enthält also weniger Informationen als das Ausgangswort. Die mathematische Leistung der Funktion besteht darin, dass trotzdem zu jedem Hash nur ein Passwort passt.
Auch die Windows-Anmeldung arbeitet übrigens mit Hash-Werten. Ein Beispiel: Aus dem Passwort „Sommer1968“ wird der eindeutige Hash-Wert „b2a024a4c6b13672e3517200d4b26a68“. In Windows ist nur dieser Wert gespeichert. Gibt der Anwender bei der Anmeldung ein Passwort ein, generiert Windows den Hash-Wert erneut und vergleicht ihn mir dem gespeicherten Wert.
Es gibt eine sehr sichere Technik, wie ein System sich ein Passwort merkt. Es speichert das Wort nicht im Klartext, sondern als Hash. Dabei handelt es sich um eine codierte Form des Passworts, die mit einer mathematischen Funktion erstellt wird. Der Clou: Die Funktion arbeitet nur in eine Richtung, denn das Verfahren ist verlustbehaftet. Der Hash enthält also weniger Informationen als das Ausgangswort. Die mathematische Leistung der Funktion besteht darin, dass trotzdem zu jedem Hash nur ein Passwort passt.
Auch die Windows-Anmeldung arbeitet übrigens mit Hash-Werten. Ein Beispiel: Aus dem Passwort „Sommer1968“ wird der eindeutige Hash-Wert „b2a024a4c6b13672e3517200d4b26a68“. In Windows ist nur dieser Wert gespeichert. Gibt der Anwender bei der Anmeldung ein Passwort ein, generiert Windows den Hash-Wert erneut und vergleicht ihn mir dem gespeicherten Wert.
Achtung: Knack-Techniken
Einige Passwörter lassen sich ganz einfach herausfinden beziehungsweise umgehen – und zwar immer dann, wenn das System an sich fehlerhaft ist. So schützt etwa die Verschlüsselung in älteren Office-Versionen nicht – ganz egal wie kompliziert das Kennwort ist. Doch auch wenn ein Passwort-System fehlerfrei arbeitet, lässt sich der Log-in auf mehreren Wegen knacken.
Einige Passwörter lassen sich ganz einfach herausfinden beziehungsweise umgehen – und zwar immer dann, wenn das System an sich fehlerhaft ist. So schützt etwa die Verschlüsselung in älteren Office-Versionen nicht – ganz egal wie kompliziert das Kennwort ist. Doch auch wenn ein Passwort-System fehlerfrei arbeitet, lässt sich der Log-in auf mehreren Wegen knacken.
Wörterbuch-Attacke
Ein Passwort, das aus einem einfachen Wort oder gar einem Personennamen besteht, lässt sich sehr schnell über eine Wörterbuch-Attacke in Erfahrung bringen. Dabei probiert ein Knack-Tool der Reihe nach Worte aus, die es aus einem Wörterbuch holt. Passwörter wie Klaus, Petra, Schatz oder Bärchen sind in etwa so sicher wie eine Zwei-Euro-Münze auf dem Gehweg.
Ein Passwort, das aus einem einfachen Wort oder gar einem Personennamen besteht, lässt sich sehr schnell über eine Wörterbuch-Attacke in Erfahrung bringen. Dabei probiert ein Knack-Tool der Reihe nach Worte aus, die es aus einem Wörterbuch holt. Passwörter wie Klaus, Petra, Schatz oder Bärchen sind in etwa so sicher wie eine Zwei-Euro-Münze auf dem Gehweg.
Brute Force
Schlaue Anwender verwenden als Passwort keine Namen – zumindest nicht ausschließlich – sondern ergänzen sie zumindest um Zahlen und Sonderzeichen.
Ein solches Schlüsselwort lässt sich aber immer noch knacken. Die Methode heißt Brute Force und bedeutet Entschlüsselung mit roher Gewalt nach dem Prinzip von Versuch und Irrtum. Der Passwort-Knacker probiert dabei alle erdenklichen Kombinationen durch. Er nimmt sich beispielsweise als Erstes alle einstelligen Passwörter vor und versucht es zunächst mit dem Buchstaben A. Klappt A nicht, kommt das B an die Reihe, dann C und so weiter. Hat keines funktioniert, kommen die zweistelligen Passwörter dran: AA, AB, AC und so weiter.
Dieser Vorgang dauert in den meisten Fällen sehr lange. Schon ein nur achtstelliges kompliziertes, also mit Sonderzeichen versehenes Passwort kann sich gegen eine Brute-Force-Attacke bis zu eineinhalb Jahre wehren.
Schlaue Anwender verwenden als Passwort keine Namen – zumindest nicht ausschließlich – sondern ergänzen sie zumindest um Zahlen und Sonderzeichen.
Ein solches Schlüsselwort lässt sich aber immer noch knacken. Die Methode heißt Brute Force und bedeutet Entschlüsselung mit roher Gewalt nach dem Prinzip von Versuch und Irrtum. Der Passwort-Knacker probiert dabei alle erdenklichen Kombinationen durch. Er nimmt sich beispielsweise als Erstes alle einstelligen Passwörter vor und versucht es zunächst mit dem Buchstaben A. Klappt A nicht, kommt das B an die Reihe, dann C und so weiter. Hat keines funktioniert, kommen die zweistelligen Passwörter dran: AA, AB, AC und so weiter.
Dieser Vorgang dauert in den meisten Fällen sehr lange. Schon ein nur achtstelliges kompliziertes, also mit Sonderzeichen versehenes Passwort kann sich gegen eine Brute-Force-Attacke bis zu eineinhalb Jahre wehren.
Rainbow Tables
Eine spezielle und mathematisch sehr fortschrittliche Methode sind so genannte Rainbow Tables. Damit lassen sich zum Beispiel die meisten Anmeldekennwörter von Windows XP in Sekunden knacken. Denn Rainbow Tables sind eine Art Telefonbuch für Hash-Werte – in einer fast unglaublich komprimierten Form. Es gibt sie bisher aber nur für wenige Verschlüsselungssysteme.
Eine spezielle und mathematisch sehr fortschrittliche Methode sind so genannte Rainbow Tables. Damit lassen sich zum Beispiel die meisten Anmeldekennwörter von Windows XP in Sekunden knacken. Denn Rainbow Tables sind eine Art Telefonbuch für Hash-Werte – in einer fast unglaublich komprimierten Form. Es gibt sie bisher aber nur für wenige Verschlüsselungssysteme.
Klauen
Einige Angreifer wollen sich den Aufwand sparen, mit einem Knackprogramm zu arbeiten. Sie versuchen das Passwort zu klauen, indem sie einen Trojaner auf den PC schleusen. Dieser protokolliert dann die Tastatureingaben und sendet das abgefangene Passwort an den Angreifer im Internet. Alternativ arbeiten die Gauner mit Phishing. Sie locken über Links in Mails den Anwender auf Websites, die etwa wie Ebay oder wie eine Bank-Site aussehen, und verführen ihn dazu, dort das Passwort einzugeben. Tatsächlich zählen diese beiden Arten des Passwort-Knackens zu den häufigsten.
Außerdem versuchen Hacker Passwörter direkt beim Online-Dienst zu stehlen – etwa indem sie sich in den Server hacken. Diese Gefahr besteht, weil fast alle Online-Dienste das Passwort auch im Klartext und nicht nur als Hash speichern. Das ist eigentlich grob fahrlässig. Einige Dienste ändern das gerade.
Einige Angreifer wollen sich den Aufwand sparen, mit einem Knackprogramm zu arbeiten. Sie versuchen das Passwort zu klauen, indem sie einen Trojaner auf den PC schleusen. Dieser protokolliert dann die Tastatureingaben und sendet das abgefangene Passwort an den Angreifer im Internet. Alternativ arbeiten die Gauner mit Phishing. Sie locken über Links in Mails den Anwender auf Websites, die etwa wie Ebay oder wie eine Bank-Site aussehen, und verführen ihn dazu, dort das Passwort einzugeben. Tatsächlich zählen diese beiden Arten des Passwort-Knackens zu den häufigsten.
Außerdem versuchen Hacker Passwörter direkt beim Online-Dienst zu stehlen – etwa indem sie sich in den Server hacken. Diese Gefahr besteht, weil fast alle Online-Dienste das Passwort auch im Klartext und nicht nur als Hash speichern. Das ist eigentlich grob fahrlässig. Einige Dienste ändern das gerade.
Raten
Schließlich sollten Sie nicht die Gefahr von gezielten Angriffen speziell auf Ihre Passwörter unterschätzen. Menschen, die Sie gut kennen oder die gute Infos über Sie haben – etwa auch aus Community-Sites wie www.xing.com oder www.myspace.com, haben bei einfachen Passwörtern leichtes Spiel: Sie raten ganz einfach! Denn Passwörter wie Name der Frau plus Geburtstag der Tochter bestehen zwar aus Buchstaben und Zahlen, lassen sich aber doch zu leicht erraten.
Schließlich sollten Sie nicht die Gefahr von gezielten Angriffen speziell auf Ihre Passwörter unterschätzen. Menschen, die Sie gut kennen oder die gute Infos über Sie haben – etwa auch aus Community-Sites wie www.xing.com oder www.myspace.com, haben bei einfachen Passwörtern leichtes Spiel: Sie raten ganz einfach! Denn Passwörter wie Name der Frau plus Geburtstag der Tochter bestehen zwar aus Buchstaben und Zahlen, lassen sich aber doch zu leicht erraten.
Lesen Sie auf der nächsten Seite:
Vorherige Seite
Seite 1 von 2
Nächste Seite
