Virtual Log

Vom schlechtesten Passwort zu den besten. 8 Tipps für sichere Passwörter und wie man sich diese merken kann.

Fotocredit: Virtual Net

Das häufigste und damit schlechteste Passwort der Welt ist 123456.

Das häufigste und damit das schlechteste Passwort der Welt ist 123456.

Meistens sitzt die größte Sicherheitslücke eines Systems vor dem Bildschirm ;) Und das fängt bereits bei der Authentifizierung und der Wahl des Passworts an, wenn es sich um ein Passwort oder PIN geschütztes System handelt.

Wir sollten uns daher immer im Klaren sein, dass ein schlechtes Passwort wie 123456 ungefähr die gleiche Sicherheit bietet, wie gar kein Passwort zu verwenden.

Für die Wahl eines sicheren Passworts sollten wir uns daher zunächst überlegen, was überhaupt ein gutes und schlechtes Passwort ist.

Ein Passwort ist dann schlecht, falls es ein anderer Mensch oder ein Computer leicht erraten kann.

Leicht bedeutet in diesem Zusammenhang, dass das Passwort innerhalb von Sekunden oder Tagen geknackt werden kann. Für ein sicheres Passwort würde man andererseits Jahre oder Jahrtausende benötigen. Es ist also immer eine Frage des Aufwands und der Zeit, bis ein Passwort geknackt wird.

Mathematisch betrachtet bietet ein Passwort mit einer hohen Entropie also am besten eine rein zufällige, möglichst lange Zeichenkette, die höchste Sicherheit.

Ein sicheres Passwort mit einer Entropie > 128 Bit würde daher beispielhaft so aussehen:

wG5NRHRgDXBRx2T6nYUGT4io

Ein wirklich sicheres Passwort hat nur einen gravierenden Hacken, es kann sich keiner merken und ist mühsam immer wieder einzugeben. Wie man sieht, gibt es auch bei Passwörtern den bekannten Usability-Security-Tradeoff.

Auch wegen der Tatsache, dass man sich nicht nur ein Passwort merken muss, sondern dutzende, wird man früher oder später, nicht darum herumkommen, Passwörter aufzuschreiben bzw. zu speichern. Das Sicherheitsproblem verlagert sich dann auf ein anderes Medium.

8 Tipps für sichere Passwörter

1. Das Passwort sollte mindestens 14 Zeichen lang sein. Je länger desto besser.

2. Das Passwort sollte auch Zahlen und Großbuchstaben enthalten und nicht nur aus Kleinbuchstaben bestehen.

3. Das Passwort sollte aus einer möglichst "zufälligen" Zeichenkette bestehen (siehe Beispiel oben). Schlechte Passwörter sind zum Beispiel Namen, Geburtsdaten, und Wörter der natürlichen Sprache.

4. Verwende niemals das gleiche Passwort für verschiedene Systeme, d.h. für jede Website brauchst du ein eigenes, unterschiedliches Passwort. Würde man immer dasselbe Passwort verwenden, hätte das die Konsequenz, dass wenn ein System gehackt wird, alle anderen Systeme auch kompromittiert sind.

5. Bewahre die Passwörter sicher auf. Wenn man Passwörter zum Beispiel im Browser speichert, muss man sich bewusst sein, dass diese auch in die Cloud gesynct werden können. Old-School auf Papier sind die Passwörter zumindest vor dem Internet geschützt ;)

6. Gib dein Passwort nicht achtlos weiter. Kein Unternehmen und keine Bank wird dich anrufen und nach deinem Passwort fragen.

7. Folge keinen Links in E-Mails, die vermeintlich von bekannten Firmen wie paypal oder deiner Bank kommen und dich auffordern, dich auf "deren Website" einzuloggen. Diese E-Mails sind Phishing-Mails und versuchen mit einer gefälschten Website an deine Passwörter und TANs zu gelangen.

8. Passwörter sollten von Zeit zu Zeit geändert werden. Ja, dieser Punkt ist mühsam, aber war zum Beispiel nach der OpenSSL-Heartbleed-Lücke notwendig, um auf Nummer sicher zu gehen.

Falls man sich sichere Passwörter merken will/muss, gibt es noch den Trick, sich eine Eselsbrücke auszudenken oder ein mnemonisches Passwort zu verwenden.

Bei einem mnemonischen Passwort geht man zum Beispiel von einer langen Wortkette aus, die man sich merken kann, und bildet das Passwort dann mit einem einfachen Algorithmus.

Also zum Beispiel ausgehend von den Anfangs- und Endbuchstaben der folgenden Wortkette:

"Das schlechteste Passwort der Welt ist 123456, lol." würde folgendes halbwegs sicheres Passwort ergeben:

DssePtdrWtit16,ll.

Achtung, die obige Zeichenkette sollte aber noch individualisiert und nicht eins-zu-eins verwendet werden ;)

Abschließend kann man sagen, es ist besser, sichere Passwörter aufzuschreiben als sich unsichere zu merken. Denn ein unsicheres Passwort ist so gut wie kein Passwort.

Weitere Ressourcen

18.11.2014 Virtual Net

Kommentare

Eintragungsdatum: 10.01.2015 12:44:12
Ist wahrscheinlich schon bekannt, passt aber gut zum Thema: Der xkcd-Autor beschreibt eine simple Methode, um aus Wörtern der natürlichen Sprache gut merkbare Passwörter mit hoher Entropie zu erstellen:

http://xkcd.com/936/
Eintragungsdatum: 12.01.2015 21:47:23
@Heinzi: LOL, würde aber für wirklich sichere Passwörter mehr als 4 Wörter empfehlen, da mir die Annahme von 1.000 guesses / sec beim heutigen Stand der Technik etwas niedrig erscheint ;)
Andreas
Eintragungsdatum: 25.11.2015 04:50:26
Da kannst du so viel LOLen wie du möchtest. Es ist ein Fakt dass ein Passwort aus 4 Wörtern noch immer mehr Entropie hat als eines aus 14 komplett zufälligen Zeichen (Sonderzeichen eingeschlossen)
Und man es sich merken kann.

Zufallsgenerierte Passwörter sind in aller Regel mist und nur Brauchbar wenn man eine Passwortverwaltung wie Keepass nutzt.

Nebenbei mehr als 1.000 guesses / sec erreichst du bei heutig empfohlenen Hashmethoden mit einem Normalen Server auch nicht. Denn diese sind darauf ausgelegt dass sie langsam sind. Im Idealfall natürlich mit mehreren Runden.
BCrypt mit 20 Runden bringt jedes Grafikkartencluster noch zum Kotzen.

Kommentieren

Name
E-Mail (wird nicht veröffentlicht)
Homepage (optional)