Das sichere Passwort: Regeln

Teil 1: Grundlagen
Warum Passwörter?
Wie werden Passwörter verarbeitet?
Angriffe auf Passwörter

Teil 2: Regeln und Mythen
Regeln für sichere Passwörter
Passwort-Mythen

Teil 3: Strategien
Passwort-Strategien
Zufällige Passwörter durch Würfeln
Strategie I: Der Passwort-Tresor
Das dreigeteilte Passwort
Strategie II: Das Passwort-Schema
Strategie III: Der Passwort-Zettel
Strategie IV: Das Passwort aus einem Hash
Resümee

Regeln für sichere Passwörter

Nachdem wir nun wissen, wie Passwörter in den verschiedenen Schritten der Verarbeitung angegriffen werden können, wissen wir jetzt auch, auf was wir achten müssen um es Angreifern so schwer wie möglich zu machen.

  • Passwörter nur auf vertrauenswürdigen Web-Seiten eingeben: Achten Sie auf darauf, was Ihnen Firefox über die Vertrauenswürdigkeit einer Web-Seite verrät. Bei Web-Seiten, die eine nicht verschlüsselte Verbindung zu Ihnen aufbauen kann jeder der Rechner dazwischen nicht nur Ihr Passwort abhören, sondern alle Inhalte, die übertragen werden. Und vor allem misstrauen Sie allen Links aus Emails, auch wenn Sie den Absender kennen.
  • Halten Sie Ihre Passwörter geheim: Schreiben Sie Ihre Passwörter nicht auf einen leicht erreichbaren Zettel. Speichern Sie Ihre Passwörter nicht in einer Datei auf Ihrem Computer. Achten Sie darauf, dass Ihnen niemand über die Schulter schaut bei der Eingabe. Und verraten Sie niemanden Ihr Passwort; niemals!
  • Ihre Passwörter sollte nicht zu raten sein: Verwenden Sie keine persönlichen Informationen über Sie oder Bekannte in Ihren Passwörtern. Informationen wie Geburtstage, Namen von Personen oder Lieblingsspeisen sind leicht zu recherchieren.
  • Ihre Passwörter sollten nicht in einem Wörterbuch stehen: Wie oben schon beschrieben, sollten Ihre Passwörter nicht aus Wörtern aus einem Wörterbuch bestehen. Auch nicht daraus zusammengesetzt sein oder irgendwie abgewandelt. Sonst kann man aus dem Hash mittels des Wörterbuchs schnell auf Ihr Passwort kommen.
  • Ihre Passwörter sollten zufällig sein: Ihre Passwörter sollten zufällig sein damit sie weder geraten werden können noch in den besten Wörterbüchern stehen. Sie dürfen ruhig grinsen: mein Tipp sind Würfel. Die gibt es in guten Spielwarengeschäften nicht nur mit 6 Seiten sondern auch in anderen Ausführungen (etwa vom Tetraeder bis hin zum Ikosaeder). Mehr dazu in den Kapiteln zu Strategien für Passwörter.
    Zufallszahlen spielen an ganz vielen Stellen eine große Rolle in der Kryptographie und sind immer wieder Grund für harte Auseinandersetzungen. So hat die NSA erfolgreich versucht Standards zur Erzeugung von Zufallszahlen aufzuweichen, um darauf basierende Verschlüsselung leichter angreifen zu können (Spiegel, BBC). Und auch in der Open Source Szene gibt es schon mal Auseinandersetzungen wegen Sicherheitsproblem durch schlechter Zufallszahlen (golem). Vereinfacht kann man sagen: ein Computer kann schnell und sicher Rechnen und daher sind alle Zahlen errechnet aber niemals zufällig. Daher kann ich, wenn ich nur genug über die Berechnung weiß diese nachvollziehen und sogar vorhersagen. Darum mein Tipp mit den Würfeln.
  • Verwenden Sie verschiedene Passwörter: Wie das Beispiel der bei Yahoo gestohlenen Passwörter zeigt, ist es ganz oft außerhalb Ihrer Kontrolle, ob ein Passwort in falsche Hände gerät. Sollte es trotz aller Vorsicht doch passieren, so minimiert es den möglichen Schaden, wenn wir für andere wichtige Dienste ein anderes Passwort verwenden. Dadurch können sich Angreifer nur des geknackten Benutzerkontos bemächtigen und nicht noch anderer.
  • Ändern Sie von Zeit zu Zeit Ihre Passwörter: Leider geben Unternehmen wegen des Reputationsverlusts äußerst ungern zu, dass sie persönliche Daten oder Passwörter an Angreifer verloren haben. Das kann schon mal Monate dauern, bis das bekannt wird (wie hier bei Ebay) oder man es selbst merkt. Daher ist es immer eine gute Idee die Passwörter in festen möglichst kurzen Intervallen zu ändern. Je wichtiger der damit geschützte Dienst, um so wichtiger ist auch diese Regel.
Passwort-Mythen

Leider gibt es diverse „Mythen“ um Passwörter, mit denen hier mal aufgeräumt werden kann.

  • Passwörter darf man nicht auf Zettel schreiben: Natürlich darf man sich Passwörter auf Papier aufschreiben. Das ist auf alle Fälle um Klassen besser, als sie ungeschützt in eine Datei auf dem PC zu schreiben, ein wichtiges Passwort zu vergessen oder ein unsicheres leicht zu merkendes Passwort zu verwenden. Man sollte die Zettel aber dann so aufbewahren, dass kein Unbefugter darauf Zugriff hat. Gerade für Konten von Diensten, die man selten bis wahrscheinlich nie wieder braucht, würde ich mir komplexe Passwörter ausdenken und dann notieren. Ein Normalbürger wird nach der Bestellung der neuen Kloschüssel beim Sanitärversender sich nicht mehr so oft in dessen Online-Shop anmelden: Passwort möglichst komplex ausdenken, auf nen Zettel schreiben, später an die Rechnung heften und mit abheften.
  • Passwörter muss man sich merken können: Ganz im Gegenteil: Passwörter sollten bei wichtigen Diensten aus Sicherheitsgründen so komplex sein, dass man Sie sich nicht merken kann. Aber das ist dann für Dienste, die man oft braucht nicht mehr praktikabel. Zu Auswegen aus diesem Dilemma gibt es im nächsten Kapitel ein paar Vorschläge. Wie oben schon oben erklärt: für Dienste die man nicht oft braucht ruhig ein unmerkbares Passwort verwenden, das aufschreiben und so aufbewahren, dass es vor Unbefugten geschützt ist.
  • Passwörter müssen immer komplex sein: Nein! Wie komplex ein Passwort sein muss hängt vom Dienst ab, den ich damit schütze. Unwichtige Dienste bei denen mich ein Missbrauch nicht interessiert, da muss ich kein komplexes Passwort wählen. Manchmal ist sogar „123456“ als Passwort ok. Wenn ich mich vor der Anschaffung einer Waschmaschine in einem Waschmaschinen-Forum für ein zwei Rückfragen anmelde, dann ist es mir egal, ob eventuell in drei Jahren jemand anderes unter meinem Namen dort Fragen stellt.
  • Passwörter müssen aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen: Mal wieder ein Jein. Viele Diensteanbieter schreiben das für Passwörter vor. Sie wollen damit zwei Dinge erreichen. Einmal wollen sie damit sicherstellen, dass das Passwort in keinem Wörterbuch steht. Sie hoffen dass im Gegensatz zu „love you“ eben „l0v3_y0U“ nicht in einem Wörterbuch zu finden ist. Aber spätestens seit Leetspeak im Internet hipp geworden ist stehen Worte in denen Buchstaben durch ähnlich aussehende Zahlen oder Sonderzeichen ersetzt wurden in jedem Wörterbuch.
    Außerdem möchten Sie den Nutzer zwingen auf möglichst viele Zeichen zurückzugreifen. Bei zufälligen Passwörtern bestimmt sich deren Komplexität durch die Anzahl der verwendeten Zeichen und deren Länge.

    Die normale PIN für eine EC-Karte besteht aus den Ziffern 0 bis 9 (also 10 Zeichen) und ist 4 Stellen lang; das macht also 10 x 10 x 10 x 10 = 10 hoch 4 = 10.0000 unterschiedliche Passwörter möglich. Würde man statt dessen noch alle Groß- und Kleinbuchstaben (je 26 Stück) und 15 Sonderzeichen dazu nehmen, wäre man bei 10 + 26 + 26 + 15 = 77 Zeichen. Und bei weiterhin vier Stellen ergäben sich 77 hoch 4 = 35.153.041 mögliche unterschiedliche Passwörter, also über 3.000 mal so viele.
  • Niemals das gleiche Passwort für mehrere Dienste verwenden: Auch das ist so nicht generell richtig. Hier gilt wieder für wichtige Dienste: immer unterschiedliche Passwörter verwenden. Aber bei unwichtigen Diensten dürfen Passwörter auch gleich sein. Ob jemand der mein Passwort für das Waschmaschinen-Forum erraten hat dann auch noch ins Wäschetrockner-Forum schreiben kann, interessiert mich auch nicht.
  • Passwörter muss man regelmäßig ändern: Auch das ist generell so nicht richtig. Es ist besser ein starkes Passwort länger zu benutzen, als es nach kurzer Zeit durch viele schwache Passwörter zu ersetzen. Wenn man häufig seine Passwöter wechselt tendiert man dazu aus Bequemlichkeit nur noch leicht zu merkende Passwörter zu verwenden. Und das ist eben unsicherer als länger ein starkes Passwort zu verwenden.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s