Sicheres Passwort – HowTo und HowToNot

Von Eddy2909 @mailify_de

Regelmäßig gibt es Datenleaks und werden gehackte Passworte veröffentlicht. Weshalb sichere Passworte wichtig sind, muss eigentlich niemand erklären. Ich tue es trotzdem. Zuletzt wurden zahlreiche Privataufnahmen von Prominenten veröffentlicht, nachdem ein Hacker sich Zugang zu deren iCLoud verschaffen konnte. Erst Anfang 2014 wurden 16 Millionen, dann 18 Millionen Passworte von verschiedenen Internetdiensten veröffentlicht.

copyright by mailify.de

Gibt es sichere Passworte?

Zuerst einmal: Nein, ein Passwort an sich, kann nicht “sicher” sein. Das liegt an den verschiedenen Angriffsmöglichkeiten auf Passworte, Accounts, Datenbanken etc. Ein Passwort ist immer nur so gut, wie die Sicherheit der Systeme die es durchläuft. Soll bedeuten: Ein gutes Passwort ist nichts wert, wenn die Verbindug zur Login-Webseite nicht verschlüsselt ist oder es anschließend unverschlüsselt in einer Datenbank abgelegt wird. Andererseits sollte es dennoch heutigen Mindestanforderungen an Passworten genügen:

Passwort – DO’s

mind. 8 Zeichen
Großbuchstaben
Kleinbuchstaben
Sonderzeichen
Zahlen
(Umlaute)

Angriffsszenarien auf Daten, Passworte und Accounts

  • SocialEngineering
    (Systematisches Ausprobieren von bekannten oder recherchierbaren Kenngrößen wie Namen, Geburtsdaten, Orten etc.)
  • BruteForce
    (Systematisches Ausprobieren von “zufälligen” Kombinationen)
  • RainbowTables
    (Schnelles Ausprobieren und Abgleichen der gegebenen Passwort-Hashwerte mit den errechneten Hashwerten)
  • Dictionary
    (Wörterbuch)
  • Sicherheitslücken in Webseiten, Frameworks oder Hardware
  • NSA

b1b3773a05c0ed0176787a4f1574ff0075f7521e

Stellen wir uns das Szenario vor, ein Hacker hat es durch einen BruteForce-, Wörterbuch- oder Social engineered Angriff geschafft, die richtige Kombination aus Benutzername und Passwort herauszufinden, dann liegt ihm in der Regel das Passwort im Klartext vor. Nutz der Hacker jedoch eine Sicherheitslücke im anzugreifenden Dienst / Webseite sind die Passworte meist verschlüsselt oder zumindest gehashed. Hier kommt es dann auf das Verschlüsselungsverfahren an. MD5, wenn man es als Verschlüsselung anerkennt, gilt wie auch SHA1 als unsicher. Da die Hash-Ergebniswerte von z.B. MD5 und SHA1 der selben Eingangswerte immer die gleichen sind, lassen sich im Laufe der Zeit in großen Datenbanken alle möglichen Möglichkeiten von Passworten generieren und zu Abfrage hinterlegen. Der SHA1 Wert von “qwertz” beispielsweise ist b1b3773a05c0ed0176787a4f1574ff0075f7521e und kann problemlos auf Seiten wie http://www.hashkiller.co.uk/sha1-decrypter.aspx geknackt werden. Bei md5 sieht es ähnlich einfach aus. Bei einem Passwort wie beispilesweise D!D5PDlJH sieht es schon anders aus. Es ist also extrem wichtig mit einem guten Passwort für die eigene Sicherheit zu sorgen, es liegt aber nicht allein in der eigenen Hand.

Passwort – DONT’s

keine Namen
keine Geburtstage
keine Orte (Wohnorte)
keine Worte aus Wörterbüchern
keine Benutzernamen

Die häufigsten Passworte

  Häufigkeit      Hash                            Passwort
1.   1911938      EQ7fIpT7i/Q=                    123456
2.    446162      j9p+HwtWWT86aMjgZFLzYg==        123456789
3.    345834      L8qbAD3jl3jioxG6CatHBw==        password
4.    211659      BB4e6X+b2xLioxG6CatHBw==        adobe123
5.    201580      j9p+HwtWWT/ioxG6CatHBw==        12345678
6.    130832      5djv7ZCI2ws=                    qwerty
7.    124253      dQi0asWPYvQ=                    1234567
8.    113884      7LqYzKVeq8I=                    111111
9.     83411      PMDTbP0LZxu03SwrFUvYGA==        photoshop
10.    82694      e6MPXQ5G6a8=                    123123
11.    76910      j9p+HwtWWT8/HeZN+3oiCQ==        1234567890
12.    76186      diQ+ie23vAA=                    000000
13.    70791      kCcUSCmonEA=                    abc123
14.    61453      ukxzEcXU6Pw=                    1234
15.    56744      5wEAInH22i4=                    adobe1
16.    54651      WqflwJFYW3+PszVFZo1Ggg==        macromedia
17.    48850      hjAYsdUA4+k=                    azerty
18.    47142      rpkvF+oZzQvioxG6CatHBw==        iloveyou
19.    44281      xz6PIeGzr6g=                    aaaaaa
20.    43670      Ypsmk6AXQTk=                    654321
21.    43497      4V+mGczxDEA=                    12345
22.    37407      yp2KLbBiQXs=                    666666
23.    35325      2dJY5hIJ4FHioxG6CatHBw==        sunshine
24.    34963      1McuJ/7v9nE=                    123321
25.    33452      yxzNxPIsFno=                    letmein
26.    32549      dCgB24yq9Bw=                    monkey
27.    31554      dA8D8OYD55E=                    asdfgh
28.    28349      L8qbAD3jl3jSPm/keox4fA==        password1
29.    28303      zk8NJgAOqc4=                    shadow
30.    28132      Ttgs5+ZAZM7ioxG6CatHBw==        princess
31.    27853      pTkQrKZ/JYM=                    dragon
32.    27840      2aZl4Ouarwm52NYYI936YQ==        adobeadobe
33.    27720      NpVKrCM6pKw=                    daniel
34.    27699      Dts8klglTQDioxG6CatHBw==        computer
35.    27415      4aiR1wv9z2Q=                    michael
36.    27387      XpDlpOQzTSE=                    121212
37.    26502      ldvmctKdeN8=                    charlie
38.    25341      5nRuxOG9/Ho=                    master
39.    24499      y7F6CyUyVM/ioxG6CatHBw==        superman
40.    24372      R3jcdque71gE+R+mSnMKEA==        qwertyuiop
41.    23417      TduxwnCuA1U=                    112233
42.    23157      2hD1nmJUmh3ioxG6CatHBw==        asdfasdf
43.    22719      MyFBO2YW+Bw=                    jessica
44.    22672      cSZM/nlchzzioxG6CatHBw==        1q2w3e4r
45.    22204      Vqit1GVLLek=                    welcome
46.    22180      e+4n2zDarnvioxG6CatHBw==        1qaz2wsx
47.    22143      ZHgi8hFCTvrSPm/keox4fA==        987654321
48.    22103      OrzNCxMfwrw=                    fdsa
49.    21795      4chDWZgI7v0=                    753951
50.    21449      vp6d18mfGL+5n2auThm2+Q==        chocolate
(aus dem Adobe Hack aus 2013, Quelle: http://stricture-group.com/files/adobe-top100.txt)

Wie kann ich mich schützen?
Tipps zur Erstellung eines sicheren Passwortes

1. Nutzen Sie nur vertrauenswürdige Dienste und Seiten
2. Denken Sie sich ein komplexes Passwort aus, etwa: JH&ftwZ8″$hfz)D34I%§oeiR. Zumindest wäre das sicher – aber leider nicht alltagstauglich. Daher der mailify-Tipp:

Kombinationen

Speziell zusammengesetzte Kombinationen bilden die Brücke zwischen kaum zu merkenden kryptischen Zeichenfolgen und merkbaren und dennoch sicheren Passworten.
Für das Erstellen eines sicheren, aber gut zu merkenden Passwortes nutzen wir Ersatzzeichen. Beispiel: Die “5” sieht ähnlich aus wie ein “S” oder “s”.
5 / S / s
1 / I / i / l / !
3 / E / €
0 / O / o / °
4 / A / @

Mit diesen Ersatzzeichen bauen wir uns eine Kombination aus einem ersten Teil, der dienstübergreifend gleich bleibt wie z.B. MeinPass und einem zweiten Teil, der sich auf den Dienst bezieht wie z.B. facebook. So wird aus “MeinPass” und “facebook” “M3inPa$$.fac3b00k” oder  aus “SuperSicher” und “Twitter” wird “5uper-51cher.Twitter”. Diese Methode erhöht die möglichen Kombinationen unwahrscheinlich, Hacker haben diese Methode aber mittlerweile auch auf dem Schirm. Eine andere Möglichkeit sind:

Satzinitialien

Eine andere Möglichkeit ist das Nutzen der Anfangsbuchstaben eines einfach zu merkenden Satzes. So wird aus “Das ist das sicherstes Passwort, das ich für facebook jemals hatte.” ergibt: DIDSPDIFFACEBOOKJH. Gematched mit der Kombinationstechnik ergibt das D!D5PDlFF@C3B00KJH – Klein- & Großschreibung berücksichtigt: D!d5PdlfF@c3b00kJh

Keine ähnlichen Beiträge gefunden.