Erstellen vonsicherenKennwörtern
Wie jeder Andere bin auch ich immer wieder dazu angehalten, mein Kennwort zu wechseln:
Bitte geben Sie ein sicheres Passwort ein:
lewwerworschtEntschuldigung, Ihr Passwort ist zu kurz:
lewwerworschtweck Entschuldigung, Ihr Passwort muss mindestens eine Zahl enthalten:
1 lewwerworschtweck Entschuldigung, Ihr Passwort darf keine Leerzeichen enthalten:
50dreckslewwerworschtweck Entschuldigung, Ihr Passwort muss mindestens einen Umlaut enthalten:
50dreckslewwerwärschtweckverdammtEntschuldigung, Ihr Passwort muss mindestens einen Großbuchstaben enthalten:
50DRECKSlewwerwärschtweckVERDAMMTEntschuldigung, Ihr Passwort muss mindestens ein Sonderzeichen enthalten:
50DRECKSlewwerwärschtweckVERDAMMT!!!!!Entschuldigung, Ihr Passwort darf nur Großbuchstaben enthalten, die nicht aufeinander folgend sind:
DunnerWedderNochÄmolVerdammterScheissdreckJetztKanschtMichGleichKreizweisSunschdwoWasIssnDesFärÄnScheissDo50DreckslewwerwärschtweckVerdammt!!!!!Entschuldigung, dieses Passwort wird bereits verwendet. Bitte wählen Sie ein anderes.
(Verfasser ist mir leider unbekannt)
Es ist also gar nicht so leicht, ein mutmaßlich sicheres Kennwort zu finden. Viele Administratoren in Firmennetzwerken verlassen sich hier auf die Kennwortkomplexität, die von den Herstellern der Betriebssysteme angeboten werden und setzen dazu auf häufigen Wechsel, dazu kommt noch, dass verhindert wird, dass man zwei bis drei Kennwörter im Wechseln verwendet. Dies ist jedoch schon länger nicht mehr die Best Practise (also die empfohlene Vorgehensweise). Vielmehr ist die Empfehlung, Kennwörter länger gültig zu lassen, dafür jedoch Komplexer zu gestalten.
(Verfasser ist mir leider unbekannt)
Es ist also gar nicht so leicht, ein mutmaßlich sicheres Kennwort zu finden. Viele Administratoren in Firmennetzwerken verlassen sich hier auf die Kennwortkomplexität, die von den Herstellern der Betriebssysteme angeboten werden und setzen dazu auf häufigen Wechsel, dazu kommt noch, dass verhindert wird, dass man zwei bis drei Kennwörter im Wechseln verwendet. Dies ist jedoch schon länger nicht mehr die Best Practise (also die empfohlene Vorgehensweise). Vielmehr ist die Empfehlung, Kennwörter länger gültig zu lassen, dafür jedoch Komplexer zu gestalten.
Anmeldekennwörter
So, aber was ist denn nun tatsächlich ein sicheres Kennwort? - Nun, um diese Frage zu beantworten, muss man sich zunächst mit den Methoden befassen, die ein potentieller Angreifer nutzt, wenn er versucht, in ein System einzudringen. Die häufigsten Methoden will ich hier einmal schildern.
Auch wenn es bei der ein oder anderen Methode danach aussieht, daß die Ausnuzung sehr lange dauern kann, dem ist nicht so. Mithilfe der heutigen Technik können Methoden wie Brute Force oder Wörterbuchattacken mehrere tausend Versuche pro Sekunde durchführen.
Auch wenn es bei der ein oder anderen Methode danach aussieht, daß die Ausnuzung sehr lange dauern kann, dem ist nicht so. Mithilfe der heutigen Technik können Methoden wie Brute Force oder Wörterbuchattacken mehrere tausend Versuche pro Sekunde durchführen.
Folgende Methoden werden unter Anderem angewandt, um die Kennwörter herauszubekommen:
- Wörterbuchattacke
Es wird versucht, in einem Wörterbuch vorhandene einzelne Worte als Kennwort zu senden. Hierbei wurden inzwischen schon spezielle Wörterbücher entwickelt, welche die am häufigsten benutzten Kennwörter enthalten. Bei den Wörtern werden verschiedene (incl. falscher) Schreibweisen versucht. Als Gegenmaßnahme verwenden Firmen häufig das Mittel der Kontensperrung nach n Fehlversuchen. Im privaten Bereich sieht man diese Schutzmethode jedoch sehr selten. Manche Diensteanbieter im Internet setzen eine ähnliche Technik ein. Statt das Konto jedoch vollständig zu sperren, wird es für x Minuten gesperrt und wieder freigegeben, so dass die Attacke erheblich ausgebremst wird. - Brute Force
Es werden zufällige Zeichenkombinationen als Kennwort versucht, meist nach dem Muster "Starte mit 'a' und Ende mit 'ZZZZZZZZ'". Je länger und komplexer (Groß-/Kleinschreibung, Sonderzeichen, Zahlen) das kennwort gewählt wird, desto länger dauert es, Dieses zu ermitteln. Auch hier greift der Schutz, nach n Versuchen das Konto zu sperren, wie auch die Methodik, die Attacken zu verlangsamen. - Social Engineering
Dies ist wohl die aufwendigste Methode der Kennwortbeschaffung. Hier versucht ein Angreifer möglichst viele Informationen über sein Opfer zu sammeln und damit Hinweise auf das zu knackende Kennwort zu erhalten. Beliebt sind hier z.B. Geburts- und Jahrestage (die gerne als PINs genutzt werden) und Namen von (Ex-) Partnern, sowie Haustieren, Fahrzeugmodelle etc. Dadurch, daß diese Methode tatsächlich sehr viel Aufwand bedeutet, wird sie i.d.R. auch nur bei entsprechend lohnenden Zielen verwendet. - Phishing
Eine der beliebtesten Methoden, an Kennwörter zu kommen. Hierbei werden Massen-E-Mails versandt, die den E-Mails von bestimmten Internetdiensten (z.B. Homebanking oder E-Mail-Anbieter) zum verwechseln ähnlich sehen. Der Benutzer soll mit dieser Mail dazu verführt werden (z.B. durch Androhung von Accoutsperrungen oder versäumten Zahlungen etc.), auf einen enthaltenen Link zu klicken. Dieser führt auf eine gefälschte Internetseite, die der Seite des entspr. Internetdienstes zum verwechseln ähnlich sieht. Gibt man hier jetzt jedoch seine Anmeldedaten ein, so wird man nicht etwa bei seinem Internetdienst angemeldet, sondern die Anmeldedaten werden an den Angreifer weitergeleitet. Eine techn. Gegenmaßnahme gibt es hier nicht, lediglich der Anwender muss hier sensibilisiert werden. Es sollte immer eine Warnleuchte im Kopf angehen, sobald ein Link in einer Mail enthalten wird, in der gleichzeitig auch Druck aufgebaut werden soll. Gebt die Adressen der Internetdienste selbst im Browser ein, benutzt eure Favouriten im Browser oder benutzt spezialisierte Apps. - Physikalische Durchsuchung
Zugegeben, die Bezeichnung klingt hochtrabend, bedeutet aber nichts Anderes als das Umdrehen der Tastatur, öffnen der Stiftschublade des Schreibtisches, umsehen auf dem Schreibtisch und Monitor. Besonders an gemeinsam genutzten Rechnern, werden hier ganz gerne diese kleinen, gelben Klebenotizen angeheftet, auf denen die Zugangsdaten notiert sind.
Nachdem wir nun einen kleinen Blick auf die Seite der bösen Jungs geworfen haben, können wir damit anfangen, uns zu überlegen, welches Passwort wohl gegen die obigen Methoden am besten standhalten kann. Eigentlich sollte Ina1dgf_y23! doch ein passendes Kennwort sein? - Falsch, denn dieses kann man sich nicht merken und muss es zwngsläufig irgendwo griffbereit aufschreiben.
Wenn ein Wort nicht ausreicht, um der Wörterbuchattacke zu entgehen, dann nehme ich eben zwei Wörter. Dabei sollte ich sicherstellen, dass diese beiden Wörter thematisch nicht zusammenpassen, denn auch hier gibt es inzwischen intelligente Systeme, die solche Kombinationen automatisieren:
froschklingel
Für den Anfang schon ganz passabel, allerdings braucht ein Brute-Force-Attacke lediglich einen Bereich von 'a' bis 'z' zu durchsuchen, also einen Bereich von gerade mal 26 Buchstaben. Mit einer kleinen Änderung verdopple ich die Anzahl der zu durchsuchenden Kombinationen:
FroschKlingel
Eine Brute-Force-Attacke muss nun schon einen Bereich von 52 Buchstaben durchsuchen, was den Aufand schon sehr erhöht. Ich bringe dann noch 10 weitere Möglichkeiten ins Spiel:
FroschKlingel2022
Damit habe ich nun nicht nur den Aufwand bei einer Brute-Force-Attacke vervielfacht, sondern ich habe auch noch die Wörterbuchattacke "abgehängt". Aber das ist mir noch nicht genug, also packe ich noch die Kür obendrauf, indem ich noch mehr Zeichen in Spiel bringe:
Frosch_Klingel_2022
Damit habe ich ein Kennwort, das ich mir merken kann, also nirgends aufschreiben muss. Außerdem hat es mit meinen privaten Details nichts zu tun. Damit habe ich gegen vier der fünf oben genannten Methoden Vorkehrungen getroffen, man kann also sagen, ich habe ein sicheres Kennwort gefunden.
In der Tat ist das auch die Methode, die ich zum Erfinden meiner Kennwörter verwende. Damit nutze ich meist zwei Dinge, die ich auf/an meinem Schreibtisch sehe, kombiniere Diese mit der Jahreszahl im zwei- oder vierstelligen Format, würze das noch mit Sonderzeichen und habe mein Kennwort. Durch Homeoffice und Büro habe ich dazu noch verschiedene Dinge, die auf/an meinem Schreibtisch liegen, so dass auch hier schwer nachvollziehbar ist, welche Begriffe ich genutzt habe.
froschklingel
Für den Anfang schon ganz passabel, allerdings braucht ein Brute-Force-Attacke lediglich einen Bereich von 'a' bis 'z' zu durchsuchen, also einen Bereich von gerade mal 26 Buchstaben. Mit einer kleinen Änderung verdopple ich die Anzahl der zu durchsuchenden Kombinationen:
FroschKlingel
Eine Brute-Force-Attacke muss nun schon einen Bereich von 52 Buchstaben durchsuchen, was den Aufand schon sehr erhöht. Ich bringe dann noch 10 weitere Möglichkeiten ins Spiel:
FroschKlingel2022
Damit habe ich nun nicht nur den Aufwand bei einer Brute-Force-Attacke vervielfacht, sondern ich habe auch noch die Wörterbuchattacke "abgehängt". Aber das ist mir noch nicht genug, also packe ich noch die Kür obendrauf, indem ich noch mehr Zeichen in Spiel bringe:
Frosch_Klingel_2022
Damit habe ich ein Kennwort, das ich mir merken kann, also nirgends aufschreiben muss. Außerdem hat es mit meinen privaten Details nichts zu tun. Damit habe ich gegen vier der fünf oben genannten Methoden Vorkehrungen getroffen, man kann also sagen, ich habe ein sicheres Kennwort gefunden.
In der Tat ist das auch die Methode, die ich zum Erfinden meiner Kennwörter verwende. Damit nutze ich meist zwei Dinge, die ich auf/an meinem Schreibtisch sehe, kombiniere Diese mit der Jahreszahl im zwei- oder vierstelligen Format, würze das noch mit Sonderzeichen und habe mein Kennwort. Durch Homeoffice und Büro habe ich dazu noch verschiedene Dinge, die auf/an meinem Schreibtisch liegen, so dass auch hier schwer nachvollziehbar ist, welche Begriffe ich genutzt habe.
Kennwörter für Internetdienste
Grundsätzlich gilt hier das gleiche, was ich schon für die Anmeldekennwörter geschrieben habe. Jedoch hier kommt noch der Faktor hinzu, dass es zum Erstellen und merken von Kennwörter sog. Passwortmanager oder Passwortvaults gibt. Diese Programme sind unglaublich praktisch zum Verwalten verschiedener Kennwöter für verschiedene Dienste, man muss jedoch auch ein großes Vertrauen in den Hersteller solcher Programme haben, daß dort keine Hintertüren zum entschlüsseln der Datenbanken eingebaut sind. Open Source werden hier jetzt einige rufen, aber mal ehrlich, wer kann schon den Quellcode einer solchen Anwendung lesen und verstehen? - Ich kann es nicht, also muss ich dem Programmierer vertrauen.
Ganz besonderes Vertrauen muß ich ihm sogar entgegenbringen, wenn ich aus Bequemlichkeit möchte, dass sich die Kennwörter noch über mehrere meiner Devices (Computer, Tablett, Smartphone, ...) synchronisieren möchte. Dabei ist es unerheblich, ob dies über eine Cloudlösung des Programmherstellers, über eine kommerzielle Cloudlösung oder eine private Lösung geschieht, die Datenbank muß irgendwie geartet vollständig im Netzwerk verfügbar gemacht werden.
Ich verwende eine solche Lösung. Ich habe mich hier für das Produkt Keypass entschieden. Ich lasse meine Kennwörter für Internetdienste von diesem Tool erzeugen, habe die Datenbank jedoch mit einem nach obiger Methode erstellten Kennwort als auch mit einem digitalen Schlüssel versehen. Sicherungskopien mache ich auch davon, dabei achte ich jedoch sehr darauf, daß der digitale Schlüssel und die Datenbank immer auf getrennten Datenträgern liegen und nie zusammen in einem Backup zu finden sind.
Vielleicht fragt sich auch jemand, warum der ganze Aufwand, man kann doch einfach ein einziges Kennwort für alle Dienste nutzen. Richtig, das kann man machen, das ist dann halt Scheiße. Wird ein einziger der Accounts gehackt (z.B. durch zu schlechte Sicherung der Kundendatenbank seitens des Diensteanbieters), dann hat der Angreifer auch gleich die Anmeldedaten zu allen anderen Diensten.
Ganz besonderes Vertrauen muß ich ihm sogar entgegenbringen, wenn ich aus Bequemlichkeit möchte, dass sich die Kennwörter noch über mehrere meiner Devices (Computer, Tablett, Smartphone, ...) synchronisieren möchte. Dabei ist es unerheblich, ob dies über eine Cloudlösung des Programmherstellers, über eine kommerzielle Cloudlösung oder eine private Lösung geschieht, die Datenbank muß irgendwie geartet vollständig im Netzwerk verfügbar gemacht werden.
Ich verwende eine solche Lösung. Ich habe mich hier für das Produkt Keypass entschieden. Ich lasse meine Kennwörter für Internetdienste von diesem Tool erzeugen, habe die Datenbank jedoch mit einem nach obiger Methode erstellten Kennwort als auch mit einem digitalen Schlüssel versehen. Sicherungskopien mache ich auch davon, dabei achte ich jedoch sehr darauf, daß der digitale Schlüssel und die Datenbank immer auf getrennten Datenträgern liegen und nie zusammen in einem Backup zu finden sind.
Vielleicht fragt sich auch jemand, warum der ganze Aufwand, man kann doch einfach ein einziges Kennwort für alle Dienste nutzen. Richtig, das kann man machen, das ist dann halt Scheiße. Wird ein einziger der Accounts gehackt (z.B. durch zu schlechte Sicherung der Kundendatenbank seitens des Diensteanbieters), dann hat der Angreifer auch gleich die Anmeldedaten zu allen anderen Diensten.
Man sollte daher für jeden Dienst, den man im Internet nutzt, ganz gleich, ob dies ein E-Mail-Account, eine Homebanking-Anmeldung, ein Forenaccount, ein Kundenkonto oder was auch immer ist, ein separates Kennwort verwenden.
Es wird immer jemanden geben, der geleakte Kundendaten eines Diensteanbieters auch Versuche unternimmt, sich bei zufällig ausgewählten Diensteanbietern mit den jeweiligen Daten versucht, anzumelden.
Es wird immer jemanden geben, der geleakte Kundendaten eines Diensteanbieters auch Versuche unternimmt, sich bei zufällig ausgewählten Diensteanbietern mit den jeweiligen Daten versucht, anzumelden.