Passwörter
Aus Palita
Ein Passwort auch Kennwort oder engl. password, ist eine geheime Zeichenkette zur Identifizierung und Authentifizierung. Es gehört meistens zu einer Identität, der z.B. ein eindeutiger Benutzernamen oder eine Emailadresse zugeordnet ist.
Bei der Wahl eines Passworts im Internet oder auf dem PC gibt es einige Dinge die man beachten sollte, um akzeptable Sicherheit und Schutz zu erlangen.
Inhaltsverzeichnis |
Zeichen im Passwort
Ein Passwort sollte nicht nur Buchstaben enthalten, sondern auch aus Ziffern und Sonderzeichen bestehen, damit es schwerer zu erraten wird. Eine hohe Sicherheit erreichst du, wenn du Kleinbuchstaben, Großbuchstaben, Sonderzeichen und Ziffern in deinem Passwort verwendest.
Länge eines Passwortes
Die Länge eines Passwortes spielt eine wesentliche Rolle. Um an Passwörter von dritten zu gelangen, gibt es viele Möglichkeiten. Die einfachste davon ist die sogenannte Brute-Force-Methode, bei der einfach jede mögliche Kombination ausprobiert wird. Das klingt umständlich, aber durch die Leistung moderner Computer und bestimmten Algorithmen, die diesen Vorgang optimieren, kann das unter Umständen sehr einfach sein - und mit dem richtigen Programm kann es auch jeder selbst machen. Da das Interesse an fremden Passwörtern recht hoch ist, ist es also wichtig, ein möglichst langes Passwort zu verwenden, dass durch Brute-Force-Methoden nur nach extrem langer Zeit "erraten" werden kann.
Wie lang ein Passwort sein sollte kann so man nicht sagen, bei einigen Passwortverschlüsselungen ist ab einer Länge von 30 Zeichen keine höhere Sicherheit mehr spürbar. Es wird im Allgemeinen empfohlen, eine Länge von mindestens 15 Zeichen zu verwenden und dabei sowohl Klein- / Großbuchstaben, Zahlen und Sonderzeichen zu integrieren. Idealerweise könnte man auch sagen, ein Passwort sollte so lange und komplex sein, dass es mindestens so lange dauern würde, es zu erraten, bis es nicht mehr verwendet wird oder die Lebensdauer des Benutzers überschreitet.
Passwörter merken
Viele haben das Problem, dass sie sich Passwörter nicht merken können und daher zu einfachen Wörtern greifen, an die man sich gut erinnern kann. Viele Programme zum Finden von Passwörtern probieren aus diesem Grund Wörterbücher durch, wodurch auch ausreichend lange Passwörter, die durch eine brute-force Attacke nicht gefunden werden könnten, ermittelt werden. Deshalb ist es von großer Wichtigkeit auch Zahlen oder Sonderzeichen in das Passwort zu integrieren, da sich solche Kombinationen in der Regel nicht in den Wörterbüchern finden lassen.
Eine einfache Möglichkeit zum Merken von Passwörtern ist das Bilden einer Eselsbrücke, so kann man z.B. das auf den ersten Blick unleserliche Passwort
IgjTu8UadA!
Den leicht zu merkenden Satz
Ich gehe jeden Tag um 8 Uhr auf die Arbeit!
ergeben.
Man kann hier noch einige weitere Sonderzeichen und Ziffern einsetzen, indem man Buchstaben, die ähnlich aussehen wie existierende Sonderzeichen oder Zahlen, durch solch ersetzt. Beispiel:
I6jTu&Uad4!
ergibt
Ich 6ehe jeden Tag um & Uhr auf die 4rbeit!
Nun ist deine Kreativität gefragt, überleg dir einen Satz, mach nimm jeden Anfangsbuchstaben der Wörter und schmücke sie mit Zahlen und Sonderzeichen. Schon hast du ein akzeptables Passwort.
Zu Beachten ist, dass der Satz: "Ich 6ehe j..." deutlich sicherer als die verkürzte Version ist. Letztere besteht aus 11 Zeichen, eine brute-force Attacke müßte entsprechend nur ca. 70^11 Kombinationen(26 Großbuchstaben + 26 Kleinbuchstaben + 10 Zahlen + x Sonderzeichen) durchprobieren, was noch im Bereich des Möglichen liegt. Um den ganzen Satz durchzuprobieren bedarf es aber bis zu 70^43 Versuche. Dies ist unter den bekannten physikalischen Gesetzen nicht möglich. Und da dieser Satz wegen den Wörtern 6ehe oder 4rbeit auch in keinem Wörterbuch auftaucht spricht gegen seine Verwendung nur die längere Tipparbeit.
Wiederverwendung
Ein weiteres Sicherheitsrisiko gehst du ein, wenn du ein Passwort für mehrere Webseiten bzw. Programme verwendest. Nach Möglichkeit solltest du für alles ein eigenes Passwort haben, unter anderem aus dem Grund, dass du oft nicht weißt, wie dein Passwort gespeichert wird.
Gehen wir mal davon aus, dass du ein Emailkonto bei GMX hast. Logischerweise muss dein Passwort ja irgendwie bei GMX gespeichert werden, sonst könnte GMX ja nicht überprüfen, ob du das richtige Passwort eingegeben hast. Dein Passwort wird normalerweise als Hash-Wert gespeichert, es ist also nicht direkt sichtbar, sondern aus ihm wird von einem Algorithmus eine Zeichenkette generiert, die nicht wieder zu deinem Passwort zurück generiert werden kann. Doch bei manchen Webseiten oder Programmen kannst du dir nicht sicher sein, wie diese Passwörter gespeichert werden. Teilweise werden solche auch als Klartext gespeichert und sind durch einen Einblick in die Benutzerdatenbank direkt einsehbar - so leicht kommt man an dein Passwort für alle deine Konten im Internet und bestellt mal eben ein paar Sachen, tätigt ein paar Überweisungen und kündigt deinen Freunden über StudiVZ die Freundschaft - wenn man einfach mal böse sein will.
Aber nicht nur die Speicherung im Klartext kann Gefahren darstellen, sondern auch die Speicherung mit veralteten Algorithmen, die als geknackt gelten.
Die gelegentliche Änderung deines Passworts sorgt natürlich auch noch für Sicherheit. Je öfter desto besser - und besser manchmal als nie.
TIPP: Verwende ein Passwort das sich aus einem sicheren Grundpasswort (s.o.) und dem Namen des Dienstes bei dem Du Dich anmeldest besteht. Für Dein Mailkonto benutzt Du z.B. das Passwort "I6jTu&Uad4!mail", für Deinen Jabber-Account "I6jTu&Uad4!jabber", usw. Das verhindert wenigstens automatisierte Passwortangriffe.
Alternativen
Es gibt einige alternative Verfahren zur Authentifizierung am lokalen PC. Viele Hersteller bieten mittlerweile biometrische Authentifizierungsverfahren an, die dem Anwender das merken von Passwörtern ersparen sollen, diese haben jedoch wesentliche Sicherheitstechnische mängel. Beispielsweise kann ein Gesichtserkennungssystem mit einem Hochauflösenden Foto der Person überwunden werden, welches in gewissen Abstand an die Authentifizierungskamera gehalten wird. Fingerabdruck-Sensoren können mit einem nachgemachten Fingerabruck der Person überlistet werden ([1]). Diese Systeme bieten also einen schwächeren Schutz als ein gutes Passwort.
