Passwortliste

Passwörter sicher wählen

Stand: 18.10.2017, Erstveröffentlichung: 18.10.2017, Autor: Christoph Heise

Wozu gibt es Passwörter?

Durch die Eingabe des Passworts, meistens in Kombination mit der Eingabe der E-Mail-Adresse, authentifiziert sich ein Benutzer in einem System. Das System, z.B. ein soziales Netzwerk, "weiß" durch die korrekte Eingabe beider Werte, welche Person sich anmeldet und kann Dienste sowie persönliche Daten freigeben. Leider sind viele E-Mail- und Passwortwerte über verschiedene Wege in die Hände Dritter gelangt. Große Dienste setzen deshalb bereits auf weitere Faktoren zur Authentifizierung von Benutzern (Stichwort: Multi-Faktor-Authentifizierung). Beispielsweise werden zusätzlich TANs per SMS an den Benutzer geschickt, die dieser dann ebenfalls ins System eingeben muss.

Warum du diesen Artikel lesen solltest

In diesem Artikel erfährst du, wie deine Zugangsdaten (E-Mail- und Passwortwerte) in die Hände Dritter gelangen. Du wirst merken, dass du nichts dagegen tun kannst. Um dich dennoch in der digital geprägten Welt sicher bewegen und schützen zu können, erhältst du in Form von Sicherheitstipps nötige Kenntnisse im Umgang mit Passwörtern. Das im Artikel erworbene grundlegende Wissen befähigt dich darüber hinaus, neuen Situationen zu begegnen und diese zu bewältigen.

Die reine Mathematik

Lange Zeit galten die Länge des gewählen Passworts und das Nutzen von Sonderzeichen (! _ ? * usw.) im Passwort als die großen Sicherheitsmerkmale. Auch heute ist die Wahl eines längeren Passworts mit Sonderzeichen richtig, wobei sie ganz klar nur einen Baustein der Sicherheit darstellt. Dieser Baustein wird kurz mathematisch begründet:

Besteht das Passwort aus nur drei kleinen Buchstaben, ergeben sich                                               17.576 (26 x 26 x 26 = 26^3) mögliche Passwörter. Der Schutz wäre sehr gering. Ein Angreifer probiert mit Hilfe entsprechender Werkzeuge theoretisch alle Kombinationen innerhalb weniger Sekunden aus (Stichwort: Brute-Force-Methode).

Besteht das Passwort aus zehn kleinen Buchstaben, ergeben sich ca. 141.167.095.700.000.000.000.000 (26^10) mögliche Passwörter. Der Schutz wäre bereits deutlich besser. Ein Angreifer benötigt vielfach mehr Zeit zum Ausprobieren.

Sind im 10-stelligen Passwort auch Großbuchstaben erlaubt:        144.555.105.900.000.000.000.000.000 (52^10). Die möglichen Passwörter vervielfachen sich erneut.

Der große Pool an Sonderzeichen würde die Anzahl der möglichen Passwörter nochmal vervielfachen. Je mehr mögliche Passwörter existieren, desto aufwendiger ist das Ausprobieren für einen Angreifer.
Sicherheitstipp 1: Wähle ein Passwort mit relativ vielen Zeichen inkl. Sonderzeichen!

Die anderen Bausteine zum sicheren Passwort

Was nützt ein langes Passwort mit Sonderzeichen, wenn der Angreifer dieses bereits kennt? Im Folgenden wird beschrieben, wieso ein Angreifer bereits in Besitz des Passworts sein kann:

Server leaks

Für die Nutzung von Internetdiensten speicherst du bei deiner Registrierung persönliche Daten auf dem Server. Nur so kann der Dienst Eingabewerte beim Login mit den Werten in der Datenbank vergleichen, um Zugriff zu gewähren bzw. nicht zu gewähren. Durch Hackerangriffe verschiedenster Art auf die Dienste können sämtliche Daten aus den Datenbanken herauskopiert werden. Dies ist kein theoretisches Szenario, sondern findet täglich statt. Sehr viele große und bekannte Unternehmen wurden bereits Opfer dieser Angriffe. Die Dunkelziffer wird deutlich höher geschätzt, denn Angriffe können unbemerkt bleiben. Außerdem wird davon ausgegangen, dass Unternehmen Datenverluste aus Imagegründen nicht immer publik machen. Entwendete Daten werden dann oft in ganzen Datenpaketen im Internet verkauft.

Im einfachsten Fall sind also E-Mail-Adresse und Passwort abhanden gekommen. Bei stümperhaft programmierten Diensten (dies kommt leider zu oft vor; der Benutzer erkennt dies nicht) liegt das Passwort im Klartext auf dem Server. Ein Angreifer besitzt nun alle Daten, um sich dem Dienst gegenüber als das Opfer auszugeben. Üblicherweise wird das Passwort nicht im Klartext, sondern als ein sogenannter Hashwert gespeichert. Aus diesem Hashwert sollte man keine Rückschlüsse auf das Passwort ziehen können (Einwegverschlüsselung). Die Betonung liegt auf "sollte": Zu oft kommen veraltete Hashfunktionen zum Einsatz, die mittlerweile geknackt sind. Selbst wenn eine heute sichere Hashfunktion verwendet wird, können herauskopierte Passworthashs vielleicht in Zukunft entschlüsselt werden.

Schütze dich mit dem vielleicht wichtigsten Sicherheitstipp 2: Verwende bei jedem Dienst ein anderes Passwort! Nur so hälst du den Schaden durch Fremdbesitz deiner Login-Daten in Grenzen. Der Angreifer kann sich höchstens bei diesem einen Dienst einloggen. Sehr gefährlich ist es, sollte sich der Angreifer bei sämtlichen Diensten mit den selben Daten anmelden können. Es ist dann außerdem fast unmöglich, herauszufinden, wo deine Daten verloren gegangen sind.

Wenn eine heute sichere Hashfunktion in Zukunft geknackt wird, solltest du nicht mehr in Besitz deines alten Passworts sein. Sicherheitstipp 3: Ändere dein Passwort regelmäßig! Wähle ca. alle drei Monate ein komplett neues Passwort. Vermeide das einfache Anhängen eines weiteren Zeichens oder gar eine fortlaufende Nummerierung!

Standardzugangsdaten

Bei der Ersteinrichtung von Hard- und Software werden oft Standardpasswörter verwendet. Hardwareseitige Beispiele findet man im IoT (Internet of Things). Softwareseitig können Adminbereiche ungenügend geschützt sein. Der Benutzer wird meistens dazu aufgefordert, das Standardpasswort gegen ein neues eigenes zu ersetzen. Tut er dies nicht, sind auch hier verwendete Passwörter bekannt. Verheerend ist es, dass alle diese Hard- und Softwareprodukte aufgrund einmaliger Eigenschaften leicht im Internet gesucht und gefunden werden können. Angreifern stehen so unter Umständen gleich tausende Tore offen, nämlich alle Produkte der selben Version eines Herstellers.

Schütze dich mit Sicherheitstipp 4: Ersetze Standardpasswörter immer gegen eigene Passwörter! Informiere dich im Vorfeld über das Produkt und verzichte auf drittklassige Ware! Qualitativ hochwertige Ware verwendet meistens gar keine Standardpasswörter, sondern löst die Passwortwahl technisch anders oder verlangt wenigstens zwingend eine Änderung des Passworts.

Wörterbuchpasswörter

Hiermit sind beliebte Passwörter wie "admin", "geheim", "12345", der Name des Partners oder Geburtstage usw. gemeint. Solche Wörter werden von Wörterbuchangriffssoftware sehr schnell erraten.
Sicherheitstipp 5: Verwende niemals zu einfache Passwörter, die als beliebte Wahl denkbar sind oder gar im Duden stehen! Vermeide auch Kombinationen dieser einfachen Wörter!

Täuschung

Gibt das Opfer beispielsweise auf gefälschten Login-Seiten persönliche Daten preis, spricht man von Täuschung. Wie du dieser Täuschung entgehen kannst, erfährst du im Artikel: Die Gefahr fremder Links.
Auch Manipulationen der technischen Abläufe sind möglich. So können zum Beispiel Login-Daten auf dem Weg zum Server abgefangen werden.
Sicherheitstipp 6: Ändere im Zweifel sofort dein Passwort beim entsprechenden Dienst! Solltest du dir nicht sicher sein, auf der echten Login-Seite deines Dienstes Eingaben gemacht zu haben, ändere einfach schnellstmöglich dein Passwort! Dein eventuell gestohlenes Passwort verliert damit seine Gültigkeit.

Zusammenfassung und Gedanken zur Verwaltung der eigenen Passwörter

Durch sechs Sicherheitstipps und deren Umsetzung bist du deutlich sicherer im Internet aufgestellt. Du weißt, dass es keine 100%ige Sicherheit gegen das Abhandenkommen deiner Login-Daten gibt, wenn du nicht auf die Vorteile von Internetdiensten verzichten möchtest. Im Umgang mit Internetdiensten kannst du durch das erläuterte Grundlagenwissen neue Situationen besser einschätzen und dich entsprechend verhalten.

Wie erwähnt, bist du mit vielen verschiedenen Passwörtern sicherer aufgestellt, als mit immer demselben Passwort für jeden Dienst. Zusätzlich durch das regelmäßige Ändern deiner Passwörter kannst du die Übersicht verlieren. Doch aus Bequemlichkeit jetzt die Sicherheit zu reduzieren, wäre genau die falsche Konsequenz.

Lass uns darüber diskutieren, wie man all seine Passwörter verwalten kann! Ich bin gespannt und freue mich über neue Ideen und Möglichkeiten.


ARTIKEL TEILEN

Erzähle deinen Freunden von diesem Artikel und unterstütze damit Simmsi-Internetsicherheit. Kopiere den Artikel-Link einfach in deine sozialen Netzwerke:

https://www.simmsi.de/Passwoerter_sicher_waehlen.php


NEWSLETTER ABONNIEREN

Verpasse keinen neuen Artikel und lass dich per E-Mail informieren. Keine Werbung, kein Spam. Abmeldung jederzeit möglich (Infos in jedem Newsletter):


ARTIKEL KOMMENTIEREN

KarstenK schrieb am 20.10.2017 um 15:20 Uhr:

Kein Problem Christoph :-)

Bei Mnemonic Phrases muss auch die Reihenfolge der Wörter stimmen. Wenn das Passwort also lautet: "die Kuh legt keine Eier" und jemand "keine Eier legt die Kuh" einträgt, wird der Login Versuch scheitern!

Bis jetzt wurde mit diesem System noch keine Krypto Wallet gehackt, daher ist das System eine sinnvolle Alternative zum Passwort mit Sonderzeichen.

Ich würde sogar so weit gehen und jeden Webdesigner empfehlen, zukünftige Webseiten auf Mnemonic Phrases umzustellen. Das ist einfacher für die Kunden und spricht die Auftraggeber aufgrund der Exklusivität eher an, als ein Standard Login mit Passwort ;-)


Christoph Heise schrieb am 20.10.2017 um 11:54 Uhr:

Karsten, danke für deinen Kommentar.
Du bringst immer trendige Infos und damit Ideen für spätere Artikel ein.

Die Treffer zu "Mnemonic phrases" bei Google halten sich noch in Grenzen. Ich kann mir vorstellen, dass Benutzer durch diese Methode situative "Passwörter" erstellen, die sie sich so auch besser merken. Weißt du, ob auch mal ein Wort fehlen kann oder muss immer alles stimmen? Wie sieht es mit der Reihenfolge aus?


KarstenK schrieb am 18.10.2017 um 18:41 Uhr:

Sehr guter Artikel Christoph :-) ergänzend kann man noch sagen, dass Banken, etc. zukünftig auf "Mnemonic phrases" setzen werden. D.h. du musst bei der Anmeldung anstatt eines Passworts verschiedene Worte eintragen (z.B. Rolltreppe, Computer, Simmsi, Sessel,...) und das schaltet dann deinen Zugang frei. Das System wird übrigens schon jetzt erfolgreich bei Bitcoin Wallets angewendet.


Christoph Heise schrieb am 18.10.2017 um 17:32 Uhr:

Also ich selbst notiere tatsächlich noch alle Passwörter in einem Buch aus Papier. Das ist geschützt gegen Fremdzugriff und weil ich sehr selten unterwegs bin, reicht mir der Zugriff auf das Buch zu Hause.