Passwortsicherheit
Passwörter schützen unsere Daten vor unberechtigtem Zugriff und sind darum ein entscheidendes Element der Computersicherheit. Sie sind sozusagen die Türsteher. Wer an ihnen vorbeikommt, ist drin - Punkt. In diesem Artikel erfahren Sie, was ein gutes Passwort ausmacht. Sie erfahren über die Grundlagen der Passwortsicherheit, wie Angriffe auf Passwörter ablaufen und wie Sie sich davor schützen können.
In einer digitalisierten Welt, in der fast alle Aspekte unseres Lebens von Technologie und dem Internet abhängen, spielen Passwörter eine entscheidende Rolle für die Sicherheit unserer Daten. Ob wir uns in sozialen Netzwerken bewegen, E-Mails versenden, Online-Banking betreiben oder persönliche Dokumente in der Cloud speichern - ein starkes Passwort ist der erste Schutzwall gegen unbefugten Zugriff.
Kriminelle entwickeln ständig neue Methoden, um an unsere Passwörter zu gelangen und diese zu missbrauchen. Einfache und leicht zu erratende Passwörter sind dabei eine leichte Beute. Datenverlust, Identitätsdiebstahl und andere Formen der Cyberkriminalität sind häufig die Folge. Und das betrifft nicht nur uns selbst, sondern - was viele nicht bedenken - auch unser Umfeld. Familie und Freunde vertrauen uns und somit auch unseren gehackten Accounts. So geraten sie ebenfalls in die Fänge von Kriminellen.
Angriffe auf Passwörter
Wie wichtig Passwörter sind, merken wir oft erst, wenn wir tatsächlich Opfer eines Angriffs geworden sind. Dann ist es allerdings zu spät!
Um zu verstehen, wie wir uns richtig schützen können, ist es wichtig, sich im Vorfeld mit den verschiedenen Angriffsmethoden auseinanderzusetzen. Nur so können wir wirksame Maßnahmen treffen.
Folgende Angriffsmethoden werden wir in diesem Artikel behandeln:
- Brute-Force-Angriff
- Wörterbuch-Angriff
- Social Engineering
- Daten-Lecks
1. Brute-Force-Angriff
Brute-Force-Angriffe sind die einfachste und am weitesten verbreitete Methode, um Passwörter zu knacken. Dabei werden - buchstäblich mit aller Kraft - alle möglichen Zeichenkombinationen ausprobiert, bis die richtige gefunden ist. Das Vorgehen ähnelt dem Öffnen eines Zahlenschlosses, wie man es von Fahrrädern oder Koffern kennt. Hier werden systematisch alle möglichen Kombinationen ausprobiert, bis sich das Schloss öffnet. 001, 002, 003 usw. bis 999.
Die Geschwindigkeit eines solchen Angriffs hängt davon ab, wie schnell die Kombinationen ausprobiert werden können. Bei einem digitalen Angriff ist der begrenzende Faktor die Rechenleistung des Angreifers und die Komplexität des Passworts. Je mehr Rechenleistung zur Verfügung steht, desto schneller kann ein Passwort geknackt werden. Umgekehrt gilt: Je komplexer ein Passwort ist, desto mehr Kombinationen sind möglich und desto schwieriger ist es, die richtige Kombination herauszufinden.
Die Komplexität eines Passwortes wird mit Hilfe der Entropie gemessen. Sie gibt an, wie unvorhersehbar ein Passwort ist. Praktischer ausgedrückt ist die Entropie die Anzahl aller möglichen Kombinationen, die ein Passwort haben kann. Je mehr Kombinationen es gibt, desto höher ist die Entropie und desto sicherer ist das Passwort.
Für die Berechnung der Entropie müssen zwei Werte bekannt sein: Die Länge des Passwortes und die Größe des verwendeten Alphabets. Unter Alphabet versteht man die im Passwort verwendeten Zeichen. Dies können Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen sein.
Die Entropie eines Passwortes kann mit der folgenden Formel berechnet werden:
Entropie = Alphabetgröße ^ Passwortlänge
Beispiel: Das Passwort minka1404 besteht aus 8 verschiedenen Zeichen und ist 9 Zeichen lang. Die Entropie des Passwortes beträgt also:
Entropie = 8 ^ 9
= 134 217 728
= 134 Millionen Kombinationen
Da ein Angreifer in einem realistischen Szenario jedoch nicht genau bestimmen kann, welches Alphabet verwendet wird, muss er von den kompletten, verwendeten Zeichensätzen ausgehen. In diesem Fall sind dies Kleinbuchstaben (26) und Zahlen (10). Das Alphabet ist also 36 Zeichen lang. Für einen Brute-Force-Angriff auf das Passwort minka1404 ergibt sich damit eine Entropie von:
Entropie = 36 ^ 9
= 101 559 956 668 416
= 101 Billionen Kombinationen
Angriffsdauer
Die Geschwindigkeit, mit der ein Passwort erraten werden kann, hängt - wie bereits erwähnt - von der Rechenleistung des Angreifers und der Komplexität des Passworts ab. Die Rechenleistung wird in Hashes pro Sekunde (H/s) angegeben. Ein Hash ist eine kryptographische Funktion, die eine beliebige Eingabe in eine feste Ausgabe umwandelt, ohne dass Rückschlüsse auf den Eingabewert möglich sind. Passwörter werden üblicherweise als Hash gespeichert.
Angenommen, ein Angreifer verfügt über genügend Rechenleistung, um 1 Milliarde Passwörter pro Sekunde zu testen - was in etwa der Geschwindigkeit eines modernen Laptops entspricht. Die maximale Dauer eines Brute-Force-Angriffs auf das Passwort minka1404 berechnet sich dann wie folgt:
Dauer = Entropie / Rechenleistung
= 36^9H / 10^12H/s
= 101 559 Sekunden
= 1,175 Tage
Demnach würde es maximal 1,175 Tage dauern, das Passwort zu knacken.
Das klingt bereits jetzt nicht nach einer langen Zeit. Doch das ist noch nicht alles. Die Wahrscheinlichkeit, dass das Passwort herausgefunden wird, ist viel größer. Denn Angreifer verfügen in der Regel über wesentlich mehr Rechenleistung als ein einzelner Laptop. Sie können auf vernetzte Botnetze zurückgreifen, die die Rechenleistung tausender, teilweise gekaperter Computer bündeln und so die Geschwindigkeit eines Angriffs um ein Vielfaches erhöhen.
Mit diesem Passwort Tester können Sie berechnen, wie lange es dauern würde, ein Passwort mit einem Brute-Force-Angriff zu knacken.
Der Tester läuft lokal in Ihrem Browser und sendet keine Daten über das Internet. Sie können als auch Ihre eigenen Passwörter testen ohne Angst haben zu müssen, dass diese weitergegeben werden.
Wählen Sie die Geschwindigkeit des Angriffs:
2. Wörterbuch-Angriff
Wörterbuchangriffe sind im Prinzip eine spezielle Form von Brute-Force-Angriffen. Sie nutzen die Tatsache aus, dass wir uns Passwörter leichter merken können, wenn sie bestimmten Mustern folgen. So kombinieren unbedarfte Nutzer häufig ein Wort mit Zahlen oder Sonderzeichen. Auch Namen von Familienmitgliedern oder Haustieren werden sehr häufig verwendet. Diese Muster können mit Hilfe von Passwortlisten und Regelsätzen gefunden werden.
Dabei werden Wörter und bekannte Passwörter aus einer bestehenden Liste abgearbeitet. Diese Listen stehen dem Angreifer bereits zur Verfügung und enthalten ganze Wörterbücher, bereits geknackte Passwörter oder auch Regelwerke. Diese Regelwerke beinhalten dabei Muster, die häufig verwendet werden. Diese Muster werden dann auf Wörter aus dem Wörterbuch angewendet. So können z. B. alle Buchstaben in Großbuchstaben umgewandelt oder Zahlen an das Ende des Wortes angehängt werden. Gerade bei langen Passwörtern ist diese Angriffsmethode wesentlich effektiver als ein klassischer Brute-Force-Angriff, selbst wenn nicht alle möglichen Kombinationen abgedeckt werden.
Solche Passwortlisten sind kostenlos im Internet erhältlich. Die bekannteste Passwortliste heißt “rockyou.txt”. Sie enthält mehr als 14,3 Millionen Passwörter, die 2009 bei einem Angriff auf das soziale Netzwerk MySpace gestohlen wurden. Ein Blick auf diese Liste zeigt, dass viele Passwörter relativ ähnlichen Mustern folgen. Erschreckend ist, dass sich Nutzer tatsächlich auf diese zum Teil unsicheren Passwörter verlassen haben.
Hier ein Auszug aus rockyou.txt:
[...]
shonaaimee
[email protected]
shonaMAN181204
shona@123dc
shona9conor
[...]
maboihilton4life
maboigeorgie11
maboielm01
maboialex1
maboat
[...]
fannyfart69
fannyfart13
fannyfart1
[...]
Aus diesem Beispiel lassen sich eine Reihe von Mustern und damit Schemata ableiten, die offenbar häufig bei der Erstellung von Passwörtern verwendet werden.
- Namen am Anfang
- Kombinationen mit anderen Namen
- Kombinationen mit anderen Wörtern
- Zahlen am Ende
- Sonderzeichen oder Ziffern zur Trennung von Wörtern
Solche Muster werden mit den oben genannten Regelsätzen kombiniert und können die relativ kleinen Wörterbuchlisten um ein Vielfaches erweitern. Da die Passwörter der Benutzer weiterhin den gängigen Regeln folgen, ist ein solches Vorgehen erschreckend effektiv.
Zurück zum Beispiel-Passwort minka1404, das einem Brute-Force-Angriff tatsächlich getrotzt hätte. Dieses Passwort kann unter den gleichen Bedingungen mit Hilfe der rockyou.txt-Passwortliste innerhalb weniger Sekunden geknackt werden.
3. Social Engineering
Neben technischen Angriffen gibt es auch den menschlichen Faktor, um an Passwörter zu gelangen - Manipulation.
Social Engineering ist eine Masche, bei der der Mensch selbst die Schwachstelle ist. Die Opfer werden so manipuliert, dass sie von sich aus ihre Passwörter preisgeben. Durch geschickte Täuschung - wie Phishing-E-Mails oder betrügerische Telefonanrufe - werden die Opfer dazu gebracht, ihre persönlichen Daten und Passwörter gutgläubig preiszugeben.
Beim Phishing versenden Angreifer gefälschte Nachrichten, die von vertrauenswürdigen Quellen zu stammen scheinen. In diesen E-Mails, SMS oder WhatsApp-Nachrichten werden die Opfer unter einem dringenden Vorwand unter Druck gesetzt, vertrauliche Informationen preiszugeben. Dabei werden die Opfer häufig auf betrügerische Webseiten umgeleitet, auf denen ihre Daten abgefangen werden. Beliebt sind auch Telefonanrufe, bei denen sich die Täter als Verwandte ausgeben und so an persönliche Informationen gelangen.
Spamfilter und Blocklisten können helfen, aber der beste Schutz ist gesundes Misstrauen. Generell sollten Passwörter und andere sensible Daten niemals weitergegeben werden - an niemanden. Wichtig: Seriöse Institutionen fragen niemals nach Passwörtern! In solchen Fällen ist immer Vorsicht geboten.
4. Daten-Lecks
Selbst wenn wir alles richtig machen, sichere Passwörter verwenden und diese in einer geschützten Umgebung aufbewahren, sind wir immer noch angreifbar. Ein Datenleck bei einem Dienstleister reicht aus, um unsere Zugangsdaten öffentlich zu machen, und wahrscheinlich ist jeder von uns schon einmal Opfer eines Datenlecks geworden, ohne es zu wissen. Angreifer verfügen bereits über Datenbanken, die nur darauf warten, unsere persönlichen Informationen auszunutzen.
Wir sollten unsere Zugangsdaten daher regelmäßig ändern.
Sichere Passwörter
Das Rezept für sichere Passwörter lautet:
Passwortlänge
Verwenden Sie Passwörter, die mindestens 16 Zeichen lang sind. Je länger das Passwort, desto aufwendiger ist es für einen Angreifer, mögliche Kombinationen auszuprobieren.
Groß- und Kleinschreibung
Je mehr verschiedene Zeichen, desto besser. Verwenden Sie eine Mischung aus Groß- und Kleinbuchstaben. Dadurch wird das Passwort komplexer.
Zahlen
Fügen Sie Zahlen hinzu, um es potenziellen Angreifern noch schwerer zu machen. Eine Mischung aus Buchstaben und Zahlen erhöht die Anzahl der möglichen Kombinationen.
Sonderzeichen
Verwenden Sie Sonderzeichen wie
! @ # % & $usw. Damit wird die Anzahl der möglichen Kombinationen noch weiter erhöht.Keine Wörter
Vermeiden Sie Wörter aus Wörterbüchern oder Namen, da diese leicht zu erraten sind. Stattdessen ist es besser, zufällige Zeichenfolgen zu wählen.
Keine persönlichen Daten
Persönliche Daten vermeiden! Geburtsdaten, Telefonnummern oder Namen von Familienmitgliedern sind oft leicht herauszufinden oder zu erraten.
Keine Muster oder Bedeutung
Vermeiden Sie Passwörter mit offensichtlichen Mustern. Benachbarte Tasten wie
123456oderqwertzund Kombinationen wieabcdoderabcd1234sind leicht zu erraten. Grundsätzlich sollten sämtliche Muster vermieden werden.Keine Wiederverwendung:
Verwenden Sie für jeden Dienst ein eigenes Passwort! Wenn ein Angreifer eines Ihrer Passwörter knackt, kann er nicht auf andere Konten zugreifen.
Als Beispiel möchte ich hier einige Passwörter zeigen, die diesen Regeln entsprechen und wie ich sie verwenden würde:
- Dc6E9ZTYHe#sy8A%^^h\8*yYuNGox^Xr
- 56Vjx3vihfN@jQZ%nd#95m@uhQSigEc2
- LOA5sUd4YSpb%ufZ^LG9M0e2iFLRr@5E
Für alle, die sich jetzt fragen: “Wie soll ich mir so ein komplexes Passwort merken?”, gibt es eine einfache Lösung: Passwortmanager.
Beitrag: Passwortmanager
