Canvas not supported
Canvas not supported
Suchen
Bookmark
Canvas not supported
Shine Effekt
Direkt zum Seiteninhalt

Hauptmenü:

Passwörter

 

Autor:

Oscar Kohler

Version:

0.11

Level:

Einfach

Sprache:

-


 
Haftungsausschluss / Disclaimer
Kontakt / Contact
Drucken / Print


Gedanken zu Passwörtern ...


Derzeit leben wir in einer regelrechten Passwort Hölle !


Bei allen möglichen Portalen, Shopping Sites, Firmen Logins, Telebanking, Email Accounts ... müssen wir uns mit dem Namen oder einer ID und einem dazugehörenden Passwort authentisieren.

Natürlich sollten die Passwörter unterschiedlich, möglichst originell und zudem sicher sein. Ausserdem müssen wir unsere Passwörter entsprechend den Richtlinien des Logins wählen.

Oft schreiben uns diese Richtlinien eine bizarre Komplexität vor, wie .zB.: 1. Buchstabe gross - 3. und 6. klein, Passwort darf nicht die Vornamen der amerikanischen Präsidenten beinhalten, mindestens 12 Buchstaben in Klein und Großschreibung - 4 Zahlen und 3 Sonderzeichen, u.s.w. ...

Hat man sich endlich ein schönes Passwort ausgedacht, sollte man es auch noch in regelmässigen, möglichst kurzen Abständen aktualisieren ...


Passwörter verbessern unsere Gehirnleistung


Das positive an dieser Sache ist nun, dass dies unsere Kreativität fordert und unsere Gehirnleistung verbessern kann.


  • Kreatives Passwort, nach den oben beschriebenen Kriterien ausdenken
  • Passwort und den dazugehörenden User / ID merken
  • Nicht vergessen, bei welchem Service wir diesen Login verwendet haben


In der Praxis: Passwörter aussuchen  ...


In der Praxis sieht dies leider oft so aus ...

  • Wo bin ich hier ? Buchhaltung, Lager, Schleiferei, ...
  • Was sehe ich ? Stuhl, Tisch, Fenster, Rucksack, ...
  • Persönliche Daten: Mein Geburtsdatum, Name / Geburtsdatum meiner Kinder, Name meines Haustieres, ...
  • Welchen Film / welches Buch finde ich toll ?

Komplexe Passwörter ...


  • Muss mindestens einen Großbuchstaben enthalten -> Erster Buchstabe wird groß geschrieben
  • Muss mindestens eine Zahl enthalten -> Es wird eine 1 angehängt
  • Muss mindestens ein Sonderzeichen enthalten -> Ein Rufezeichen wird angehängt
  • Darf keines der letzten 12 Passwörter sein -> Der Monat wird angehängt

Passwort Resultat


Das Passwort sieht dann oft etwa so aus:


  • pluto1
  • Lager6
  • Tisch12
  • 1968
  • Matrix11!


Warum sind das miese Passwörter ?


Solche Passwörter sind ratzfatz geknackt !
In den übelsten Fällen kann man das Passwort sogar erraten und benötigt nicht einmal ein spezielles Tool dafür ...

In der Praxis: Passwörter merken  ...


Die obigen Beispiele kann man in der Regel noch im Kopf behalten.

Zur Absicherung, oder bei etwas komplizierteren Passwörtern, findet man leider oft eine der folgenden Szenarien:

  • Überall das selbe Passwort verwenden
  • Postit mit Passwort an den Bildschirm kleben
  • Passwort auf ein Zettelchen schreiben und unter die Tastatur legen
  • Aktuelle Passwörter per mail an sich selbst senden
  • Liste mit aktuellen Passwörtern mit dem Namen "passwörter.doc" im Filesystem ablegen

Es ist vermutlich einleuchtend, dass diese Praktiken nicht zu empfehlen sind !

( Sollten sie sich in den oberen Punkten teilweise wiedererkennen, rate ich ihnen dringenst die Taktik zu ändern ! )

Warum sind gute Passwörter wichtig ?


Auch abgesehen davon, dass viele Logins zwingend starke Passwörter verlangen, ist es sehr wichtig starke und unterschiedliche Passwörter zu verwenden und diese auch regelmässig zu ändern.

Vielleicht denken sie, dass sie keine grossen Geheimnisse haben und sowieso kein Angriffsziel solcher Attacken sind ...
Möglicherweise ändert sich ihre Meinung aber, wenn ihnen nach einer "erfolgreichen" Passwort Attacke folgendes widerfährt:

  • Alle Fotos auf ihrer Festplatte wurden für jeden sichtbar im Internet verteilt. Vielleicht nicht geheim, aber doch privat ...
  • Ihre eMails wurden hemmungslos im Internet verstreut. Kann auch sehr unangenehm sein ...
  • Bei einer Suche nach Ihrem Namen im Internet finden Sie brisante Dinge wie Fotos, eMails, Rechnungen, ...
  • Sie bekommen auf einmal Rechnungen zu Bestellungen, die sie nicht getätigt haben ...
  • Auf Foren, in denen sie aktiv sind, haben sie Kommentare geschrieben, von denen sie gar nichts wissen ...
  • Im schlimmsten Fall, werden sie einer Straftat bezichtigt, die mit ihrem Login begangen wurde ...

Das Üble an solchen Vorfällen ist, dass sie in der Regel nicht rückgängig gemacht werden können. Das Internet vergisst leider nichts. Auch wenn sie beteuern, dass ihr Passwort gehacked wurde, glaubt man das sehr ungern und oftmals bleiben sie den Beweis schuldig ... 

Bessere Passwörter !


Es gibt unterschiedliche Techniken, wie man sich recht komplexe Passwörter ausdenkt und sich diese auch noch merken kann.

Recht beliebt ist die "Satz" oder "Geschichte" Methode:

Man denkt sich einen Satz, oder sogar eine ganze Geschichte aus und nimmt dabei jeweils den ersten Buchstaben der Wörter als Passwortzeichen. Zahlen und Satzzeichen ebenso.

Die erlebte Geschichte


Gestern ging ich gegen 23 ? Uhr nach Hause. Dabei sah ich, wie sich 3 Katzen und 2 Hunde vor meinem Haus prügelten !

Das resultierende Passwort


Ggig23?UnH.Dsi,ws3Ku2HvmHp!

Dieses Passwort ist nun recht komplex und wenn man sich die Geschichte wieder vor Augen führt auch recht leicht zu merken.

Automatisch generierte Passwörter


Streng kryptographisch gesehen, ist die "Geschichte" Methode immer noch nicht optimal.

  • Verteilung ist nicht optimal. Grossbuchstaben sind generell in der Unterzahl, gewisse Buchstaben wie z.B.: das "e" sind statistisch in der Überzahl
  • Zahlen kommen in der Regel seltener vor
  • Sonderzeichen sind auf wenige Satzzeichen begrenzt und kommen zudem selten vor

Aus diesem Grund bieten Passwort Generatoren ihre Dienste an.

Passwort Generatoren


Qualitätsmerkmale für einen guten Generator sind u.A. folgende:

  • Guter Zufalssgenerator
  • Optimale Verteilung und Gewichtung der einzelnen Charakter
  • Variable Passwort Länge
  • Klein / Grossbuchstaben, Zahlen und Sonderzeichen
  • Definierbare Kennwort Richtlinien

Dieser sollte dann recht brauchbare Passwörter ausspucken.

Beispiel Passwort Generator


Ein Beispiel eines einfachen Passwort Generators finden sie auf dieser Webseite.



Schon aufgrund der Tatsache, dass er in Typescript geschrieben wurde und somit den eher bescheidenen Zufallszahlen Generator: 'Math.random()' verwendet, zählt er sicher nicht zu den Top Generatoren.

Trotzdem bietet er einige Features und lädt zum Spielen ein:

  • Web basiert
  • Variable Passwortlänge
  • Wählbarer Charaktermodus: Zahlen, Buchstaben, Gross / Kleinschreibung, Sonderzeichen, ...
  • Definierbare Komplexität,
  • Statistik die zum Spielen einlädt. z.B.: Vergleich komplexität / passwortlänge

Passwort Generatoren haben allerdings einen kleinen Haken:

Die generierten Passwörter sind gar nicht intuitiv und daher sehr schwer zu merken.

Hier kommen nun spezielle Merkhilfen ins Spiel:

Passwort Safes


Oben haben wir schon besprochen, dass Merkhilfen wie Postits auf dem Monitor oder Zettelchen unter der Tastatur nicht gerade optimal sind und daher besseren Taktiken weichen sollten.


Passwort Safes sind hier eine Möglichkeit.


Funktionsweise eines Passwort Safes


Viele Safes funktionieren nach folgendem Prinzip:


  • Zuerst wird ein Masterpasswort definiert, das natürlich besonders sicher sein sollte
  • Alle folgend generierten oder eingegebenen Daten werden mit diesem Masterkey verschlüsselt.
  • Passwort / Username / Zugriff wird unter einem Stichwort, z.B.: MeineBank, in einem Container abgelegt
  • Benötigt man ein Passwort, gibt man das Stichwort und den Masterkey ein
  • Somit muss man sich nur noch den Masterkey merken


Anforderung an den Passwort Safe


Wichtige Anforderungen an einen Passwort Safe sind u.A. folgende:


  • Vertrauenswürdige Quelle
  • Hohe Verschlüsselungsqualität
  • Stabilität
  • Hoher Ausfallsschutz
  • Absolut sicherere Speicherung


Man muss immer bedenken, dass man diesem Stück Software das Geheimste anvertraut. Skepsis ist immer angebracht.

Daher ist der Beste und vertrauenswürdigste Passwort Safe gerade mal gut genug !


Zusätzliche interessante Features:


  • Biometrische Merkmale, z.B.: Fingerprint, als Masterkey verwendbar
  • Integrierter, guter Passwort Generator
  • Plugin für Webbrowser um Formulare automatisiert auszufüllen


Passwort Hacker


Wie kommen Hacker an ihre geheimen Passwörter ?


In den seltensten Fällen setzt sich ein Hacker vor ihren Computer und probiert verschiedenste Passwörter durch. Das wäre wohl recht auffällig und vorallem auch sehr zeitraubend.

Hacker setzen oft sehr rafinierte und technisch aufwändige Methoden ein, um an ihre Passwörter zu gelangen. Nicht selten wird zuvor eine andere Straftat begangen ! Manchmal macht man es ihnen aus Unachtsamkeit auch viel zu leicht.


Einige Beispiele hierzu ...

Unachtsamkeit


Hier finden wir auch einige bereits besprochene Punkte.


  • Passwort wird an den Computer geklebt oder unter die Tastatur gelegt
  • Man lässt das Notebook irgendwo liegen und es fällt in die falschen Hände
  • Man vergisst den Bildschirm zu sperren während man aus dem Raum geht
  • Man verliert die Tasche in der sich aufgeschriebene Passwörter befinden


Wie kann man versuchen sich davor zu schützen ?

  • Passwörter nicht aufschreiben
  • Sichere Passwörter verwenden
  • Gute Festplatten Verschlüsselung einsetzen
  • Automatische Bildschirmsperre
  • Vorsicht, Vorsicht, Vorsicht

Social Hacking


Hier versuchen Kriminelle, mit ganz üblen Tricks und unter Vorspiegelung falscher Tatsachen, geschickt Informationen aus ihnen herauszusaugen.


Beliebte Methoden:


  • Ihre Papiertonne wird durchsucht um an brauchbare Informationen zu kommen
  • Eine Person in ihrer Nähe beobachtet, oder filmt sie, wenn sie dabei sind ihr Passwort einzugeben
  • Sie erhalten einen fingierten Anruf "ihrer" Bank, "ihres" Software Betreuers, ... und werden geschickt nach ihrem Passwort ausgefragt
  • In einem Phising Mail, das aussieht wie von ihrer Bank oder ihrer Versicherung, werden sie gebeten, auf einer fingierten Webseite ihr Passwort einzugeben.
  • Sie werden auf eine Fakesite umgeleitet, die aussieht wie das Telebanking Portal ihrer Bank, natürlich alles fingiert.

Wie kann man versuchen sich davor zu schützen ?


  • Guten Virenscanner verwenden und diesen immer aktuell halten
  • Display Schutz anwenden
  • Sichere Passwörter verwenden
  • Vorsicht, Vorsicht, Vorsicht


Technische Hacking Angriffe


Beliebte Methoden:

  • Es wird ihnen ein Virus, Wurm, Trojaner untergejubelt, der Ihre Eingaben protokolliert und an Kriminelle weiterleitet
  • Aus der Ferne meldet sich jemand an ihrem Computer oder ihrem Login an und probiert automatisiert Passwörter durch
  • Ein Hardware Keylogger wird zwischen Tastatur und Computer geschaltet
  • Ein Angreifer nutzt eine Sicherheitslücke aus um an ihren Computer oder ihre Daten zu kommen


Wie kann man versuchen sich davor zu schützen ?

  • Guten Virenscanner verwenden und diesen immer aktuell halten
  • Konto Anmelde Einschränkungen überlegen
  • Konto Lockouts überlegen
  • Nur vertrauenswürdige Software einsetzen
  • Sichere Passwörter verwenden
  • Ungereimtheiten nachgehen
  • Vorsicht, Vorsicht, Vorsicht

Kriminelle Methoden


Nicht dass die anderen Methoden nicht auch schon kriminell wären. Bei diesen geht jedoch ein klassisch krimineller Angriff voraus.


  • Computer oder Festplatte wird entwendet
  • Bei einem Einbruch werden Computer oder Festplatten gestohlen
  • Bei einem Hack werden Passwort Datenbanken runtergeladen


Wie kann man versuchen sich davor zu schützen ?

  • Gute Festplattenverschlüsselung
  • Sichere Passwörter verwenden
  • Infrastruktur vor Einbruch und Hacker schützen


Brute Force Attacke


Wenn sie dem Hacker ihr Passwort nicht freundlicherweise selbst verraten haben oder er es irgendwo ablesen konnte, dann muss er versuchen es zu erraten.


Nehmen wir unseren Beispiel Passwort Generator.


Online Passwort Generator



Verwenden wir 8 Zeichen, die Groß / Kleinschreibung + Nummern und Sonderzeichen beinhalten, ergeben sich daraus:


1.370.114.370.683.140 Möglichkeiten


Im schlimmsten Falle müsste der Hacker also 1.370.114.370.683.140 unterschieldiche Passwörter ausprobieren um ihr Passwort zu erraten. Das ist relativ viel und mit heutiger Technik nicht zu schaffen. Daher gehen Hacker andere Wege ...


Wörterbuch Attacken


Wie ich bereits schon erwähnt hatte, verwenden Menschen in der Praxis gerne Passwörter, die sie sich auch merken können. Daher stehen sinnvolle Begriffe hoch im Kurs und werden gerne verwendet. Das wissen auch Hacker und ackern Passwörter mit Wörterbuch Listen durch. Da es sogar Listen der beliebtesten Begriffe gibt, werden diese zu allererst versucht.

Wörter werden auch untereinander kombiniert und Zahlen und Sonderzeichen vor und nach den Begriffen hinzugefügt.

Man würde sich wundern, wie schnell simple Passwörter erraten werden.


Passwort Datenbanken


Hacker attackieren gerne Passwort Datenbanken in der viele Passwörter abgelegt wurden, da sie wissen, dass es immer wieder Menschen gibt, die ganz simple Passwörter verwenden. Die Schwachen fallen eben zuerst.


Hash Attacken


Wenn sie ein Passwort bei einem Login eingeben, muss das System irgendwie verifizieren, ob das Passwort korrekt ist. Also muss das korrekte Passwort auf dem Server gespeichert sein.

Im dümmsten Falle im Klartext, aber in der Regel wird das Passwort gehashed. Das heisst, dass aus ihrem Passwort ein eindeutiger Hash, z.B.: md5 / sha1 errechnet und dann auf dem Server abgelegt wird. Dieser Hash ist im Optimalfall irreversible, d.h. man kann aus dem Hash ihr Passwort nicht zurückrechnen. Allerdings führt das gleiche Passwort, und im Optimalfall nur dieses, immer zum gleichen Hashwert.

Um an die Passwörter zu kommen, wird der Spiess nun umgedreht. Vor dem Angriff wird eine Hashtabelle angelegt, in der die Klartext Begriffe in Hashes umgerechnet und abgelegt werden. Anschliessend lässt man die Hashtable auf die Passwörter los. Bei einem Treffer bekommt der Hacker den korrespondierenden Klartext Begriff angezeigt.


Statistische Attacken


Bei der "Satz / Geschichten" Methode habe ich erwähnt, dass ein Nachteil darin besteht, dass die Zeichen nicht optimal verteilt sind. Manche Zeichen treten statistisch seltener / häufiger auf als andere. Dies wird bei statistischen Attacken ausgenutzt.  


Fortgeschrittene Hacking Techniken


Um auch Passwörter zu erraten, die in keinem Wörterbuch stehen oder zumindest aus Sätzen gebildet wurden, benötigt es fortgeschrittene Techniken. Alle Zeichenkombinationen in einer Hash Tabelle abzulegen, sprengt technisch total den Rahmen.

Immerhin kostet ein Eintrag in einer MD5 Hashtabelle 16 Bytes + Klartext. Das entspricht bei 6 Zeichen in unserem Beispiel Passwort Generator 4.954.391.215.488 Bytes, also knapp 5 Terrabytes, bei 7 Zeichen bereits ca. 404 Terrabytes, u.s.w.

Findige Menschen, mit gutem mathematischem Background, haben sich daher Techniken ausgedacht, die Daten besser zu organisieren und die Menge zu reduzieren. Eine dieser genialen Techniken ist die Rainbow Table.


Wenn ein Dienst gehacked wird ...


Starke Passwörter sind aktuell auch mit den genialsten Techniken nicht in einer vernüftigen Zeit zu knacken. Auch mit modernster Hardware und den ausgefeiltesten Algorithmen werden Jahre, Jahrzente oder sogar Jahrhunderte benötigt.


Allerdings nützt das Alles leider nichts, wenn der Service bei dem wir unser Passwort eingeben, seine Hausaufgaben nicht gemacht hat und die Passwörter unzureichend geschützt aufbewahrt. Wie ein aktueller Hack bei einem Multikonzern zeigt, der die Benutzer Passwörter angeblich im Klartext abgelegt hatte ... man glaubt es nicht !


Darauf haben wir leider keinen direkten Einfluss ...


Daher: Nicht nur komplexe Passwörter verwenden, sondern diese auch regelmässig erneuern und nicht gleichzeitig bei anderen Diensten verwenden !


Für jeden Dienst ein eigenes Passwort !


Sollte unser Passwort bei einem Dienst in die falschen Hände geraten, was schon schlimm genug sein kann, dann können die Gauner die das Passwsort entwendet haben, zumindest nicht an anderer Stelle mit unserem Passwort auf Einkaufstour gehen !



Komplexe Passwörter, die regelmäßig erneuert, sicher verwahrt und dienstbezogen eingesetzt werden sind eine wirkungsvolle Waffe gegen Cyber Kriminalität !



 
Kein Kommentar
 
Letzte Änderung: 03.02.2015
button Canvas not supported button
Zurück zum Seiteninhalt | Zurück zum Hauptmenü