Bärchens KEy World

 

Baerchens Key World

 

Registrierung Kalender Mitgliederliste Teammitglieder Suche Häufig gestellte Fragen Zur Startseite

Baerchens Key World » Anmelde & Board Forum » Board-News » Aufbau eines (relativ) sicheren Passworts » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Aufbau eines (relativ) sicheren Passworts 4 Bewertungen - Durchschnitt: 10,004 Bewertungen - Durchschnitt: 10,004 Bewertungen - Durchschnitt: 10,004 Bewertungen - Durchschnitt: 10,004 Bewertungen - Durchschnitt: 10,00
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Opa Friedel Opa Friedel ist männlich
Board Dauer Rentner


images/avatars/avatar-700.gif


Dabei seit: 21.01.2003
Beiträge: 1.301
Mitgliedsnummer: 354






 
Herkunft: Daheim

Level: 47 [?]
Erfahrungspunkte: 7.053.278
Nächster Level: 7.172.237

118.959 Erfahrungspunkt(e) für den nächsten Levelanstieg

Aufbau eines (relativ) sicheren Passworts Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Wer kennt das nicht: man hat sich bei einem neuen Service angemeldet, oder auf dem Server steht der monatliche Passwort-Wechsel an, und es fällt und fällt einem kein Passwort ein, das den Anforderungen des Sicherheits-Konzeptes genügt: entweder, es ist zu kurz, oder es ist nicht kryptisch genug, oder es ist zu kryptisch, und man kann es sich nicht merken. Schließlich, weil man keine Lust mehr hat, sucht man sich ein beliebiges, leider meist unsicheres Passwort aus.

Mit diesem kleinen Artikel möchte ich sowohl etwas mehr Sicherheitsbewusstsein wecken, als auch die Wahl eines sicheren Passworts durch das Verständnis, wie so ein Passwort aufgebaut ist, erleichtern. Ich will jedoch gleich vorneweg sagen: die Vergabe von sicheren Passwörtern erfordert viel Disziplin vom User selbst! Dieser Artikel kann und möchte keine Super-Methode zur Erstellung von sicheren Passwörtern vorstellen, denn wirklich sichere Passwörter gibt es nicht.

 

Warum Passwörter unsicher sein können

Warum ein Passwort unsicher (weak) sein kann, kann mehrere Gründe haben. Der einfachste z. B. wäre, dass es zu kurz ist: ein 2-Zeichen-Passwort hat (wenn man als valide Zeichen a-z, A-Z und 0-9 zugrunde legt) 622 (= 3844) mögliche Kombinationen. Sicher, für einen Menschen ist das sehr viel auszuprobieren, aber ein PC braucht dazu nur wenige Sekunden.

Ein weiterer Grund ist der Aufbau eines Passworts. So ist z.B. das Passwort "111" kein sehr sinniges Passwort. Einerseits ist es sehr leicht herauszufinden (auf die Tastatur schielen) und außerdem ist der daraus generierte Hash nicht sehr komplex.

Auch die Passwort-Analyse bietet einen Ansatz. Die Passwort-Analyse besteht im Grunde aus der Einschätzung der menschlichen Psyche und der Annahme, der Mensch sei ein Gewohnheitstier. Z.B. wird sehr gern die eigene Telefon-Nummer oder die Konto-Nummer als Passwort benutzt. Aber es gibt auch sehr beliebte Wörter, die Top drei aus der Liste dürften wohl "Gott", "Sex" und "Liebe" sein. Ebenfalls sehr beliebt sind Teile der E-Mail-Adresse und/oder Teile des Namens, der User-ID, etc. Dies sollten Sie alles vermeiden!

 

Warum ein sicheres Passwort wichtig ist

Viele Leute denken sich nichts bei der Vergabe von Passwörtern. Doch dabei ist dieser Vorgang enorm wichtig. Leider gibt es in unserer Gesellschaft Individuen, (Achtung, eigene Ansicht!) die nur auf ihr eigenes Wohl aus sind und sich dieses zum Nachteil anderer rücksichtslos beschaffen.

Das schönste Beispiel sind hier wohl die zahlreichen, aus dem Boden gestampften Webshops. Hier wird oft gedankenlos ein General-Passwort vergeben, das häufig auch noch sehr simpel aufgebaut ist. Dies ermöglicht es einem potentiellem Angreifer relativ einfach, Waren auf Ihren Namen zu bestellen — meist lassen sich solche Delikte zwar nachweisen, aber den Ärger haben Sie trotzdem damit.

Dieses Beispiel lässt sich auf viele andere Situationen übertragen, und es ist leider die Regel. Viel Computer-Kriminalität könnte vermieden werden, wenn mehr Endanwender ihren "inneren Schweinehund" überwinden und vernünftige Passwörter vergeben würden. Doch im gleichen Maß sind die Shop-Betreiber, Sicherheits-Beauftragten und andere, die für Passwortakzeptanz oder Passwortvorschläge zuständig sind, Schuld: ich habe bisher noch keinen Webshop mit Plausiblitätsprüfung des Passwortes gesehen.

Sicher werden jetzt viele sagen "Wer will schon ausgerechnet mir Böses?", oder "Wer will schon ausgerechnet meine E-Mails lesen?". Aber darum geht es ja gar nicht. Dem Angreifer ist es (meist) egal, wessen Account-Passwort er bekommt. Er interessiert sich auch nicht unbedingt für Ihre Mails. Ihn interessiert nur, wie er in das System hinein kommt. Denn hat er erstmal Zugriff, ist im Grunde der Krieg verloren.

Zweifellos ist es nervig, sich z.B. alle n Tage ein neues Passwort ausdenken zu müssen, nur weil ein Sysadmin oder Serverbeteiber das erzwingt. Aber gerade im Firmen-Umfeld hat sich erwiesen: ein Sicherheitskonzept ist immer nur so stark wie sein schwächstes Glied. Will heißen, wenn Sie ein sehr einfaches Passwort (oder vielleicht auch gar kein Passwort) verwenden, machen Sie es dem potentiellen Angreifer sehr leicht, in das Firmen-Netz einzudringen. Und das ist das eigentliche Problem: es geht in solch großen Netzwerken meist gar nicht darum, ob Ihre Privatsphäre hinreichend geschützt ist, sondern schlicht und ergreifend darum, dass das Firmen-Netzwerk geschützt ist.

 

Aufbau eines (relativ) sicheren Passworts

Ein sicheres Passwort besteht sinnvollerweise aus Groß- und Kleinbuchstaben sowie aus Ziffern. Es enthält keine (wahrnehmbare) Systematik und ist wenigstens (das ist überigens nur meine unerhebliche Meinung) 8 Zeichen lang. Es sollte kein Wort einer bekannten Sprache sein (z. B. Englisch, Deutsch oder Französisch). Außerdem sollte man für zwei Accounts nie dasselbe Passwort benutzen!

Sicherheits-Freaks neigen dazu, sogenannte "Tastatur-Hacks" zum Erzeugen von Passwörtern zu verwenden. Dabei handelt es sich um ein einmaliges, sinnloses und blindes Zehnfinger-Einhacken auf die Tastatur - und was dabei herauskommt, wird dann - ähnlich wie bei der Ziehung der Lottozahlen - als unumgängliches Gesetz und als das Passwort akzeptiert. Solche Passwörter sind natürlich extrem "sicher". Doch angesichts der Tatsache, dass sie beim Auswendiglernen und auch bei der Blind-oder Sterncheneingabe oftmals große Schwierigkeiten bereiten, sind sie nur scheinbar sicher. Denn wer z.B. in Anwesenheit anderer Personen ein Passwort eingeben muss, sollte das unauffällig und schnell tun können. Wer in einer solchen Situation auf das "Adlersystem" bei der Eingabe angewiesen ist, erleichtert den Anwesenden nur das unauffällige Mitverfolgen der eingegebenen Zeichenfolge. Oder noch schlimmer - er kann sich das supersichere Passwort gar nicht merken, notiert es sich irgendwo in Outlook oder dergleichen und muss es jedesmal über die Zwischenablage in die Eingabeaufforderung für das Passwort kopieren.

Gute Passwörter sollten also einen Mittelweg zwischen nicht erratbaren Zeichenfolgen und merkbaren Zeichenfolgen darstellen.

 

Wie lang sollte ein Passwort sein

Die Frage ist so leicht nicht zu beantworten. Das hängt vom Sicherheitsbereich ab. Generell kann man sagen, eine Mindestlänge von 8 Zeichen ist sinnvoll: 8 Zeichen bedeuten 191707312997281 Kombinationen bei der Zeichenklasse a-zA-Z1-9 (= 61 Zeichen). Das würde bei einer Million Tastenanschläge pro Sekunde eine Maximalzeit von ca. 53252 Stunden (191707312,997281 Sekunden) bedeuten (fast 6 Jahre). Das ist schon mal eine ganz ordentliche Zeit :-)

Bei höheren Sicherheitsbereichen (etwa Fimen-Netze oder dergleichen) würde ich auf 10 Zeichen Mindestlänge erhöhen (= 713342911662882601 Kombinationen, = ca. 198150808 Stunden oder ca. 22700 Jahre). Zur Einschätzung mal eine kleine Tabelle:

Mindestlänge maximal benötigte Zeit (bei angenommener 1 Million Tastaturanschlägen pro Sekunde)
3 Zeichen ca. 0,2 Sekunden
5 Zeichen ca. 14 Minuten
8 Zeichen ca. 53252 Stunden
10 Zeichen ca. 1179469 Wochen
12 Zeichen ca. 84168853 Jahre
15 Zeichen ca. 19104730610573 Jahre

Doch nun kommt die Ernüchterung. Alle diese Angaben sind sogenannte Maximalzeiten! Maximalzeit bedeutet: wenn jemand in der angegebenen Geschwindigkeit versucht, das Passwort zu knacken, und erst die allerletzte eingegebene Zeichenkombination die richtige ist, dann dauert es so lange wie angegeben. Aber theoretisch könnte ja auch schon die allererste eingegebene Zeichenkombination richtig sein. Dann hat es nur eine hunderttausendstel Sekunde gedauert, um das Passwort zu knacken - trotz 15 Zeichen. Es kann also durchaus sein, dass ein Angreifer ein Passwort innerhalb weniger Sekunden herausgefunden hat. Zufall eben. Deshalb sollte man sich bei 8 Zeichen durchaus nicht in Sicherheit wägen. Außerdem kommt es auch auf die Rechenleistung an: hier wurde mit einer Millionen Tanstenanschlägen pro Sekunde gerechnet. Andere, bessere, später gebaute Rechner schaffen vielleicht das Millionenfache.

Die Anzahl der Kombinationen berechnet sich aus Zeichen-AnzahlLänge: pro Zeichen kann das Passwort aus Zeichen-Anzahl Zeichen bestehen. Daraus ergibt sich bei einem Passwort von 3 Zeichen und einer Zeichenklasse von 62 Zeichen: 62 * 62 * 62 Kombinationen. Um die benötigte Zeit zu berechnen, dividieren Sie einfach durch die Anzahl der Tastenanschläge pro Sekunde — schon haben Sie die maximal benötigte Zeit in Sekunden.

Mit etwas Pessimismus könnte man nun sagen "ist doch schoenegal und alles wie beim Lotto". Doch zwischen der Maximalzeit und der theoretischen Chance, ein beliebiges Passwort mit nur wenigen Versuchen zu knacken, liegt der für potentielle Angreifer ziemlich ungemütliche "mittlere Bereich", der in der erdrückenden Mehrheit aller Fälle relevant ist - also der Bereich zwischen z.B. mehreren Tagen und mehreren Jahren. Und damit muss ein Angreifer zwangsläufig kalkulieren, wenn seine vielleicht anfänglichen Versuche, "nicht sichere" Passwörter zu probieren, fehlgeschlagen sind.

Natürlich sollte man auch noch hinzufügen, dass viele Zugangssysteme einen einloggenden Gast nach soundsoviel Fehlversuchen aus dem System werfen. Dann muss sich dieser, wenn er es wieder versuchen will, mit einer neuen Identität, im Internet z.B. manchmal auch mit einer anderen IP-Adresse anmelden. Solche Dinge kann ein Angreifer allerdings bis zu einem gewissen Grad automatisieren.

 

Tipps zur Wahl eines (relativ) sicheren Passworts

Die einfachste Methode, ein (relativ) sicheres Passwort zu erstellen, ist wohl die Generierung durch eine Maschine. Das folgende, sehr einfache Perl-Script (CGI) z. B. kann durchaus seine Wirkung tun:

Beispielscript zur Passwortgenerierung

#!/usr/bin/perl -w

use CGI qw(header);

my $length = $ARGV[0] || 8;
my @chars  = (0..9, 'A'..'Z', 'a'..'z');

print header(-type => 'text/html');

print <<HTML;
<html>
 <head>
  <title>Passwort-Generator</title>
 </head>
 <body bgcolor="#EEEEEE">
  <big><b>
HTML

print $chars[rand $#chars] while $length--;

print <<HTML;
  </b></big>
 </body>
</html>

HTML

# eof

Das Script gibt ein zufällig generiertes Passwort aus, das aus der Zeichenmenge a-zA-Z0-9 besteht. Die Zeichenfolge kann jedoch ziemlich beliebig ausfallen. Solche Passwörter haben immer noch das Problem, dass sie schwer zu merken sind. Es gibt eine (meiner Meinung nach) noch eine einfachere Methode.

Es wurde bereits gesagt, dass ein Passwort kein erkennbares System besitzen sollte. Diese Aussage kann man allerdings relativieren: es sollte kein durch eine Maschine erkennbares Muster besitzen. Wie Ihre Assoziationen zu einem Passwort sind, ist im Grunde völlig egal. Das gibt einem unverhoffte Freiheiten: wenn Sie jetzt z. B. ein Passwort zu einem Shell-Account oder Webshop brauchen, sehen Sie sich in der Umgebung um. Nehmen Sie den ersten Satz, der Ihnen zu einem Objekt in den Sinn kommt, nehmen Sie und packen den ersten Buchstaben jedes Wortes in das Passwort. Bei dem Satz "Ich telefoniere nicht besonders gern oder besonders häufig" wäre das z. B. dann die Zeichenfolge "itnbgnbh". Das sieht doch schon recht gut aus. Jetzt schreiben sie noch jeden n-ten Buchstaben groß: "iTNbgNBh". Nun schauen Sie noch, welche Buchstaben welchen Ziffern ähnlich sehen und ersetzen sie dadurch: "17NbgN3h". Und schon haben sie ein wunderschönes Passwort, das man sich mit Hilfe dieser sogenannten Eselsbrücke leicht merken kann.

Eine weitere Möglichkeit wäre auch, den Duden aufzuschlagen und zwei Wörter herauszusuchen (zwei x-beliebige) und die durch ein Satzzeichen getrennt miteinander zu verketten: "laufen:hunger". Auch hier sollte wieder eine Abstraktion durchgeführt werden (zuerst die Groß- und Kleinschreibung, dann die Ziffern): von "laufen:hunger" zu "LAufEN:hUNgeR" und schließlich zu "L4uf3N:hUNge4".

Letztenendes ist es auch relativ egal, wie Sie sich Ihr Passwort erstellen und merken. Wichtig ist nur, dass Sie die Regeln beachten, das Passwort nirgendwo aufschreiben und das, was am Ende herauskommt, kryptisch genug ist.

 

Alternativen

Die beste Alternative ist natürlich ein Passwort, das nur einmal gültig ist. Die meisten Online-Banking-Softwares arbeiten so: um eine Überweisung zu tätigen, muss man eine nur ein einziges mal gültige TAN eingeben. Andere Online-Banking-Systeme (z. B. das der CSFS, Credit Suisse Financal Services) benutzen zusätzlich Einweg-Passwörter. Dabei wird eine Key-Karte vergeben, in der ein Micro-Chip anhand der Zeit und einigen sehr komplexen Algorithmen ein Passwort erstellt, dass etwa 1 Minute lang gültig ist. Danach wird ein neues generiert. Der Hauptrechner im Rechenzentrum kann nachprüfen, ob der Code richtig ist — er verfügt auch über die Zeit und den Algorithmus. Diese ID muss zusätzlich zur User-ID und zum Passwort eingegeben werden.

Solche Passwörter zu knacken ist fast unmöglich. Sie sind meist 15-Stellig und besitzen Zeichen und Ziffern gleichermaßen — in Groß- und Kleinschreibung. Das Problem bei dieser Methode ist ein ganz anderes: die zeitliche Abstimmung mit dem Server :-) Wenn man z. B. eine langsame Internet-Anbindung hat oder in einem ungünstigen Augenblick versucht, sich einzuloggen, kann es durchaus passieren, dass das Passwort schon wieder ungültig ist.

 


Unsichere Passwörter können sehr schnell von sogenannten 'Crackern' durch einfaches ausprobieren gefunden werden. Diesen Leuten geht es meistens nicht darum Daten zu klauen, zu verändern oder fremde Emails zu lesen, sondern sie sind auf der Suche nach einem Account über den sie ihre kriminellen Aktivitäten ungestört ausüben können.


Dabei kann es sich um Angriffe gegen einzelne Rechner, um geplante „Denial of Service“ Attacken gegen ganze Netzwerke (als Beispiele aus der jüngeren Vergangenheit sind Angriffe gegen Yahoo, Amazon und diverse IRC Server zu erwähnen) oder um den Handel mit Kinderpornografie o.ä. handeln. In jedem dieser Fälle fällt der Verdacht zuerst auf den Inhaber des gecrackten Accounts. Dies ist in der Regel mit erheblichen Unannehmlichkeiten verbunden (Hausdurchsuchungen, Verhöre durch die Polizei/Staatsanwaltschaft usw.).


Sie können das Risiko, Opfer einer solchen 'Verwechslung' zu werden erheblich senken, indem sie ihre Passwörter regelmäßig ändern und dabei auch auf die Sicherheit der Passwörter achten.


Bevor wir ihnen zeigen wollen wie sichere Passwörter aussehen, wollen wir ihnen zeigen, wie Passwörter auf gar keinen Fall aussehen sollten. Dazu bemühen wir unseren Beispielbenutzer Stefan Mustermann mit der Benutzerkennung su2476.


Einfach wären natürlich Passwörter wie „Stefan“, „StefanM“, „Ssu2476M“ oder ähnliche Kombinationen aus Name und Benutzerkennung. Diese sind aber auch extrem unsicher, da beim Cracken von Passwörtern zuerst mit den bekannten Daten des Benutzers gearbeitet wird. Auch Passwörter wie „StfnMstrmnn“ (Vor- und Nachname ohne Vokale), „Stefan28“ (er ist 28 Jahre alt), „19sm72“ (geboren im Jahr 1972) oder „nafetS“ (Vorname umgedreht) werden ebenso schnell gefunden. Daten mit persönlichem Bezug eignen sich also nicht als Passwörter.


Die nächste einfache Alternative ist normale Wörter zu benutzen. Aber auch dies ist extrem unsicher, denn der Cracker wird, wenn er mit benutzerbezogenen Daten keinen Erfolg hatte, sein Glück mit Wörterbüchern versuchen. Jedes Wort dieses Wörterbuchs wird wiederum in etlichen Kombinationen und Variationen als Passwort getestet. So wird z.B. aus „Internet“ auch „tenretnI“ oder „1n7ern37“ oder „ntrt22“ oder oder oder. Wörterbücher enthalten nicht nur alle Wörter einer bestimmten Sprache. Sie sind meist mehrsprachig und enthalten auch alle gängigen Vor- und Nachnamen. Zudem gibt es Wörterbücher zu speziellen Themengebieten wie Computer, Literatur, Internet, Medizin, Fantasy oder Science-Fiction. Dadurch sind Wörter wie „Appendix“, „Zaphod“, „ncc1701“ oder „Bond007“ als Passwort ungeeignet.


Versuchen wir es also mit unsinnigen Kombinationen aus Buchstaben und Zahlen. Viele Benutzer lieben es einfach, daher sind Tastaturkombinationen wie „abc123“, „1234qwer“, „1q2w3e4r“, „abc:123“ oder „0987poiu“ längst bekannt und stellen somit keinerlei Sicherheit mehr dar.


Außerdem sollten sie unter keinen Umständen Netz- und Unixpasswort identisch wählen, da möglicherweise gespeicherte Passwörter unter Windows nur durch einen schwachen Algorithmus verschlüsselt werden und je nach Version sehr leicht zu knacken sind.

Es ist trotzdem sehr einfach, sich sichere und gut merkbare Passwörter herzuleiten. Nehmen sie einen Satz, den sie sich persönlich gut merken können. Von jedem Wort dieses Satzes nehmen sie nun den ersten Buchstaben (Groß- und Kleinschreibung beibehalten) und auch eventuell vorkommende Satzzeichen, und reihen sie diese aneinander.

So wird zum Beispiel aus dem Satz „Ein sicheres Passwort besteht aus mindestens 8 Zeichen.“ das Passwort „EsPbam8Z.“. So einfach ist das.

Natürlich kann man durch bloßes probieren bei genügend langer Rechenzeit auch dieses Passwort finden, allerdings normalerweise nicht innerhalb von 100 Tagen - und dann sollte ja schon ein neues Passwort gelten.


Fassen wir einmal kurz zusammen:

*

keine benutzerbezogenen Daten in Passwörtern verwenden.
*

keine bekannten Wörter verwenden - egal aus welchem Bereich sie stammen mögen.
*

keine 'einfachen' Tastaturkombinationen verwenden (z.B. nebeneinander liegende Tasten)
*

Unix- und Netzpasswort nicht identisch wählen.
*

Am besten einen gut merkbaren Satz wählen, und von diesem die Anfangsbuchstaben der einzelnen Wörter zu einem Passwort zusammenfügen.
 





Für diesen Thread beim Autor bedanken

Bisher haben sich 5 Benutzer bedankt (Bärchen, cleverle, CooLbOy, buck, grimm5).


__________________
:saarland_1:


20.02.2007 18:20 Opa Friedel ist offline E-Mail an Opa Friedel senden Beiträge von Opa Friedel suchen Nehmen Sie Opa Friedel in Ihre Freundesliste auf
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
Baerchens Key World » Anmelde & Board Forum » Board-News » Aufbau eines (relativ) sicheren Passworts


Forensoftware: Burning Board 2.3.6pl2, entwickelt von WoltLab GmbH