security-265130_1280

Passwortsicherheit – meine persönlichen Erlebnisse bis heute

Passwortsicherheit, das ist in der heutigen Welt so eine Sache. Für viele Dinge im Internet wird ein sicheres Passwort benötigt – sei es für soziale Netzwerke wie Facebook, Google+ oder Twitter, Foren, Online-Banking, Online-Shops, Game-Clients wie Steam oder Origin oder allgemein zusammengefasst Webseiten, auf denen persönliche Accounts eingerichtet werden können.

Passwörter sollen unsere persönlichen Daten wie Name, Anschrift oder Bankkonto/Kreditkartendaten vor unbefugtem Zugriff schützen. Und dass unbefugter Zugriff leider nicht nur theoretisch möglich ist, haben die vergangenen Hackerangriffe in den letzten Jahren sehr anschaulich bewiesen.

Der gläserne Bürger

Wir werden in Zukunft immer mehr persönliche Daten im Internet preis geben; eine Entwicklung, die nicht zuletzt der zunehmenden Digitalisierung unseres Lebens geschuldet ist. Täglich werden Millionen von Beiträgen aus unserem Leben im Internet veröffentlicht, insbesondere in sozialen Netzwerken sind wir so gläsern geworden wie noch nie zuvor. Facebook & Co. wissen eine Menge über uns, weit mehr als wir glauben. Manchmal wissen sie sogar mehr über uns, als wir selbst.

Natürlich gibt es Datenschutzeinstellungen, die wir vornehmen können – wer darf eigentlich meine Beiträge in sozialen Netzwerken sehen? Wer darf wissen, wann und wo ich zur Welt kam, welche Schulen ich besucht habe und wer meine Arbeitgeber waren oder sind? Alles eigentlich kein Ding, wenn man sich ein bisschen damit auskennt und weiß, welche Knöpfe man betätigen muss. Nichtsdestotrotz lässt sich rein durch diese Einstellungen nicht verhindern, dass Unbefugte Zugriff auf diese Daten erhalten. Schnell ist ein Server gehackt und Teile der Datenbank herunter geladen, einmal in einer Phishingmail auf einen Link geklickt und die Bankdaten eingegeben, schon hat der Angreifer meine Kontoinformationen.

„12345“ oder „password“

Doch Hackern reicht häufig schon der Loginname zu einem Account, um ihn sich anzueignen und alle Informationen einzusehen, die eigentlich nur für bestimmte Augen gedacht sind. Grund dafür sind unsichere Passwörter. Manch einer mag sich schlau fühlen und der Meinung sein, kein Angreifer wäre so dumm auf die Idee zu kommen, dass das Passwort einfach „12345“ lautet – weit gefehlt: Das und ähnliche Passwörter sind die ersten, die ein Hacker ausprobiert. Und wenn die nicht funktionieren, fängt man halt an das Wörterbuch durchzugehen. Irgendein Wort oder irgendeine Kombination von Wörtern wird es schon sein.

Leider gibt es heute immer noch sehr viele Menschen, die solche unsicheren Passwörter verwenden, um ihre Daten zu schützen. Doch auch Menschen, die sich Gedanken darüber machen und komplexe Passwörter erstellen, haben es schwer. Ich zum Beispiel verwende für meine Passwörter, die für jede Seite unterschiedlich sind, einen sogenannten „Pepper“, also eine geheime – für mich leicht zu merkende – Zeichenfolge, die immer gleich ist und für gewöhnlich auf Servern verwendet wird. Daran hänge ich dann immer eine andere Zeichenfolge an, die ich mir mithilfe von bestimmten Eselsbrücken für die entsprechende Seite merken kann. Auf diese Weise muss ich mir für den entsprechenden Account immer nur die Zeichenfolge merken, die ich angehängt habe – der „Pepper“ bleibt ja stets gleich. Und selbst wenn ein Angreifer meinen „Pepper“ herausfinden sollte, bleibt es schwierig, den Rest des Passwortes zu ermitteln. Tests mit einer Passwortkombination, die mit einem „Pepper“ und einer zufälligen Zeichenfolge erstellt wurde, ergaben, dass es theoretisch mehr als eine Million Jahre dauern würde das Passwort zu knacken (das ist natürlich nur die Theorie, in der Praxis ist es u.a. abhängig von der Rechenleistung).

„Dein Passwort darf max. 16 Zeichen lang sein“

Was in der Theorie richtig gut funktioniert, wird aber in der Praxis oftmals von den Webseitenbetreibern selbst zunichte gemacht. Heute ist es eigentlich schon selbstverständlich, dass Betreiber bei der Accounterstellung auf die Nutzung von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen hinweisen, um das Passwort sicher zu gestalten. Viele Betreiber setzen sogar voraus, dass mindestens ein Groß- und Kleinbuchstabe, eine Zahl und ein Sonderzeichen im Passwort verwendet wird. Alles schön und gut, doch nicht selten wird die Anzahl an zu verwendenden Zeichen begrenzt. Gerade bei mir ist das schon ein großes Problem – denn allein mein „Pepper“ besteht bereits aus 15 Zeichen, was für das eigentliche Passwort nur noch ein einziges Zeichen zulässt. Ich ärgere mich immer wieder darüber, dass Betreiber davon schwafeln, man solle bitte ein sicheres Passwort verwenden, gleichzeitig aber die Eingabe von – in meinen Augen – sicheren Passwörtern durch das Begrenzen der Zeichenanzahl verhindern.

Ich kann daher nur an solche Betreiber appellieren, die Zeichenbegrenzung zumindest nach oben zu schrauben. Mir ist natürlich bewusst, dass Passwörter nicht unendlich lang sein können – immerhin müssen sie in der Datenbank gespeichert werden und nicht selten verwenden Webseiten selbst einen sog. „Salt“ (eine sich ständig ändernde Zeichenkette. Weitere Erläuterung dazu auf Wikipedia: „Salt (Kryptologie)“) zum Chiffrieren der Benutzerpasswörter, die ebenfalls eine bestimmte Länge haben. Andererseits haben chiffrierte Passwörter je nach Verschlüsselungsmethode die gleiche Bit-Länge (eine MD5-Verschlüsselung erzeugt beispielsweise immer einen 128 Bit langen Hashwert, der i.d.R. als 32-stellige Hexadezimalzahl dargestellt wird), weshalb die eigentliche Länge des Passwortes egal ist. Eine 26 Zeichen lange ASCII-Eingabe ergibt beim Message-Digest Algorithm 5 (MD5) einen 32-stelligen Hexadezimalwert – genau so wie eine drei Zeichen lange Eingabe oder gar eine leere Eingabe (also kein einziges Zeichen):

"Message-Digest Algorithm 5" (26 Zeichen) ergibt "8e60b07937813f7f2a6bd7ab6cef1050" (32 Zeichen)
"Hi!" (3 Zeichen) ergibt "5360706c803a759e3a9f2ca54a651950" (32 Zeichen)
"" (0 Zeichen) ergibt "d41d8cd98f00b204e9800998ecf8427e" (32 Zeichen)

Meine Tipps zur Passwortsicherheit

Persönlich kann ich jedem eigentlich nur die Tipps weitergeben, die auch immer von vielen genannt werden:

  • Verwendet nach Möglichkeit keine Wörter, die im Wörterbuch stehen
  • Generiert zufällige Zeichenketten á la dk60!4vW?e37§
  • Achtet auf Groß- und Kleinschreibung – baut hier und da einen Großbuchstaben ein
  • Nutzt Sonderzeichen, #!@?!&$! nochmal ;)
  • Zahlen zwischendrin können auch nicht schaden
  • Euer Passwort sollte eine gewisse Mindestlänge aufweisen – je länger, desto schwerer ist es zu knacken

Wenn ihr Probleme damit habt, euch solche Passwörter zu merken, macht es entweder wie ich und nutzt eine feste Zeichenfolge, die immer gleich ist und um eine andere gut zu merkende Zeichenfolge erweitert wird (also quasi eine Kombination aus einem „Pepper“ und einem „Salt“). Oder verwendet Passwort-Manager wie KeePass, die euch zufällige Passwörter erstellen und diese auch in einer Datenbank speichern können.

Schützt eure Daten – verwendet komplexe Passwörter!

(Beitragsbild via Pixabay. Credits: pixelcreatures)

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s