Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Sichere Passwörter
Den „Profiler“ kennt man aus dem Fernsehen. In der Krimi-Serie erstellt er aus den Informationen vom Tatort ein Profil des Täters. Das funktioniert aber nicht nur bei Tatortspuren und Tätern, sondern auch bei Menschen und Passwörtern.
Aus den Blog-Beiträgen von Prof. Udo H. Kalinna wissen wir nun, wie ein sicheres Passwort aussehen sollte. Leider wird dies nicht immer angewandt. In einer von der Firma Imperva durchgeführten Studie an 32 Millionen gestohlenen und im Internet veröffentlichen Passwörtern wurden für Experten nicht überraschende Erkenntnisse gewonnen: Zu viele Anwender verwenden zu einfache Passwörter zum Beispiel den Namen von Ehefrau, Freundin, Kinder oder Haustier. Dazu wird das gleiche Passwort dann auch noch für verschiedene Accounts (Facebook, GoogleMail, Twitter, etc.) verwendet.
Zitat des Autors:
„… Nearly 50% of users used names, slang words, dictionary words or trivial passwords (consecutive digits, adjacent keyboard keys, and so on) …”.
Die Studie ist vom Januar 2010, allerdings wird sich bis heute nicht viel geändert haben. In den letzten 20 Jahren hat sich schließlich auch kaum etwas getan. Eine Analyse von Unix-Passwörtern aus dem Jahre 1990 und eine Analyse von gehackten Hotmail-Accounts vor 10 Jahren brachten ähnliche Ergebnisse.
Einfach
Wie kommt nun ein Hacker dazu den Namen von Ehefrau, Hund, Kinder oder Lieblingsschauspieler zu erraten? Er benutzt ähnliche Methoden wie der Profiler von der Polizei.
In dem Film „WarGames“ aus dem Jahr 1983 musste der jugendliche Hacker das Passwort durch Informationen zum Opfer noch aus Büchern besorgen. Im Zeitalter der umfassenden elektronischen Datenverarbeitung gibt es dafür Werkzeuge und das Internet. Das frei erhältliche Werkzeug Common User Password Profiler (CUPP) zum Beispiel erstellt aus wenigen persönlichen Informationen eine Passwortliste mit mehreren tausend Passwörtern. Diese individuelle Passwortliste wird dann wieder mit einem Tool mittels Brute-Force-Angriff bei einem Account des Anwenders durchprobiert. Das geht erheblich schneller als alle C max = nc l Möglichkeiten eines wirklich zufälligen Passworts zu probieren.
Noch einfacher
Und es geht noch einfacher. Wer sich nicht die Mühe machen will nach Namen von Ehefrau, Kinder oder Haustieren des Opfers zu suchen verwendet Werkzeuge, die sich diese Informationen aus dem Internet selbst beschaffen. Diese Tools durchforsten zum Beispiel automatisch die Webseiten, Facebook- oder Twitter-Accounts des Opfers und erstellen die Passwortlisten aus den gefundenen Informationen.
Unsicher!
Und wie bereits in den Beiträgen von Prof. Udo H. Kalinna angesprochen: Bitte nicht den Namen des Haustiers durch Anhängen von Ziffern oder Sonderzeichen „sicherer“ machen. Das funktioniert nicht! Die Werkzeuge kennen auch diese Möglichkeiten und erzeugen einfach ein paar tausend zusätzliche Variationen in den Passwortlisten.
Auch unsicher!
Wer den Film „WarGames“ gesehen hat (oder in Wikipedia danach gesucht hat) wird vielleicht das Passwort kennen mit dem der Hacker in den Rechner eingedrungen ist: Der Programmierer hat den Namen seines verstorbenen Sohnes verwendet: „Joshua“. Daraufhin war „Joshua“ ein beliebtes Kennwort in der damals aktiven Mailbox-Scene. Deshalb sollten als Passwörter auch keine bekannten Namen aus öffentlichen Medien verwendet werden. Weder Morpheus oder Trinity (aus dem Film Matrix) noch Gandalf oder Frodo (aus der „Herr der Ringe“-Trilogie) sind gute Passwörter.
Sicher?
Wer jetzt motiviert wurde seine Passwörter zu ändern, sollte das am besten gleich tun. Auch wenn die nächste Analyse zur Passwortsicherheit erst in zehn Jahren durchgeführt wird. Die Ergebnisse dieses Berichtes werden dann vermutlich zeigen, dass noch immer Trivial-Passwörter verwendet werden, aber Ihre elektronischen Türen sind dann bestimmt mit den nötigen 15 bis 20 Zeichen langen Kennwörtern abgesichert. Oder mit Ihrem Fingerabdruck. Oder mit Ihrem Augenhintergrund. Oder mit Ihrem Gedankenmuster.
Bild: © Siegfried Fries / pixelio.de
4 Kommentare zu Sichere Passwörter
Schreiben Sie einen Kommentar
Dipl. Inf. (Univ); OSSTMM Professional Security Tester (OPST zertifiziert seit 2011). Roland Wagner ist seit 1999 bei der Datev im Umfeld Internetdienste und IT-Security tätig. Hier beschäftigt er sich hauptsächlich mit Sicherheitsuntersuchungen und IT-Forensik.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Und wie sieht jetzt ein sicheres Passwort aus?
Der Artikel ist ja ganz nett, aber nicht wirklich hilfreich. Wir wissen jetzt zwar wie ein Passwort nicht auszusehen hat: Keine Namen aus dem Umfeld, kein Haustier, keine Zahlen aus dem Umfeld, keine allgemeinbekannten Namen, usw.
Wie aber sollte dann ein sicheres Passwort aussehen? Wie lang sollte es zu welchem Zweck sein?
Der Artikel hört dort auf, wo es interessant wird. Dieses Thema wurde überigens in diversen Fachzeitschriften schon tausend mal durchgearbeitet. Und das meistens besser als hier.
So könnte ein sicheres Passwort aussehen
Vielen Dank, für Ihre Anregung.
Für Sie könnte aus der zitierten Reihe von Prof. Kalinna zur Passwortsicherheit der 3. und 4. Beitrag besonders interessant sein.
Hier können Sie die Sicherheit Ihrer Passwörter testen: https://www.dsin-blog.de/passwortsicherheit-iii-passwortrechner
Und hier finden Sie eine kleine “regnerische” Anleitung: https://www.dsin-blog.de/passwortsicherheit-iv-die-logik-des-angriffs
Sicheres Passwort
Das sieht man es https://www.sicher-im-netz.de/downloads/SicheresPasswort.aspx
Der Link wäre im Artikel
Der Link wäre im Artikel sicher nicht verkehrt gewesen! Danke.