Jump to content
  • Einträge
    85
  • Kommentare
    34
  • Aufrufe
    196.011

Was ein gutes und sicheres Kennwort ausmacht und warum

Melde dich an, um diesen Inhalt zu abonnieren  
Thomas K.

316 Aufrufe

schloss.png.a030b6f86a963c935eb87a5f19d4ad0c.pngSichere Kennwörter sind schon lange eine zwingende Erforderlichkeit. Aber wie sieht ein sicheres Kennwort aus, wie komme ich zu einem sicheren Kennwort und wie kann ich es mir gut merken? Hier beschreiben wir, wie das einfach und sicher zu schaffen ist.

 

Unglücklicherweise ist das Bewusstsein dafür, dass Passwörter nicht nur notwendig sind, sondern auch eine gewisse Komplexität erfüllen müssen um als sicher zu gelten noch nicht so weit fortgeschritten. Laut dem Hasso Plattner Institut waren die die beliebtesten Kennwörter in Deutschland "hallo", "1234" und "passwort". Sicher sieht anders aus. Wer so ein schwaches Passwort benutzt setzt seine Geräte oder Nutzeraccounts bei Onlinediensten einem hohen Risiko aus.

 

Welche Faktoren sind also relevant für die Sicherheit eines Kennwortes?

 

 

Die Länge:

 

Die absolute Sicherheit wird es zwar nie geben, aber je länger und je komplexer ein Passwort ist, umso schwerer und zeitaufwändiger wird es für einen Angreifer es zu erraten, oder zu errechnen.

Dazu eine einfache Rechnung: Wenn für das Passwort nur die Ziffern 0 bis 9 genutzt werden können und es nur eine Stelle hat, sind genau 10 verschiedene Passwörter möglich. Wenn das Passwort um eine zweite Stelle erweitert wird, sind das nicht doppelt so viele Möglichkeiten, sondern zehnmal so viele, nämlich 100 Möglichkeiten. Eine dritte Stelle vervielfacht die möglichen verschiedenen Passwörter nochmal um den Faktor zehn, auf 1.000 mögliche verschiedene Passwörter. Ebenso jede weitere Stelle.

 

Mögliche Zeichen je Stelle

Stelle 1

Stelle 2

Stelle 3

Stelle 4

10

10

100

1.000

10.000

 

 

Die Anzahl der möglichen Zeichen pro Stelle:

 

Wenn wir anstelle der Ziffern 1 bis 9, die Buchstaben (nur in der kleingeschriebenen Variante) des deutschen Alphabets nehmen, haben wir je Stelle des Passworts nicht mehr nur 10, sondern (wenn wir ä, ü, ö und ? dazurechnen) 30 mögliche verschiedene Zeichen je Stelle. Wenn das Passwort um eine zweite Stelle erweitert sind das 30mal so viele, nämlich 900 Möglichkeiten. Eine dritte Stelle vervielfacht die möglichen verschiedenen Passwörter nochmal um den Faktor 30, auf 27.000 mögliche verschiedene Passwörter.

 

Mögliche Zeichen je Stelle

Stelle 1

Stelle 2

Stelle 3

Stelle 4

30

30

900

27.000

810.000

 

Werden auch Großbuchstaben mit dazu genommen sieht das so aus:

 

Mögliche Zeichen je Stelle

Stelle 1

Stelle 2

Stelle 3

Stelle 4

60

60

3.600

216.000

12.960.000

 

Bei der Verwendung von Groß-, Kleinbuschstaben und Ziffern sieht das so aus:

 

Mögliche Zeichen je Stelle

Stelle 1

Stelle 2

Stelle 3

Stelle 4

90

90

8.100

729.000

65.610.000

 

Bei der Verwendung von Groß-, Kleinbuschstaben und Ziffern und den 20 üblichen Sonder-und Satzzeichen sieht das so aus:

 

Mögliche Zeichen je Stelle

Stelle 1

Stelle 2

Stelle 3

Stelle 4

110

12.100

1.331.000

146.410.000

16.105.100.000

 

Da heute selbst Notebooks sehr leistungsfähig sind und im Zweifel mehrere Hunderttausend Versuche pro Sekunde errechnen können, ist es wichtig, dass ein Kennwort mindestens 12 Stellen lang ist und sowohl aus Ziffern, großen und kleinen Buchstaben, sowie Sonderzeichen besteht.
Je länger umso besser, denn mittels Cloudservices lassen sich heute für nur kleines Geld große Rechenleistungen auch kurzfristig beschaffen um Kennwörter zu errechnen.

 

 

Der Zufall:

 

Nach den beiden Kriterien „Länge“ und „Anzahl der möglichen Zeichen pro Stelle“ wäre „Thomas123“ schon ein recht sicheres Kennwort. Wenn mir allerdings bekannt ist, dass der Nutzer des Accounts Thomas heißt, ist es kein großer Aufwand so ein Passwort zu erraten.  Selbiges gilt für Kombinationen aus Namen und Geburtsdaten. Grundsätzlich ist die Verwendung von Wörtern die in der eigenen Sprache vorkommen keine gute Idee, da diese mit einer Wörterbuchattacke mit wenig Aufwand zu errechnen sind.

Folglich muss ein gutes Kennwort aus einer zufälligen (zumindest so zufällig wie möglich) Folge aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen, die nicht einfach zu erraten sind.

 

 

Die Exklusivität:

 

Die meisten Menschen verwenden dasselbe (oder maximal zwei bis drei verschiedene) Kennwort für alle ihre Accounts. Wenn aber für den Zugang zu Mail, Windows, Facebook, Onlinebanking, Ebay oder Amazon immer dasselbe Kennwort benutzt wurde, sind alle Zugänge komprimiert, wenn dieses eine Kennwort in falsche Hände gerät.

Also für jeden Account und jeden Dienst ein eigenes, exklusives, ausreichend langes und komplexes Kennwort verwenden.

 

 

Das Passwort muss geheim bleiben:

 

Das längste und komplexeste Passwort ist wertlos, wenn man es auf einen Zettel schreibt, der neben dem Monitor liegt oder in der berühmten Passwort.txt Datei auf dem Computer abspeichert.

Es gibt nur drei sichere Plätze für Passwörter: Das eigene Gedächtnis, ein physikalischer Safe, oder ein digitaler Passwort Safe, welcher Kennwörter stark verschlüsselt abspeichert und selbst durch ein langes komplexes Kennwort gesichert ist.

 

Ein plakatives Beispiel dafür ist ein Interview mit dem Journalisten David Delos, vom französischen Fernsehsender TV5 Monde. Im April 2015 wurde der Sender Opfer eines großen Hackerangriffs. Die Angreifer übernahmen unter anderen die Twitter- und Facebookkonten des Senders.
Der Sender France2 berichtetet darüber. In dem Bericht, in der Sendung 13 Heures, als David Delos interviewed wird, sind im Hintergrund mehrere Klebezettel mit Notizen zu erkennen. Darauf unter anderem die Kennwörter für die Zugänge zu Twitter, YouTube und Facebook, des Senders. Das Kennwort für YouTube lautetete "lemotdepassedeyoutube", was so viel heißt wie „daspasswortfueryoutube“.

 


Aber selbst wenn das Passwort den Regeln eines sicheren Kennwortes entsprochen hätte, es auf einen Zettel zu schreiben und für alle sichtbar an die Wand im Büro zu kleben ist ein schlimmer Fehler.

 

 

Das komplette Video ist auf der Webseite von 13 Heures zu sehen.

 

 

 

Keine biometrische Authentifizierung:

 

Auch wenn biometrische Authentifizierungsmethoden wie Fingerabdruck (iPhone, Samsung Galaxy) , oder Gesichtserkennung (Windows Hello, Apple Face ID, Samsung Galaxy S8) boomen, sind sie nicht als sicher anzusehen. Alle wurden bisher in sehr kurzer Zeit überwunden, zum Teil mit erschreckend wenig Aufwand.

Hier zeigt ein Video des CCC wie leicht die Gesichtserkennung des Samsung Galaxy S8 überwunden werden kann

 

 

 

 

 

Hier wie der Fingerabdruckscanner des iPhone ausgetrickst werden konnte:

 

 

 

Zudem hat biometrische Authentifizierung gravierende Nachteile: Biometrische Merkmale lassen sich leicht kopieren. Es ist kein großes Problem Fotos von Gesichtern zu bekommen. Selbiges gilt für Fingerabdrücke. Um den Fingerabdrucksensor des IPhone zu überwinden, genügte das Foto eines Fingerabdruckes der ehemaligen Familienministerin Von der Leyen. Zudem stempeln wir unsere Fingerabdrücke bei jedem Griff nach einem Gegenstand auf denselben. Der Abdruck des ehemaligen Bundesfinanzministers Schäuble wurde so von einem Trinkglas abgenommen und für die Entsperrung eines IPhone genutzt. Das ist ungefähr so, als würde man sein Kennwort auf gelbe Klebezettel drucken und überall in der Stadt verteilen.

 

Mobiltelefone sind überhaupt gute Quellen um die auf dem Glas befindlichen Fingerabdrücke zu bekommen und mit ihnen dann auch gleich das Telefon zu entsperren. Das ist im Prinzip das gleiche wie wenn das Passwort zum Entsperren des Computers mit Edding auf das Display des Monitors geschrieben steht.


Jan Krissler, der auch den Irisscanner des Samsung S8 und den Fingerprintreader des iPhone überwunden hat, zeigt in einem Vortrag auf dem 31. Chaos Communication Congress des Chaos Computer Clubs, wie mit einfachen Mitteln Fingerabdrucksensoren und Gesichts- und Irisscanner überlistet werden können und wie einfach es ist an Fingerabdrücke oder Irisbilder von Menschen zu kommen, selbst ohne ihnen je selbst persönlich zu begegnen.


Das gesamte Video dauert ca. eine Stunde, die Demos werden in der ersten halben Stunde gezeigt.

 

 

 

 

 

Fragen zur Kennwortwiederherstellung nur falsch, oder gar nicht beantworten:

 

Die meisten Dienste bieten an eine oder mehrere persönliche Fragen zu beantworten. Wenn das Kennwort vergessen wurde, werden diese Fragen gestellt und nach korrekter Beantwortung ein neues Kennwort an die Mailadresse des Accountinhabers gemailt.

Auf den ersten Blick sieht das nach einer guten Idee aus, beim genaueren Hinsehen zeigt sich schnell das Risiko dieser Option. Die Antworten auf Fragen nach dem Namen der ersten besuchten Schule, dem Namen des ersten Haustieres, oder des persönlichen Lieblingstiers, lassen sich in der Regel sehr schnell über eine kurze Recherche in Erfahrung bringen.

 

Meine Empfehlung: Solche Fragen mit falschen Angaben beantworten und diese Antworten (genauso wie Kennwörter) in einem verschlüsselten Passwort Safe speichern.

Melde dich an, um diesen Inhalt zu abonnieren  


0 Kommentare


Empfohlene Kommentare

Keine Kommentare vorhanden

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
×