Regelmäßig gibt es Datenleaks und werden gehackte Passworte veröffentlicht. Weshalb sichere Passworte wichtig sind, muss eigentlich niemand erklären. Ich tue es trotzdem. Zuletzt wurden zahlreiche Privataufnahmen von Prominenten veröffentlicht, nachdem ein Hacker sich Zugang zu deren iCLoud verschaffen konnte. Erst Anfang 2014 wurden 16 Millionen, dann 18 Millionen Passworte von verschiedenen Internetdiensten veröffentlicht.
copyright by mailify.de
Gibt es sichere Passworte?
Zuerst einmal: Nein, ein Passwort an sich, kann nicht “sicher” sein. Das liegt an den verschiedenen Angriffsmöglichkeiten auf Passworte, Accounts, Datenbanken etc. Ein Passwort ist immer nur so gut, wie die Sicherheit der Systeme die es durchläuft. Soll bedeuten: Ein gutes Passwort ist nichts wert, wenn die Verbindug zur Login-Webseite nicht verschlüsselt ist oder es anschließend unverschlüsselt in einer Datenbank abgelegt wird. Andererseits sollte es dennoch heutigen Mindestanforderungen an Passworten genügen:
Passwort – DO’s
mind. 8 Zeichen
Großbuchstaben
Kleinbuchstaben
Sonderzeichen
Zahlen
(Umlaute)
Angriffsszenarien auf Daten, Passworte und Accounts
- SocialEngineering
(Systematisches Ausprobieren von bekannten oder recherchierbaren Kenngrößen wie Namen, Geburtsdaten, Orten etc.) - BruteForce
(Systematisches Ausprobieren von “zufälligen” Kombinationen) - RainbowTables
(Schnelles Ausprobieren und Abgleichen der gegebenen Passwort-Hashwerte mit den errechneten Hashwerten) - Dictionary
(Wörterbuch) - Sicherheitslücken in Webseiten, Frameworks oder Hardware
- NSA
b1b3773a05c0ed0176787a4f1574ff0075f7521e
Stellen wir uns das Szenario vor, ein Hacker hat es durch einen BruteForce-, Wörterbuch- oder Social engineered Angriff geschafft, die richtige Kombination aus Benutzername und Passwort herauszufinden, dann liegt ihm in der Regel das Passwort im Klartext vor. Nutz der Hacker jedoch eine Sicherheitslücke im anzugreifenden Dienst / Webseite sind die Passworte meist verschlüsselt oder zumindest gehashed. Hier kommt es dann auf das Verschlüsselungsverfahren an. MD5, wenn man es als Verschlüsselung anerkennt, gilt wie auch SHA1 als unsicher. Da die Hash-Ergebniswerte von z.B. MD5 und SHA1 der selben Eingangswerte immer die gleichen sind, lassen sich im Laufe der Zeit in großen Datenbanken alle möglichen Möglichkeiten von Passworten generieren und zu Abfrage hinterlegen. Der SHA1 Wert von “qwertz” beispielsweise ist b1b3773a05c0ed0176787a4f1574ff0075f7521e und kann problemlos auf Seiten wie http://www.hashkiller.co.uk/sha1-decrypter.aspx geknackt werden. Bei md5 sieht es ähnlich einfach aus. Bei einem Passwort wie beispilesweise D!D5PDlJH sieht es schon anders aus. Es ist also extrem wichtig mit einem guten Passwort für die eigene Sicherheit zu sorgen, es liegt aber nicht allein in der eigenen Hand.
Passwort – DONT’s
keine Namen
keine Geburtstage
keine Orte (Wohnorte)
keine Worte aus Wörterbüchern
keine Benutzernamen
Die häufigsten Passworte
Häufigkeit Hash Passwort
1. 1911938 EQ7fIpT7i/Q= 123456
2. 446162 j9p+HwtWWT86aMjgZFLzYg== 123456789
3. 345834 L8qbAD3jl3jioxG6CatHBw== password
4. 211659 BB4e6X+b2xLioxG6CatHBw== adobe123
5. 201580 j9p+HwtWWT/ioxG6CatHBw== 12345678
6. 130832 5djv7ZCI2ws= qwerty
7. 124253 dQi0asWPYvQ= 1234567
8. 113884 7LqYzKVeq8I= 111111
9. 83411 PMDTbP0LZxu03SwrFUvYGA== photoshop
10. 82694 e6MPXQ5G6a8= 123123
11. 76910 j9p+HwtWWT8/HeZN+3oiCQ== 1234567890
12. 76186 diQ+ie23vAA= 000000
13. 70791 kCcUSCmonEA= abc123
14. 61453 ukxzEcXU6Pw= 1234
15. 56744 5wEAInH22i4= adobe1
16. 54651 WqflwJFYW3+PszVFZo1Ggg== macromedia
17. 48850 hjAYsdUA4+k= azerty
18. 47142 rpkvF+oZzQvioxG6CatHBw== iloveyou
19. 44281 xz6PIeGzr6g= aaaaaa
20. 43670 Ypsmk6AXQTk= 654321
21. 43497 4V+mGczxDEA= 12345
22. 37407 yp2KLbBiQXs= 666666
23. 35325 2dJY5hIJ4FHioxG6CatHBw== sunshine
24. 34963 1McuJ/7v9nE= 123321
25. 33452 yxzNxPIsFno= letmein
26. 32549 dCgB24yq9Bw= monkey
27. 31554 dA8D8OYD55E= asdfgh
28. 28349 L8qbAD3jl3jSPm/keox4fA== password1
29. 28303 zk8NJgAOqc4= shadow
30. 28132 Ttgs5+ZAZM7ioxG6CatHBw== princess
31. 27853 pTkQrKZ/JYM= dragon
32. 27840 2aZl4Ouarwm52NYYI936YQ== adobeadobe
33. 27720 NpVKrCM6pKw= daniel
34. 27699 Dts8klglTQDioxG6CatHBw== computer
35. 27415 4aiR1wv9z2Q= michael
36. 27387 XpDlpOQzTSE= 121212
37. 26502 ldvmctKdeN8= charlie
38. 25341 5nRuxOG9/Ho= master
39. 24499 y7F6CyUyVM/ioxG6CatHBw== superman
40. 24372 R3jcdque71gE+R+mSnMKEA== qwertyuiop
41. 23417 TduxwnCuA1U= 112233
42. 23157 2hD1nmJUmh3ioxG6CatHBw== asdfasdf
43. 22719 MyFBO2YW+Bw= jessica
44. 22672 cSZM/nlchzzioxG6CatHBw== 1q2w3e4r
45. 22204 Vqit1GVLLek= welcome
46. 22180 e+4n2zDarnvioxG6CatHBw== 1qaz2wsx
47. 22143 ZHgi8hFCTvrSPm/keox4fA== 987654321
48. 22103 OrzNCxMfwrw= fdsa
49. 21795 4chDWZgI7v0= 753951
50. 21449 vp6d18mfGL+5n2auThm2+Q== chocolate
(aus dem Adobe Hack aus 2013, Quelle: http://stricture-group.com/files/adobe-top100.txt)
Wie kann ich mich schützen?
Tipps zur Erstellung eines sicheren Passwortes
1. Nutzen Sie nur vertrauenswürdige Dienste und Seiten
2. Denken Sie sich ein komplexes Passwort aus, etwa: JH&ftwZ8″$hfz)D34I%§oeiR. Zumindest wäre das sicher – aber leider nicht alltagstauglich. Daher der mailify-Tipp:
Kombinationen
Speziell zusammengesetzte Kombinationen bilden die Brücke zwischen kaum zu merkenden kryptischen Zeichenfolgen und merkbaren und dennoch sicheren Passworten.
Für das Erstellen eines sicheren, aber gut zu merkenden Passwortes nutzen wir Ersatzzeichen. Beispiel: Die “5” sieht ähnlich aus wie ein “S” oder “s”.
5 / S / s
1 / I / i / l / !
3 / E / €
0 / O / o / °
4 / A / @
Mit diesen Ersatzzeichen bauen wir uns eine Kombination aus einem ersten Teil, der dienstübergreifend gleich bleibt wie z.B. MeinPass und einem zweiten Teil, der sich auf den Dienst bezieht wie z.B. facebook. So wird aus “MeinPass” und “facebook” “M3inPa$$.fac3b00k” oder aus “SuperSicher” und “Twitter” wird “5uper-51cher.Twitter”. Diese Methode erhöht die möglichen Kombinationen unwahrscheinlich, Hacker haben diese Methode aber mittlerweile auch auf dem Schirm. Eine andere Möglichkeit sind:
Satzinitialien
Eine andere Möglichkeit ist das Nutzen der Anfangsbuchstaben eines einfach zu merkenden Satzes. So wird aus “Das ist das sicherstes Passwort, das ich für facebook jemals hatte.” ergibt: DIDSPDIFFACEBOOKJH. Gematched mit der Kombinationstechnik ergibt das D!D5PDlFF@C3B00KJH – Klein- & Großschreibung berücksichtigt: D!d5PdlfF@c3b00kJh
Keine ähnlichen Beiträge gefunden.