Sichere Passwörter – Tipps für mehr Sicherheit

Kategorie:
Sicherheit
Mann versucht sich an Passwort zu erinnern

Es gibt viele Meinungen darüber, wie ein gutes Passwort auszusehen hat. Viele der Empfehlungen sind aber nicht mehr zeitgemäß.

Was ist also der aktuelle Stand der Dinge in Sachen sicheres Passwort?

Woher stammen die bisherigen Passwortrichtlinien?

Im Jahr 2003 definierte Bill Burr, ehemaliger Beamter bei der US-Behörde NIST (National Institue of Standards and Technoloy), in einem Dokument seine Empfehlungen für den Umgang mit Passwörtern.

Diese galten als Nonplusultra für sichere Passwörter. Deswegen werden diese bis heute für die Validierung von Passwörtern in Webseiten und Anwendungen verwendet.

In einem Interview beim Wall Street Journal gestand Bill Burr, dass er diese Vorgaben bereue und die Erfahrungen der letzten Jahre gezeigt haben, dass sich diese Richtlinien eher negativ als positiv ausgewirkt haben.

Was ist das Problem mit den bisherigen Passwortrichtlinien?

Die bisherigen Richtlinien empfehlen Passwörter mit 6 bis 8 Zeichen sowie die Verwendung von kleinen und großen Buchstaben, Zahlen und Sonderzeichen.

Das Problem dabei: Abgesehen von der Schwierigkeit sich diese Passwörter zu merken, können die scheinbar komplexen Passwörter aufgrund ihrer Länge innerhalb weniger Stunden geknackt werden.

Wie schaffen es Hacker mein Passwort zu erraten?

Hacker verwenden unter anderem Programme die sogenannte Brute-Force-Attacken nutzen. Das Programm generiert in kürzester Zeit aus verschiedenen Zeichenkombinationen ein Passwort und versucht sich damit anzumelden. Das wird so oft wiederholt bis die Anmeldung funktioniert.

Im Programm werden Begriffe aus Wörterbüchern, gängige Phrasen und Sonderzeichen verwendet. Wenn man in sozialen Netzwerk Informationen offenlegt können auch personalisierte Wörterbücher verwendet werden.

Ist man zB. Fan von einem Sportverein, dann kann der Name des Vereins zum Wörterbuch hinzugefügt werden. Die zusammengetragenen persönlichen Informationen können die Chance erhöhen das Passwort zu erraten.

Auch gibt es immer wieder Sicherheitslücken in Systemen die von Hackern ausgenutzt werden um an die Zugangsdaten zu kommen.

Wie sollte ein zeitgemäßes Passwort aussehen?

Sichere Passwörter sind lang!

Das geht auch aus dem aktuellen Dokument der NIST hervor. Je länger das Passwort, desto länger benötigt die Knack-Software zum Erraten des Passworts. Die verwendeten Zeichen sind dabei nicht so wichtig.

Die Experten von NIST empfehlen jetzt Passwörter von mindestens 8 Zeichen, 12 Zeichen und mehr sind besser. Wichtige Accounts solle man mit Passwörtern bis zu 64 Zeichen schützen.

Entwicklern von Software wird empfohlen die Längen-Beschränkung für Passwörter komplett aufzuheben.

In der Praxis: Wie erstelle ich ein geeignetes Passwort?

Wenn man ein Passwort definieren soll, möchte man dass es schnell und einfach geht.

Am schnellsten geht das wenn man sich einen längeren Satz überlegt und jeweils das erste Zeichen niederschreibt. Wichtig ist, dass der Satz genug Wörter beinhaltet damit eine gewisse Passwort-Länge erreicht wird.

Beispiel:

Aus dem Satz:

Am 1. Februar gab es einen Artikel im Flying Lama Blog über Passwort Sicherheit.

Wird folgendes Passwort: A1.FgeeAiFLBüPS.


Dieses Passwort hat 16 Zeichen und lässt sich durch den Satz leicht merken. Es erfüllt außerdem viele der bisherigen Richtlinien die noch oft in Gebrauch sind. Dadurch, dass es nicht viele Sonderzeichen enthält, lässt es sich auch auf mobilen Geräten besser eingeben.

Warum sollte ich ein Passwort niemals mehrfach verwenden?

Wenn Hacker eine „Username + Passwort“ bzw. „Email-Adresse + Passwort“ Kombination kennen, dann versuchen sie diese auch auf anderen Webseiten.

Damit hat dieser mit einem Schlag noch mehr Möglichkeiten Schaden anzurichten.

Wie merke ich mir so viele Passwörter?

Sofern man kein photographisches Gedächtnis hat, wird man sich niemals alle Passwörter merken können.

Deswegen:

Passwörter sollten notiert werden!

Die klassiche Variante: Notizbuch

Eine einfache Variante ist die Zugangsdaten in einem Notizbuch zu notieren. Dieses sollte dann allerdings an einem sicheren Ort aufbewahrt werden und nicht frei zugänglich sein. Besucher sollen keine Möglichkeit bekommen die Zugangsdaten einzusehen oder schnell ein Foto davon zu machen.

Also: Schluss mit Post-it-Zetteln am Monitor!

Die digitale Variante: Passwort-Manager

Mit einer Passwort-Manager-Software kann man all seine Zugangsdaten in einem Programm speichern. Man muss sich lediglich ein einziges Passwort zum entsperren des Programms merken. Dieses Passwort sollte allerdings sehr lang sein, damit die Passwörter sicher verwahrt sind.

Der Vorteil gegenüber dem Notizbuch ist, dass die Passwörter von überall aus eingesehen werden können. Meist gibt es Desktop-Programme und Smartphone-Apps die den Zugriff auf die Passwörter ermöglichen.

Die Daten werden meist verschlüsselt auf einem Server des jeweiligen Anbieters gespeichert. Damit ist sichergestellt, dass Mitarbeiter des Anbieters aber auch bei einem Daten-Leak keine Passwörter ausgelesen werden können.

In sogenannten Sicherheits-Audits können Secuity-Experten feststellen ob die Verschlüsselung der Daten korrekt und vollständig integriert wurde. Deshalb sollte man bei der Auswahl des Passwort-Managers darauf achten, ob ein solches Audit durchgeführt wurde und die Experten ihr OK abgegeben haben.

Wie kann ich meine Accounts zusätzlich schützen?

Mit Zwei-Faktor-Authentifizierung (2FA) können wichtige Zugänge zusätzlich abgesichert werden. Dabei muss man bei der Anmeldung zusätzlich zu den normalen Zugangsdaten weitere Informationen eingeben.

Das kann zB. ein zufälliger Einweg-Code sein, der automatisch generiert wird und per App oder SMS eingesehen werden kann.

Dadurch kann ein Hacker sich nicht einloggen, selbt wenn er die normalen Zugangsdaten hat.

Zum Abschluss eine „Horror“-Geschichte:

Hannes besucht eine Webseite und bemerkt, dass er sich registrieren muss um den gesamten Inhalt zu sehen. Er möchte sich nicht noch ein neues Passwort merken, nur damit er den Inhalt sehen kann. Weil er sich sein Facebook-Passwort leicht merken kann, entscheidet er sich dieses als Passwort für die Webseite zu setzen.

Was Hannes aber nicht wissen kann: Der Administrator der Webseite hat nicht auf die Sicherheit geachtet und speichert die Passwörter ohne Verschlüsselung.

Ein Hacker verschafft sich Zugriff auf die Daten der Webseite und liest auch die Daten aller auf der Webseite registrierten User aus.

Weil der Hacker weiß, dass Personen oft das selbe Passwort verwenden, hat er ein Programm das für ihn prüft ob der Login mit der Kombination aus Email-Adresse und Passwort auch noch auf anderen Webseiten möglich ist.

Ein weiteres Programm des Hackers überprüft alle Personen deren Facebook-Login erfolgreich war.

Im zweiten Schritt loggt sich das Programm bei Facebook ein, ändert automatisch das Facebook-Passwort und verschickt eine Nachricht mit einem Link an alle Facebook-Freunde.

Ein paar der Freunde von Hannes bekommen eine solche Nachricht und bemerken, dass Hannes normalerweise nie Nachrichten über Facebook verschickt und informieren Hannes über einen Telefon-Anruf.

Hannes versucht sich auf Facebook einzuloggen, schafft es aber nicht, weil das Passwort geändert wurde.

In der Zwischenzeit haben ein paar seiner Facebook-Freunde auf den Link geklickt und ein Schad-Programm heruntergeladen das deren Computer infiziert hat.

Das Schad-Programm verschlüsselt alle Dateien des Computers und fordert zur Zahlung eines Betrages auf damit die Dateien wieder entschlüsselt und verwendet werden können.

Der Hacker hat sein Ziel erreicht: Einige 1000 User weltweit haben den Betrag bezahlt um wieder an die Daten des PC’s zu kommen.

(Die Handlung der Geschichte und die Personen darin sind frei erfunden)

1. Februar 2018
Christoph Müller