plastickblog - passwords: safety first

passwords: safety first

hm. ich bin ja nun wirklich kein sicherheitsfuzzi der richtig ahnung von der materie hat. aber ich hab oft genug mit verschiedensten pc-usern und deren vorstellungen von "sicherheit" zu tun um mal was zum thema beitragen zu können. heute im volltext: passwörter.

passwörter sind in der regel dazu da um irgendwas zu sichern. nur: die absolut überragende mehrheit benutzt solche passwörter, die man auch gleich bleiben lassen könnte.

der bankautomat machts vor - eine vierstellige zahl reicht dort doch schließlich auch? ja sicher, dort fällts allerdings auch auf wenn jemand ne halbe stunde davorsteht und nummern eintippt. und das ist beim computer und online-diensten dann nichtmehr der fall. dort kann der geduldige angreifer bei sehr vielen fällen in aller ruhe ein paar millionen kombinationen ausprobieren ohne dabei gestört zu werden.

zeitgemäße multicore-prozessoren und nahezu unbegrenzte speichermöglichkeiten lassen simple brute-force attacken so schnell von der hand gehen dass es oft viel leichter ist einfach alle möglichen kombinationen auszuprobieren als nach anderen schwachstellen zu suchen. gegenwärtig sind sechsstellige passwörter aus zahlen und buchstaben in sekundenbruchteilen geknackt. die tools dafür liefern keine experten, keine top-kriminellen aus dem untergrund - die werkzeuge werden von kids gebastelt, von teenagern die zuviel freizeit haben und zuviel interesse an der materie. man muss längst nichtmehr viel von sicherheit verstehen, es gibt simple "ein-klick-genügt" - tools.

rainbowtables sind eine von vielen möglichkeiten das ratespiel drastisch zu beschleunigen, kombiniert mit ein paar wörterbüchern schätz ich mal dass gut und gerne 75% aller gewählten passwörter keinen wirklichen schutz bieten. eine weitere schwachstelle findet man nur all zu häufig bei online-diensten. dort werden passwörter nicht im klartext, dafür aber viel zu oft als hash-wert gespeichert. aus einem einfachen "hallo" wird mit dieser methode intern die zeichenkette "598d4c200461b81522a3328565c25f7c", das ist dann auch das einzige was man beim angriff auf den service erfahren kann. aber was auf den ersten blick sicher und kompliziert aussieht ist trügerisch: es gibt unzählige datenbanken, die mit dem hash-wert in windeseile das ursprüngliche passwort ausspucken.

gut, ein 20-stelliger zufallsgenerierter wert ist aber eben auch schwer zu merken. also - was tun? hier ein paar tips:


was man vermeiden sollte:

-> jede art von personenbezogenen daten ist schlecht. weder namen noch geburtsdaten noch hausnummern oder ähnliche dinge eignen sich als passwort. sicher kann man sich das leicht merken - aber eben auch genau so leicht rausbekommen.

-> jedes wort das in irgendeinem wörterbuch in irgendeiner sprache zu finden ist eignet sich nicht als passwort.

-> 1337-5p34k (lies: "leet-speak") sollte man auch vermeiden, da es auch dabei gängige regeln gibt aus denen sich prima wortlisten basteln lassen.

-> ein einzelnes, eigentlich sicheres passwort kann auch zur gefahr werden, wenn es bei mehreren verschiedenen diensten zum einsatz kommt.


anregungen:

-> tastenfolgen sind zwar nicht unbedingt die sicherste lösung, dafür aber leicht zu merken und trotzdem deutlich besser als der name des hundes. aus einer zeichenfolge wie zb. ijnokm wird man zunächst nicht schlau, ein blick auf die computertastatur kann hier aber helfen: die tasten i, j und n verlaufen schräg von oben nach unten, in der reihe daneben sind es o, k und m.

-> groß- und kleinbuchstaben, zahlen, sonderzeichen. ein wort das nur aus 10 kleinbuchstaben besteht ist leichter zu knacken als ein viel kürzerer, gemischter zeichenhaufen. sonderzeichen sind vielleicht mit vorsicht zu genießen, wenn man international zugriff auf seine daten haben möchte - da sollte man sich dann wohl auf die standardkonformen symbole zurückgreifen. um beim beispiel von vorhin zu bleiben machen wir aus ijnokm ganz einfach 9Ijn)0Okm. gefällt mir spontan sogar richtig gut - wir bleiben bei den "reihen" der computertastatur, beginnen aber schon im zahlenbereich. direkt nach der zahl folgt ein großbuchstabe und zwischen beide reihen setzen wir ein sonderzeichen.

-> die passwort-länge trägt entscheidend zur sicherheit bei, sofern das passwort nicht schon sehr unsicher gewählt wurde. ein minimum von 10 zeichen empfiehlt sich, wer richtig paranoia hat darf das gerne auf ein vielfaches ausweiten. ich mach aus den neun buchstaben von eben mal schnell zehn, dazu stell ich nur die sonderzeichen um: (9Ijn0Okm). einfach einklammern, das ganze. passt.

-> es erleichtert einem potentiellen cracker zwar die arbeit ein wenig, aber um sich solche sachen einfacher merken könnte man sich mit den aufgezähltten tips auch einen sicheren "passwort-grundstein" basteln und den dann für verschiedene anwendungen jeweils ein wenig abändern oder ergänzen, denkbar wären zum beispiel (9Ijn0Okm)-4Rfv oder (9Ijn0Okm)-3Edc. zum bisherigen konstrukt, das ich mal als basis verwende, sind ein weiteres sonderzeichen und eine weitere alphanumerische reihe auf der computertastatur hinzugekommen. das bedeutet zwar dass ein angreifer, sofern er eines der passwörter entschlüsselt hat, sehr leicht an die anderen kommen könnte, aber ein solches szenario ist dann doch auch eher unwarscheinlich und der kosten-nutzen faktor geht wohl für viele noch klar, zumal einem aussenstehenden auch nicht bekannt ist ob es eine gemeinsame basis gibt und welche das ist.

-> da mit zwei bis drei passwörtern aber niemandem geholfen ist, denn beim computer- und onlinealltag fallen sehr schnell unzählige login-abfragen an, hilft es auch nicht wirklich weiter sich unzählige tastenfolgen merken zu müssen. hier heißt es dann: kombinieren. um das beispiel fortzusetzen führe ich nochmal an was wir uns bisher merken mussten: unser basis-passwort besteht aus den reihen 9-i-j-n und 0-o-k-m und steht zwischen runden klammern. mit einem bindestrich folgt der zusatz, dafür merken wir uns die reihen 3-e-d-c und 4-r-f-v. für jede reihe gilt: nach der zahl folgt ein großbuchstabe. wer das im kopf behalten kann hat sehr viele kombinationsmöglichkeiten, bei gleichbleibender basis könnten die zusätze ja beispielsweise so aussehen: -34ER, -3E4R oder -ERdfcv. zu jedem beispiel empfiehlt sich ein blick auf die tastatur und/oder das mittippen - das sollte dann erklärung genug sein.

 

was ich hier empfehle ist keinesfalls die bestmögliche lösung. die sache hat ein schema, daran scheitert die sicherheit prinzipbedingt - schemata lassen sich ableiten und gezielt kopieren. dennoch ist es eine auf simplen regeln basierende struktur, die man sich problemlos innerhalb kürzester zeit merken kann, die aber trotzdem viel sicherer ist als trügerische namen, jahreszahlen oder anderer mist. vielleicht hätten wir nicht solche probleme mit identity-thefts und onlineabzockern wenn sich mehr leute darüber gedanken machen würden. allerdings ist auch das beste passwort nutzlos wenn der benutzer es bereitwillig per mail verschickt oder auf pishing-sites hereinfällt. passwörter sind nur ein teil der sicherheit - und, um das nochmal klarzustellen: 100% gibt es nicht. nie. nirgends.

trotzdem wärs schön wenn ich künftig mal auf "richtige" passwörter stoßen würde, nicht nur immer auf vornamen. und eine kombination wie beispielsweise (9Ijn0Okm)-3Ec4Rv, die stolze 17 alphanumerische (sonder-)zeichen vorweisen kann, sollte auch hohe ansprüche zufriedenstellen. und der potentielle bösewicht hat ganz schön was zu tun um das rauszukriegen.


abschließend noch kurz der grund für diesen artikel: zum einen ist es persönliches interesse, zum anderen hab ich mich eben am arbeitsplatz-pc eingeloggt, bei dem gilt: passwort = benutzername. und das funktioniert fast im gesamten betrieb so. aber falls man das grad nicht weiß: ein entsprechender notizzettel klebt entweder unter der tastatur oder am monitor. willkommen in schilda.