DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Pass­wort­si­cherheit III: Pass­wort­rechner!

3,2,1...geknackt

Im zweiten Teil der Serie haben Sie erfahren, wie der Zei­chen­vorrat, die Länge und die Lebens­dauer eines Pass­wortes zusam­men­hängen. Das wich­tigste Kri­terium für sichere Pass­worte liegt aller­dings in der Lebens­dauer des Pass­wortes. Wer nicht so for­mel­sicher ist – und das ist ja bei der Größe der Zahlen nicht immer so einfach –  für gibt es jetzt eine sehr nütz­liche Web-Anwendung.

Auf der Inter­net­seite der Hoch­schule Emden/Leer finden Sie einen Online Rechner, mit dem Sie unter Eingabe von vier Werten, die Lebens­dauer Ihres Pass­wortes einfach und für die Zukunft sicher berechnen können.

Im ersten Feld „Zei­chen­vorrat“, tragen Sie die Anzahl Ihrer zu ver­wen­denden Zeichen ein (z.B. Alpha-num­­me­­risch, dass sind Groß-/Klein­buch­staben und Ziffern, d.h. 62 ver­schiedene Zeichen). Im zweiten Feld „Pass­wort­länge“ geben Sie die Länge Ihres gewählten Pass­wortes ein.

Im dritten Feld wählen Sie Ihren Angreifer auf Ihr Passwort aus. Die Rechen­leistung der dort in vier Sze­narien beschrie­benen Rech­ner­typen ent­spricht den Erfah­rungs­werten aus diversen Tests von unter­schied­licher Schad­software. Diese Sze­narien werden dyna­misch vom Labor der Hoch­schule kon­ti­nu­ierlich ange­passt. Bei 0% Risiko wird davon aus­ge­gangen, dass der kom­plette Adressraum durch­sucht wird. Setzt man das Risiko auf 50%, wird ersichtlich, dass sich die Lebens­dauer Ihres Pass­wortes hal­biert.

Neben der anschau­lichen Anzahl aller mög­lichen Pass­wörter wird Ihnen die Lebens­dauer Ihres Pass­wortes in Jahren, Monaten, Tagen, Stunden, Minuten und Sekunden genau ange­zeigt.

Spielen Sie mit dieser Web-App­li­­kation und testen Sie sie nach Belieben. Unter anderem emp­fehle ich Ihnen die Para­meter „Pass­wort­länge und Zei­chen­vorrat“ intensiv aus­zu­testen. Sie werden staunen, dass man nur mit dem kleinen Alphabet und einer Pass­wort­länge von 16 Zeichen immerhin rund 27.000 Jahre braucht um Ihr Passwort mit einem han­dels­üb­lichen PC zu knacken, aber auch mit einem großen System noch 92 Jahre braucht. Hätten Sie das gedacht?

Hier nun die Adresse mit der Sie Ihre Sze­narien aus­pro­bieren können:

http://zuse.et-inf.fho-emden.de/rechner.php

Da es sich um die Version 1.0 des Passwort-Rechners handelt, die erst vor einigen Tagen fer­tig­ge­stellt wurde, gehen wir auf kon­struktive Kritik und Anre­gungen gerne ein.

An dieser Stelle sei noch einmal darauf hin­ge­wiesen, dass es sich in den Bei­spielen nur um MD5 gehashte Pass­worte handelt. Wie meisten heu­tigen Anwen­dungen wie z.B. die Microsoft Windows Betriebs­systeme, diverse Linux-Dis­­tri­bu­­tionen und Web-App­li­­ka­­tionen nutzen MD5 als kryp­to­gra­phische Hash­funktion zur Erstellung eines Hash­wertes. Übrigens, wenn Sie sich den Hashwert Ihrer Pass­worte unter Ihrem Windows-System anschauen wollen und Sie keine Voll­ver­schlüs­selung Ihrer Fest­platt haben, so finden Sie unter C:\Windows\System32\config\RegBack die SAM Datei, in der die Passwort-Hash­­werte aller Accounts hin­terlegt sind. Während Windows arbeitet können Sie leider nicht in den Besitz der Datei kommen. Dazu müssen Sie das System z.B. mit einer Linux-Dis­­tri­bution starten und die SAM-Datei aus­lesen.

Viel Spaß bei der Erstellung Ihres neuen Pass­wortes.

Teil 1 “Fakten, keine Mythen!

Teil 2 “Pass­wort­wechsel”

Teil 4 “Logik des Angriffs”

Teil 5 “Pass­wort­ma­nager” lesen Sie im DsiN-Blog ab dem 11. Juni 2012.

 

4 Kommentare zu Passwortsicherheit III: Passwortrechner!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Prof. Udo H. Kalinna, Hoch­schule Emden/Leer

Prof. (Verw.) Dipl.-Ing. Dipl.-Ing Udo H. Kalinna hält zurzeit an der Hoch­schule Emden/Leer die Ver­wal­tungs­pro­fessur für Infor­matik und IT-Sicherheit und arbeitet gleich­zeitig als Unter­neh­mens­be­rater mit dem Schwer­punkt Appli­ka­tions- und Cloud-Sicherheit. Bevor er 2010 zur Hoch­schule wech­selte, war er über 14 Jahre als Manager bei Hewlett-Packard und Compaq Com­puter tätig, bevor er als Unter­nehmer und CEO 2001 erfolg­reich sein eigenes Software-Security Unter­nehmen gründete, welches nach kurzer Zeit zur Akti­en­ge­sell­schaft fir­mierte. Mit seiner Software traf das Unter­nehmen eine Markt­lücke und wurde vom Magazin „IT-Security“ 2008 mit dem Preis „Inno­vation des Jahres“ aus­ge­zeichnet.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.

Neueste Kom­mentare