Trotz des Aufkommens biometrischer Authentifizierungs-Verfahren wird uns der Login mit Passwort noch einige Jahre begleiten. Experten sind immer wieder überrascht, wie schlecht Mitarbeiter die Risiken durch schwache Passwörter einschätzen können. Im IT-Channel von buchreport.de verrät ein Autorenteam des Safe Shop einige Tipps, die das Gestalten und Merken von schwer zu knackenden Passwörtern einfach machen, sowie ein wenig Mathematik, die hilft zu verstehen, wie ein sicheres Passwort aussieht:
Unsichere Passwörter in Deutschland
Sicherheit scheint nach wie vor ein stark vernachlässigter Aspekt bei der Internetnutzung zu sein. Dies ist Kriminellen offensichtlich deutlich bewusst, da sie kräftig Gebrauch von der Unwissenheit der Deutschen machen. Laut der polizeilichen Kriminalstatistik erreichte die sogenannte Cyberkriminalität, das heißt Delikte, die im Internet begangen wurden (zum Beispiel Computersabotage oder das Ausspähen von Daten wie Bankverbindungen) immer wieder Rekordwerte. Das Erschreckende: Nicht einmal vier von zehn Straftaten im Bereich Internetkriminalität werden aufgeklärt. Ein Grund für den Anstieg der Cyberkriminalität ist, dass viele Internetnutzer viel zu leichte Passwörter haben und so Hackern einfachen Zugang zu ihrem E-Mail- oder sogar Bankkonto ermöglichen.
Der Grund für den zu leichtfertigen Umgang mit den eigenen Passwörtern und dafür, dass bei Smartphones zum Teil ganz darauf verzichtet wird, liegt meist in der Unwissenheit der User. Manche denken sich sicherlich, dass niemand ihre Daten für so wichtig hält, dass er Stunden oder Tage damit verbringt, viele Kombinationen durchzugehen. Oder aber sie glauben, dass Leute im Internet nicht wissen können, dass ihre Katze „Susi“ heißt.
Dabei ist Usern häufig nicht klar, dass Opfer häufig nicht gezielt, sondern durch Zufall ausgewählt werden. Man sollte aber wissen, dass Hacker in den meisten Fällen nicht einfach versuchen, ein Konto gezielt zu knacken. Der Hacking-Experte und wissenschaftliche Mitarbeiter am Institut für Internet-Sicherheit der Westfälischen Hochschule Frank Timmermann gibt hierzu zu bedenken: „In der Regel wird nicht gezielt ein System angegriffen, sondern es wird versucht, viele Systeme gleichzeitig anzugreifen.“ Außerdem wissen viele PC-Nutzer nicht, dass kaum ein Hacker von Hand Kombinationen durchprobiert, sondern dass leistungsstarke Computersysteme die Arbeit meist in Sekunden erledigen. Laut Timmermann können moderne Grafikprozessor-Systeme 63 Milliarden Kombinationen pro Sekunde durchprobieren.
IT-Grundlagen und Technologien der ZukunftMehr zum Thema IT und Digitalisierung lesen Sie im IT-Channel von buchreport und den Channel-Partnern knk und Rhenus. Hier mehr
Gerade auch für Unternehmen ergibt sich ein nicht zu verharmlosendes Risiko, wie Roland Paier, Geschäftsführer des österreichischen EDV Dienstleisters Diropa erklärt: „Die Gefahr durch automatisierte Passwort-Hackversuche ist keinesfalls zu unterschätzen und Schnittstellen zum Internet gibt es mittlerweile nahezu in allen Unternehmen durch Mail-Services oder Remote Desktop Services!“
Wie erstellt man nun möglichst sichere und gleichzeitig einprägsame Passwörter? Hierfür möchten wir zunächst in einfachen Worten erklären, was Einfluss auf die Sicherheit eines Passwortes hat, wie man ein Passwort „sicher“ macht und wie man sich dieses Passwort merkt.
Wie sicher ist mein Passwort?
Es ist sicherlich aufgefallen, dass wir „sicher“ in Anführungszeichen geschrieben haben. Das liegt daran, dass es kein hunderprozentig sicheres Passwort gibt. Bei der sogenannten Brute-Force-Methode werden einfach, wie der Name nahelegt, mit „roher Gewalt“ alle möglichen Kombinationen ausprobiert. Jedes Passwort kann also theoretisch geknackt werden, wenn man es nur lang genug versucht.
Abbildung 1: 3-stelliges Passwort aus 3 Zeichen
Ziel ist es daher, mit einem Passwort die Zahl der möglichen Kombinationen zu vergrößern, damit ein Hackerangriff zu lange dauern würde und somit für den Angreifer unwirtschaftlich wird. Ein Passwort sollte also lang sein und aus Klein- und Großbuchstaben, Zahlen sowie Sonderzeichen bestehen.
Da das auf den ersten Blick ein wenig unverständlich klingen mag, benutzen wir das Beispiel des Zahlenschlosses, wie man es bei einem Safe oder einem Geldautomaten findet. Nehmen wir zum Verständnis zunächst an, dass wir nur 3 Stellen und lediglich 3 Zeichen („1“, „2“ und „3)“ zur Verfügung haben wie in Abbildung 1. Insgesamt ergeben sich 27 Möglichkeiten, „1“, „2“ und „3“ miteinander zu kombinieren.
Abbildung 2: Alle Kombinationen für 1,2 und 3 bei drei Stellen
Da es verständlicher ist, wenn man die Kombinationen vor Augen hat, haben wir alle Möglichkeiten in Abbildung 2 einmal aufgelistet. Man kann die Menge der Kombinationen auch ganz einfach errechnen. Man erhält 33 Möglichkeiten, wobei „3“ (die Basis) für die Anzahl der verwendbaren Zeichen und „3“ (der Exponent) für die Anzahl der Stellen steht.
Der wichtigste Hinweis für die Sicherheit eines Passwortes ergibt sich nun aus der Anzahl der nötigen Kombinationen (K) und der Anzahl der Kombinationen, die ein Hacker in einer bestimmten Zeit ausprobieren kann (A). Gehen wir der Einfachheit halber nun davon aus, dass eine Person 20 Kombinationen pro Minute ausprobieren kann. Die Zeit (T), die jemand maximal braucht um das Passwort zu knacken errechnet sich wie folgt. T=K/A (also in unserem Fall 27/20). Daraus ergibt sich, dass ein Hacker, wenn er 20 Kombinationen pro Minute ausprobieren kann, nicht einmal 2 Minuten braucht, um alle Kombinationen durchzugehen. Auf den ersten Blick sieht man, dass dies nicht sicher genug ist. Wie können wir nun also unser Passwort verbessern?
Abbildung 3: 3-stelliges Passwort aus 62 Zeichen
Es gibt zwei Möglichkeiten: Erstens können wir die Anzahl der Symbole erhöhen (siehe Abbildung 3). Nehmen wir an, dass wir zusätzlich zu „1“, „2“ und „3“ auch die restlichen Zahlen sowie das Alphabet in Groß- und Kleinschreibung hinzunehmen. Somit erhöht sich die Anzahl der Zeichen auf insgesamt 62 (10 für die Zahlen „1“-„9“ und „0“, 26 für das kleine Alphabet sowie 26 für das große Alphabet). Die Anzahl der Kombinationsmöglichkeiten ist demnach 62³ oder 238.328. Der Exponent „3“ steht hier wieder für die 3 Stellen, die unser Passwort hat. Die maximale Hackzeit ergibt sich nun, wenn wir diese Zahl durch 20 (die Anzahl der Versuche pro Minute) teilen. Schlagartig erhöht sich die benötigte Zeit, um alle Kombinationen durchzugehen, auf 8 Tage, 6 Stunden, 36 Minuten und 24 Sekunden. Das sieht schon besser aus. Zusätzlich sollten Satz- („!“, „.“, „?“ etc.) sowie Sonderzeichen („€“; „$“, „%“ etc.) im Passwort verwendet werden, da man die Anzahl der Zeichen so auf über 90 erhöhen kann.
Die zweite Möglichkeit zur Verbesserung des Passwortes ist, die Anzahl der Stellen zu erhöhen. Wir benutzen dafür nun 12 Stellen, wobei wir die Zeichenanzahl unverändert bei 3 lassen. Die Anzahl der Kombinationen ist somit bei 3¹² oder 531.441. Diese Zahl ist mehr als doppelt so groß wie die Anzahl der Möglichkeiten, die wir bekommen, wenn wir 3 Stellen aus 62 Zeichen wählen würden. Dementsprechend verändert sich auch die Zeit auf 18 Tage, 10 Stunden, 52 Minuten und 3 Sekunden. Das sieht auf den ersten Blick auch sehr gut aus. Jedoch haben wir der Einfachheit halber ja die Anzahl der Versuche, die pro Minute unternommen werden können, stark unterschätzt.
Abbildung 4: 12-stelliges Passwort aus 3 Zeichen
In der Realität kann die Anzahl der Versuche leicht im zwei- bis dreistelligen Milliardenbereich pro Sekunde liegen. Damit wäre weder das Beispiele aus Abbildung 3 noch das aus Abbildung 4 sicher. Bei beiden wäre weniger als eine Sekunde nötig, um alle Kombinationen durchzugehen. Dazu kommt, dass so gut wie nie alle Kombinationsmöglichkeiten probiert werden müssen, da natürlich schon vorher das richtige Passwort dabei sein kann.
Die logische Konsequenz ist, ein Passwort aus möglichst vielen verschiedenen Zeichen und mit möglichst vielen Stellen zu erstellen (siehe Abbildung 5). Schauen wir mal, wie sich die Sicherheit verändert, wenn wir für 12 Stellen aus 62 (Zahlen, Groß- und Kleinbuchstaben) Zeichen auswählen.
Abbildung 5: 12-stelliges Passwort aus 62 Zeichen
Wir erhalten nun 62¹², also 3.226.266.762.397.899.821.056 Kombinationsmöglichkeiten und eine Hackzeit, die 3 Jahre überschreitet. Bei dieser Berechnung gehen wir davon aus, dass das Passwort in der Hälfte der Zeit geknackt wird. Dies ist sinnvoll, da man, wie oben erwähnt, selten alle Kombinationen durchgehen muss, bis man auf das Passwort stößt. Ein Passwort, für das man sehr wahrscheinlich über 3 Jahre zum Hacken braucht, klingt schon relativ sicher, doch da Hackersysteme immer leistungsfähiger werden und sich mittlerweile für viele ein großer Teil des Lebens am PC und im Internet abspielt, sollte man lieber auf ein sehr sicheres Passwort setzen. Dieses kann man durch noch mehr Stellen sowie Satz- und Sonderzeichen bekommen.
Warum sollte mein Passwort kein Wort oder Satz sein?
Wie wir gesehen haben, ist die Länge eines Passwortes (viele Stellen) entscheidender als die Komplexität (viele Zeichen). Da liegt es nahe, sich zu fragen, ob man dann nicht einfach einen ganzen Satz oder ein langes Wort nutzen kann, um sich sein Passwort leicht merken zu können. Die kurze Antwort auf diese Frage ist „nein“. Der Grund hierfür liegt in der Vorgehensweise der Hacker. Sie wenden verschiedene Strategien an, um Systeme mit Passwörtern zu knacken. Laut Timmermann werden unter anderem Wörter aus Wörterbüchern („Dictionary Attacks“) in verschiedenen Sprachen und aus unterschiedlichen Themenbereichen ausprobiert.
Im Rahmen unserer Recherche haben wir auch mit einem Mitglied des Chaos Computer Clubs (CCC), der größten Hackergemeinschaft Europas, gesprochen und er rät generell von Passwörtern ab, die Wörter enthalten. Seiner Meinung nach überschätzen Menschen häufig die Komplexität von Sprachen. Wenn man sich vor Augen führt, dass Sprachen selten mehr als 1 Millionen Wörter umfassen und der Grundwortschatz noch weit geringer ist, wird deutlich, dass ein modernes Hackersystem nicht lange brauchen wird, um das richtige Wort zu finden.
Außerdem werden Wörter ausprobiert, in denen einzelne Buchstaben mit ähnlich aussehenden Zahlen oder Sonderzeichen ersetzt wurden (z.B. „Hallo“ wird zu „H@llo“). Wörter aus dem Duden in Kombination mit anderen Zeichen (z.B. „12Hallo34“) werden genauso ausprobiert wie häufige Passwörter (darunter z.B. „passwort“, „123456“), sogenannte Common Word Attacks. Aus diesem Grund scheiden auch Wörter in Kombination mit Zeichen sowie veränderte Wörter (Mehrzahl von Nomen, Vergangenheit von Verben usw.) aus. Das letzte Mittel ist dann das Durchprobieren von allen möglichen Kombinationen. Dies möchte man erreichen, da es die meiste Zeit in Anspruch nimmt.
Sowohl unser Interviewpartner vom Chaos Computer Club als auch Frank Timmermann von der Westfälischen Hochschule raten deshalb zu Passwörtern, die möglichst lang (mindestens 10 Zeichen) und komplex (Groß- und Kleinbuchstaben, Zahlen, Sonder- und Satzeichen) sind.
Wie kann ich mir ein sicheres Passwort merken?
Wir wissen nun, dass ein einigermaßen sicheres Passwort sowohl komplex als auch lang ist und keinem (für Maschinen) feststellbaren System folgt. Doch wie lässt sich ein solches Passwort überhaupt merken? Ein Passwort wie „Y7/6%$skKlmÄ@8/]§“ lässt sich sehr schwer merken und ist damit nicht besonders hilfreich. Wie wäre es also stattdessen mit einem Satz? „Ich liebe meine Katze über alles“. Der Satz ist einfach und gut zu merken, sollte jedoch nicht als Satz verwendet werden, da er bei Wörterbuch- oder Grundwortschatzattacke wahrscheinlich nicht lange standhalten würde.
Man kann jedoch einfach bestimmte Buchstaben aus jedem Wort auswählen und daraus das Passwort entstehen lassen. Nehmen wir zum Beispiel immer den ersten und letzten Buchstaben der Wörter. „Ich liebe meine Katze über alles“ wird so zu „IhlemeKeüras“. Jetzt können wir das Ganze noch etwas verbessern, indem wir einige Sonderzeichen einfügen, die ein bisschen wie die jeweiligen Buchstaben aussehen. „I“ kann durch ein „!“ und „L“ durch eine „1“ ersetzt werden „€“ statt „E“ oder „$“ anstatt „S“. Wie wäre es somit mit „!h1€MeKeÜrA$.“. Hier haben wir jedes Wort entweder mit einem Sonderzeichen oder Großbuchstaben begonnen, damit neben Groß- auch noch Kleinschreibung vorhanden ist. Zusätzlich wird der Satz nun mit einem Punkt beendet. Eventuell sollte man das „Ü“ noch durch „Ue“ ersetzen, um im Ausland keine Probleme zu bekommen. Es ist also sinnvoll, bei der Passwortwahl daran zu denken, dass manche Buchstaben und Sonderzeichen auf ausländischen Tastaturen nicht vorhanden sind.
Unser Passwort ist nun also „!h1€MeKeUErA$.“, hat 14 Zeichen und bedient sich beim Gesamtsortiment der verfügbaren Zeichen (Klein- und Großbuchstaben, Zahlen, Sonderzeichen). Es wird zwar nie einen hundertprozentigen Schutz geben, doch sinkt das Risiko einer erfolgreichen Attacke erheblich, wenn die Anzahl der möglichen Kombination sehr groß ist. Bei unserem Passwort wären 96¹⁴ (über 5 Quadrilliarden) Kombinationen möglich und das Hacken würde laut Passwortchecker der Uni Emden selbst mit einem sehr leistungsfähigen Hacker-System über 5 Millionen Jahre dauern (bei 150 Milliarden getesteten Passwörtern pro Sekunde und der angenommenen Wahrscheinlichkeit, dass das Passwort nach der Hälfte der Zeit geknackt wird). Anfangs ist es vielleicht noch ein bisschen schwierig, sich das neue, sichere Passwort zu merken, doch mit dem Satz als Eselsbrücke sollte es leicht sein, sich das Passwort wieder in Erinnerung zu rufen.
Nach mehreren Eingaben muss man oft gar nicht mehr an den Satz denken, da man sich durch die Wiederholung das Eintippmuster merkt. Natürlich sollten weder das Passwort noch der Satz an andere weitergegeben werden. Für Passwörter, die man nicht häufig verwendet und die deshalb auch auf Dauer nicht gut in der Erinnerung bleiben, bietet sich ein Passwort-Manager an. Das Master-Passwort hierfür sollte entsprechend ein langes und komplexes sein.
Mit freundlicher Genehmigung des Safe Shop.
Kommentar hinterlassen zu "Tipps und Tricks für sichere Passwörter"