computerwoche.de

Security

Auf die Länge kommt es an

Die besten Tricks für ein sicheres Passwort

12.08.2017
Von Peter-Uwe Lechner
Ein Passwort ist immer nur so sicher, wie es kompliziert ist. Zu leichte Passwörter sind in Sekunden geknackt, mit höchst unangenehmen Folgen für den Passwort-Inhaber.
Die Website www.howsecureismypassword.net sagt Ihnen, wie schnell ein normaler Computer Ihr Passwort knacken kann.
Die Website www.howsecureismypassword.net sagt Ihnen, wie schnell ein normaler Computer Ihr Passwort knacken kann.

Die Liste der schlechtesten Passwörter in Deutschland wird dominiert von den nicht gerade einfallsreichen Zahlenkombinationen 1234, 12345, 123456, 12345678, 696969 sowie den nicht minder schwer zu erratenden Wörtern passwort, geheim, keins, schatzi und qwertz. Das wurde mehrfach dadurch dokumentiert, dass Hacker Nutzerdaten bei Online-Diensten und Webshops gestohlen und sie dann im Internet veröffentlicht haben. Wenn auch Sie eines der genannten Passwörter verwenden, um etwa Ihren Ebay-Account oder Ihr Amazon-Konto zu schützen, dann sollten Sie unbedingt weiterlesen und die folgenden Hinweise zur Passwortsicherheit umsetzen.

Wie lange ein moderner PC braucht, um ihr Passwort zu knacken, zeigt die Webseite www.howsecureismypassword.net. Ein vermeintlich sicheres Passwort wie "g3h31m" ist mit entsprechenden Hilfsmitteln in rund einer halben Sekunde geknackt. Für "da515tg3h31m" braucht man hingegen 37 Jahre.

Unsichere Passwörter - so leicht werden sie geknackt

Die Dauer des Passwort-Knackens ist abhängig von der Komplexität und Länge des Passwortes und der vom Angreifer verwendeten hardware. In den meisten Fällen kommen die folgenden zwei Angriffsarten zum Einsatz:

Wörterbuchangriff: Eine Software probiert jedes Wort einer Passwortliste und/oder eines Wörterbuches aus. Selbst Standard-Computer benötigen für den kompletten Durchlauf mit einigen Dutzend Sprachen nur wenige Sekunden. Es existieren auch Zahlenlisten. Man verwendet diese Methode, wenn man davon ausgehen kann, dass das Passwort aus einer sinnvollen Zeichenkombination besteht. Dies ist erfahrungsgemäß in den meisten Fällen so.

Erfolg versprechend ist dieses Verfahren jedoch nur, wenn ein Angreifer möglichst viele Passwörter äußerst schnell hintereinander ausprobieren kann.

Brute-Force-Attacke: oft sind Passwörter mit hilfe von kryptographischen hash-Funktionen verschlüsselt. Eine direkte Berechnung des Passworts aus dem hashwert ist praktisch nicht möglich. Ein Angreifer kann jedoch die hash-Werte vieler Passwörter berechnen. Stimmt ein Wert mit dem Wert des hinterlegten Passwortes überein, hat er das (oder ein passendes) Passwort gefunden. Brute Force ("rohe Gewalt") bedeutet hier also simples Ausprobieren von möglichen Passwörtern. Vordefinierte hash-Listen häufig verwendeter Passwörter nennt man rainbow Table. Über mehr rechen-Power bei modernen Prozessoren und Grafikkarten freuen sich nicht nur die PC-nutzer, sondern auch die Passwortknacker. Je leistungsfähiger die rechner sind, desto schneller haben sie ein Passwort durch simples Ausprobieren der möglichen Zeichenkombinationen gefunden.

Diese Brute-Force-Methode funktioniert immer, bei längeren, komplizierteren Passwörtern dauert es aber auch eine Weile. Verkürzen lässt sich die Zeit mit noch mehr rechen-Power - und die ist für wenig Geld im Internet zum Beispiel beim Amazon EC2-Service zu mieten.

Das ist Gesetz: Passwort-Knacker sind verboten

Deutschland hat im August 2007 die EU-Vorgaben zur Bekämpfung von Computerkriminalität umgesetzt. Der Paragraf 202c des Strafgesetzbuches (StGB) hält unter "Vorbereiten des Ausspähens und Abfangens von Daten" fest: Wer eine Straftat nach § 202a (Ausspähen von Daten) oder § 202b (Abfangen von Daten) vorbereitet, indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit einer Geldstrafe bestraft.

Apple preist den Fingerabdrucksensor und die im System hinterlegte Technik Touch ID als die beste denkbare Authentifizierung an – sie sei besser als jedes Passwort.
Apple preist den Fingerabdrucksensor und die im System hinterlegte Technik Touch ID als die beste denkbare Authentifizierung an – sie sei besser als jedes Passwort.

Zugriffsschutzmethoden für Geräte, Dienste und Dokumente

PC, Smartphone und Tablet können mit einem Passwort vor einem unbefugten Zugriff geschützt werden. Mehr und mehr wird das Passwort aber durch neuere Methoden abgelöst: Am Smartphone gibt es etwa ein Entsperrmuster, bei dem maximal neun Punkte miteinander verbunden werden können. Das ergibt ganze 389.122 Kombinationsmöglichkeiten.

Das iPhone setzt auf Touch-ID für das Entsperren und Authentifizieren per Fingerabdruck. Im Home-Knopf ist ein Fingerabdruck- Sensor integriert, der den Finger schon beim Auflegen erkennt, nicht erst beim Drücken. Damit lässt sich das Smartphone potenziell besser schützen als durch eine PIN-Eingabe. Ein Security-Token nutzt Hardware zur Authentifizierung von Benutzern. Dazu erhält der Nutzer einen USB-Stick, eine Smartcard oder einen Chip, womit er sich am Computer oder bei bestimmten Diensten anmelden kann. Security-Tokens können personalisiert sein. Sie sind dann eindeutig einem bestimmten Benutzer zugeordnet. Zusätzlich können die Geräte mit einer PIN abgesichert sein. USB-Token haben im Gegensatz zu einer Smartcard den Vorteil, dass kein spezielles Kartenlesegerät am Computer notwendig ist.

Der Benutzer muss sich beim Security-Token nicht zwangsläufig ein Passwort merken. Viele Programme und Dienste bestehen nur darauf, dass der Token angeschlossen beziehungsweise eingesteckt ist. Bessere Sicherheit gibt es nur bei einer separaten Anmeldung. Security- Token sind etwa SIM-Karten im Handy und Zugangskarten zu Pay-TV-Angeboten. Auch der neue Personalausweis bietet eine Online-Funktion, bei der sich Nutzer über ein Kartenlesegerät ausweisen können. Leider greifen derzeit im Netz kaum Dienste darauf zurück.

Die Nachteile der Security-Token liegen klar auf der Hand: Verliert oder zerstört der Eigentümer die Hardware, schließt er sich selbst vom System aus. Kommt der Token in falsche Hände und ist nicht mit einen zusätzlichen Log-in-Schutz versehen, erhält ein möglicher Angreifer Zugriff auf Systeme oder Dienste.

Security-Token kommen meist als Ausweise zur Absicherung von Transaktionen zum Einsatz. Hier ein USB-Stick mit Zwei-Faktor-Authentifizierung.
Security-Token kommen meist als Ausweise zur Absicherung von Transaktionen zum Einsatz. Hier ein USB-Stick mit Zwei-Faktor-Authentifizierung.

Für Office-Dokumente gibt es eingebauten Passwortschutz

Es gibt verschiedene Motive, Dokumente mit einem Passwort zu schützen: So wollen Sie etwa nicht, dass Dritte Kenntnis vom Inhalt Ihrer Dateien erhalten und einsehen können, was Sie erstellt haben. Auch Veränderungsschutz ist ein häufiger Grund für die Verwendung eines Kennworts, etwa bei besonders wichtigen Dokumenten wie Vertragsentwürfen, Redevorlagen oder Produktinfos sowie Schriftstücken, die für einen gewissen Zeitraum einer Veröffentlichungssperre unterliegen. Nur Sie als Ersteller haben dank Passwortschutz die Möglichkeit, Teile des Dokuments oder das ganze Werk zu bearbeiten.

Die Verwendung von Passwörtern ist darüber hinaus beim gemeinsamen Zugriff auf Dateien und Ordner im Netzwerk mit Kollegen oder zu Hause mit anderen Familienmitgliedern ratsam. Insbesondere Kinder und Heranwachsende treibt eine natürliche Neugier häufig dazu, alle vorhandenen Laufwerke zu durchsuchen und Dateien mit interessant klingenden Namen zu öffnen. In Firmen kann zwar ein Mitarbeiter normalerweise nicht auf die Dokumente seiner Kollegen zugreifen, doch während einer Besprechung oder in Pausen steht der PC oftmals einem Fremdzugriff offen.