Der richtige Umgang mit Passwörtern ist sehr wichtig, da Angriffe wie z.B. Phishing oder Identitätsdiebstahl immer häufiger Erfolg haben. Am 1. Donnerstag im Mai, dem Weltpassworttag, zeigen wir Ihnen was Sie im Umgang mit Passwörtern beachten müssen und warum das Passwort bald abgeschafft werden könnte!
Sicheres Passwort – Wie erstelle ich es?
Um ein Passwort zu erraten, gibt es mehrere Ansätze. Drei klassische Methoden Passwörter zu erraten sind folgende
- der Wörterbuchangriff
- die Erstellung einer personalisierten Passwortliste
- die Brute-Force Methode
Als Benutzer sollten wir ein Passwort wählen, welches allen 3 Angriffen standhalten kann. Am Weltpassworttag zeigen wir Ihnen wie das geht – und warum man es langsam Zeit ist, sich von dem Relikt zu trennen.
Sprache bekannt? Dann kann ein Wörterbuchangriff erfolgreich sein!
Beim Wörterbuchangriff verwendet der Angreifer das ganze Wörterbuch und probiert jedes einzelne Wort als Passwort aus. Ist der komplette Duden einmal ausprobiert worden, kann das Wörterbuch um Zahlen oder Varianten ergänzt oder verändert werden. Angreifer erhöhen so die Wahrscheinlich im nächsten Durchlauf fündig zu werden. Passwörter wie Martin0815, 0688Abschleppsein oder Donaudampfschiffahrtskapitän3 lassen sich so zügig erraten. Als Nutzer sollten wir uns ein Passwort überlegen, das in keinem Wörterbuch vorkommt.
Hund, Katz, Maus – die personalisierte Passwortliste
Bei diesem Angriff erstellt der Angreifer eine eigene Passwortliste für ein spezielles Opfer. Anders als beim Wörterbuchangriff verwendet der Angreifer keine allgemeine Liste, sondern passt eine Liste mit Informationen, die das Opfer über sich preisgegeben hat, an. Beliebte Informationen sind z.B. Namen der Kinder, des Haustiers, oder die Lieblingsmannschaft. Quelle dafür sind häufig berufliche und private soziale Netzwerke. Als Nutzer sollten wir in unsere Passwörter keinen persönlichen Bezug einfliessen lassen, denn ansonsten könnte ein Angreifer bei gründlicher Recherche auf unser Passwort kommen.
Mit roher Gewalt – die Brute-Force Methode
Dieser einfache Angriff besteht aus dem Ausprobieren von allen Möglichkeiten. Dabei wird keiner bestimmten Systematik nachgegangen. Es bietet sich an beim Alphabet oder der 0 zu beginnen und Kombinationen auszuprobieren. Dieses Vorgehen ist sehr aufwändig, da es viel Zeit in Anspruch nimmt. Offline Passwort Attacken, z.B. auf verschlüsselte Dokumente, sind mit dieser Herangehensweise jedoch schnell erfolgreich, da viele Millionen Passwörter, teilweise pro Sekunde, ausprobiert werden können.
Daten gestohlen? Dann hilft das sicherste Passwort nicht!
Eine weitere Möglichkeit ist es nach Daten zu suchen, die bereits gestohlen worden sind. Mittlerweile sind mehr als 7.500.000.000 Datensätze gestohlen worden. Die Wahrscheinlichkeit, dass das Ziel zu den Opfern zählt steigt von Datendiebstahl zu Datendiebstahl. Wenn die Daten im Klartext gestohlen worden sind, hilft auch am Ende des Tages kein 40-stelliges Passwort mehr. Ob die eigenen Daten schon einmal gestohlen worden sind kann jeder überprüfen. Der Identity Leak Checker vom Hasso-Plattner-Institut in Potsdam ermöglicht eine Kontrolle. Allein aus diesem Grund sollten für mehrere Plattformen unterschiedliche Passwörter verwendet werden.
Erstellung eines guten, sicheres Passworts!
Ein gutes Passwort hat also:
- genug Zeichen um einen Brute-Force-Angriff möglichst langwierig zu gestalten
- ist kein Wort aus dem Wörterbuch und
- hat keinen persönlichen Bezug.
Aber wie erstellt man so ein Passwort und wie soll man sich das merken? Um sich ein gutes Passwort zu erstellen, kann man sich einen Satz nehmen, den man sich gut merken kann. Diesen Satz sollte man nun verändern. Z.B. streicht man alle Buchstaben außer dem letzten in jedem Wort. Wenn man zudem noch Zahlen und Sonderzeichen einfügt und mit Ersetzungen arbeitet, erhält man ein Passwort, das allen oben genannten Angriffen standhält. Das BSI hat ebenfalls einen Guide zur Erstellung von Passwörtern veröffentlicht.
Damit man sich alle Passwörter merken kann, die man auf diese Art und Weise erstellt hat, empfiehlt es sich einen Passwort-Manager zu benutzen. Eine mögliche, kostenfreie Software ist z.B. KeePassXC oder KeePass. Von der Software lassen sich auch sichere Passwörter erstellen – das setzt aber das nötige Vertrauen voraus.
Die ultimative Sicherheit – gibt es sie überhaupt?
Eine 100%-Sicherheit wird es bezüglich Passwörtern niemals geben, da der Angreifer mit Glück immer auf das Passwort kommen kann. Als Benutzer diverser Dienste ist man jedoch sicherer aufgestellt, wenn man nach den oben genannten Regeln Passwörter erstellt. Die Vergabe und Verwaltung der geheimen Phrasen ist durchaus eine Herausforderung. Die XignSys GmbH aus Gelsenkirchen will dieses Problem in der Gesellschaft lösen – und ist damit auch auf dem besten Weg. Unter dem Motto “Weltpassworttag – Der letzte seiner Art” zeigt das Unternehmen, welche zukünftigen Möglichkeiten es geben kann und warum das Passwort ausgedient hat!
