Startseite
Impressum
Skills
Referenzen
pfeil Produkte
Links
pfeil Tips
Benutzerverwaltung 1
Benutzerverwaltung 2
Das ideale Paßwort
Datum und SQL-DB
DSL-Probleme
Dr. Watson Teil 1
Dr. Watson Teil 2
DTS Automatisierung
Installation autom.
Kalender und Zeit
Mail Automatisierung
Office Automation
Stack Frame
SQL Server
Strings + Unicode
VB 6 Tips & Tricks
Windows-Uhrzeit

 

Drucker - freundliche Darstellung


  zalando.de - Schuhe und Fashion online

 

Letzte Aktualisierung: 04.01.2023



Der Weg zum idealen Paßwort

Diese Frage ist eine Wissenschaft für sich. Um die ideale Paßwortstrategie zu finden, versetzt man sich am Besten in die Situation möglicher Angreifer, schaut sich erfolgreiche Angriffe und Strategien an, und entwickelt daraus seine eigenen Konsequenzen. Wen die Taktiken der Angreifer nicht interessieren, kann auch den folgenden Absatz überspringen.

Die Taktiken der Angreifer
Die Benutzerdaten sind bei Online-Dienstleistern meistens in Datenbanken abgelegt, und das jeweilige Paßwort ist in der Regel nicht im Klartext, sondern als sogenannter Hashwert verschlüsselt abgespeichert. Altmodische Angebote speichern Paßwörter mitunter noch im Klartext, hier hat ein Angreifer leichtes Spiel, wenn er einmal an die Datenbank ran kommt; diese Klartextspeicherung kommt aber heute kaum noch vor. Wenn nun also ein Angreifer eine Benutzerdaten-Datei erbeutet hat, steht er vor der Aufgabe, die verschlüsselten Paßwörter wieder zurück in den Klartext zu bekommen, mit dem Ziel, zusammen mit den ebenfalls gespeicherten persönlichen Daten (Email-Adresse, Bankverbindung!) bei anderen Online-Diensten damit Beute zu machen. Dieser Prozess des Entschlüsselns ist nicht ganz trivial, und erfordert viel Rechenleistung und Zeit. Jedoch wird diese Entschlüsselung professionell durchgeführt, und ist eine einigermaßen dokumentierte Wissenschaft für sich. Der Angreifer nutzt dabei mathematische Berechnungen und versucht durch probieren von Unmengen selbst konstruierter Paßwörter herauszufinden, ob das eine oder das andere selbst konstruierte verschlüsselte Paßwort dabei in der Datenbank gefunden wird. Der Aufwand für den Angreifer steigt dabei exponentiell mit der Länge des Paßworts. Bei der Konstruktion der Probe-Paßwörter nutzt der Angreifer dabei Wörterbücher, die es mittlerweile in vielfältigen Variationen mit unglaublichem Umfang zum kostenlosen Download im Internet gibt. Außerdem werden Variationen durchprobiert, indem man Zahlen oder ein Sonderzeichen an die Wörter vorne oder hinten dran hängt, und auch Kombinationen von mehreren Wörtern werden durchprobiert. Als Zahlen werden z.B. die Jahreszahlen der letzten Jahre gerne verwendet, weil sie sich als sehr häufig vorkommend erweisen. Vornamen sind ebenfalls sehr schnell erraten, auch in Kombination mit Jahreszahlen. Der alte Trick, daß man Buchstaben ersetzt durch Zahlen, die so ähnlich aussehen wie der Buchstabe (also z.B. „g3h31m“ statt „geheim“) hat sich längst herumgesprochen, die Hacker-Tools haben hierfür spezielle Vorkehrungen in ihren Wörterbuch-Variationsfunktionen.

Was also ist zu tun ? Zum einen sollte man sich vergegenwärtigen, welche Authentifizierungen sind besonders sensibel, und welche nicht ? Besonders sensibel sind alle Bereiche, in denen ein Angreifer potentiell unmittelbar Beute machen kann, also z.B. Online-Banking, PayPal, aber auch der eigene eMail- und facebook-Account, weil ein Angreifer hier großen Schaden anrichten kann. Besonders sensitiv ist auch das Master-Paßwort eines Key-Tresors auf dem eigenen PC, sofern man einen nutzt (also ein Programm, welches meine Paßwörter kennt und verwaltet). Mittel bis sehr sensibel sind auch alle Services, bei denen man aus Bequemlichkeit seine Zahlungsdaten hinterlegt hat (Kreditkarte, Bankverbindung), denn auch dort kann ein Angreifer ggfs ordentlich Schaden anrichten. Wenig sensibel sind alle Services wie z.B. kleinere Webshops, die keine Zahlungsinformationen dauerhaft hinterlegt haben. Gerade bei kleineren Webshops muß man immer damit rechnen, daß der technische Absicherungs-Aufwand nur moderat ist, und ein Angreifer immer mal die kompletten Kundendaten abgreifen kann. Daher hier nie ein Paßwort verwenden, welches man im sensiblen Bereich nutzt. Oder ein Blog, in dem ich mehr oder weniger anonym auftrete, dort ist das Paßwort ziemlich Wurscht. Wenn jemand das Paßwort klaut, mache ich einen neuen Account auf. Das gilt auch für meine Wegwerf-Email-Adresse (Sie wissen was das ist ? Ein kostenloser Email-Account, den ich nur nutze für neugierige Webseiten, die zwingend meine Email-Adresse abfragen und mir eine Test-Mail zur Authentifizierung schicken, denen ich meine wirkliche Email aber nicht geben möchte).

Daher sollte man folgende Regeln beachten:

    1. Bereichen, die ich selbst als wenig sensibel eingestuft habe, nicht (dauerhaft) die Kreditkartendaten/Kontoverbindung anvertrauen, und dort keinesfalls Paßwörter verwenden, die in sensitiven Bereichen verwendet werden. Ein Angreifer, der hier Ihre Daten erbeutet, wird versuchen, sich mit Ihrem Account (eMail plus Paßwort) auch woanders anzumelden und weitere Beute zu machen. Es hilft auch nichts, hier ein sensibles Paßwort nur leicht zu modifizieren durch Austausch einer Zahl oder eines Buchstabens, auch damit kommt ein Angreifer zurecht, wie oben beschrieben.

    2. Sensible Bereiche sollten alle ein unterschiedliches Paßwort bekommen, auch hier sollte man keine kleineren Änderungen an bereits genutzten Paßwörtern vornehmen, sondern komplett andere Paßwörter.

    3. Länge hilft immer. Je länger ein Paßwort, desto besser. In sensiblen Bereichen sollte man nie weniger als 8 Zeichen verwenden, ich verwende hier in der Regel 16 – 30 Zeichen.

Ich bin noch immer die Antwort schuldig, wie man denn jetzt das ideale Paßwort findet. Das ideale Paßwort läßt sich weder aus Wörtern in Wörterbüchern zusammenbauen, noch aus Wörterbuch-Wörtern mit ein paar Zahlen und Sonderzeichen drum herum,und es ist lang.

Wenn es um einen Dienst geht, den man eh nur vom heimischen PC aus nutzt, dann bietet es sich an, einen guten Zufalls- Paßwort-Generator (z.B. PWGen) in Kombination mit einem Paßwort-Tresor (z.B. Keepass, Lastpass, etc) zu nutzen, denn diese Paßwörter muß man nicht auswendig kennen. Das man den Tresor nicht in der Cloud ablegt, sollte selbstverständlich sein. Ich persönlich mißtraue Smartphones auch zu sehr, als daß ich dort solche sensiblen Sachen ablegen würde.

Häufig möchte man sich die Paßwörter aber auch merken, um unterwegs mit dem Smartphone Dienste nutzen zu können. Außerdem muß das Master-Paßwort zum Tresor ja auch ein „gutes“ sein, das man auswendig kennt.

In dem Fall habe ich für mich den Weg gewählt, Teile aus Schlagern, die nicht sehr bekannt sind, aber deren Texte ich auswendig kenne, zu verwenden, und diese Texte auf die Anfangsbuchstaben zu reduzieren. Ein Beispiel (dieser Schlager ist relativ bekannt, aber es ist ja nur ein Beispiel): Der Refrain eines bekanntes Schlagers von Udo Jürgens lautet „Ich war noch niemals in New York, ich war noch niemals auf Hawaii, ging nie durch San Francisco in zerriss'nen Jeans“. Daraus würde man als Paßwort bauen: IwnniNY,iwnnaH,gndSFizJ. Je unbekannter der Text, desto besser; man muß es nur sicher auswendig können. Wenn man statt des Refrains einen anderen Teil des Textes nimmt, umso besser. Wenn man es perfekt machen will, baut man noch Sonderzeichen nach einer festen Regel ein, also zum Beispiel ein ö nach jedem Vers, oder eine Tilde (~) hinter jeden Großbuchstaben, ein ß hinter jedes fünfte Zeichen, und fertig ist ein wirklich gutes Paßwort. Ich empfehle übrigens deutsche Umlaute (ä/ö/ü/ß) eher als die bekannteren Sonderzeichen wie */ #, weil sie von ausländischen Angreifern seltener in brute-force-Attacken verwendet werden. Jetzt muß man nur noch einen Weg finden, die Assoziation zwischen dem Schlagertext und dem benutzten Dienst zu finden (wir wollen ja für jeden sensiblen Dienst ein anderes Paßwort finden). Also: Miles-and-More.de erinnert mich an Lufthansa und New York, also genau diesen Schlager, also nehme ich dort Udo Jürgens. Das erfordert einige Minuten an Kreativität, aber es lohnt sich.

Paßwort-Policies in Firmen
Noch eine abschließende Bemerkung hierzu. Ich habe meine eigene Meinung zu diesen policies, aus langjähriger Erfahrung. Es startet immer damit, daß der Chef meint, wir müssen etwas für den Datenschutz tun, und einen Rechtsanwalt damit beauftragt, ein neues Datenschutzkonzept zu erstellen. Der Rechtsanwalt sagt dann, es sei heute allgemein üblicher Brauch, daß die Benutzer gezwungen werden, alle 30 Tage ihr Paßwort zu ändern, und daß es mindestens 12 Stellen lang sein muß, Groß- und Kleinbuchstaben enthalten muß, Sonderzeichen und Zahlen müssen auch drin sein. Diese Regel wird dann durchgesetzt und über Nacht vom Administrator erzwungen. Am folgenden Tag kommen die Mitarbeiter und müssen morgens etwas zeitkritisches erledigen, werden vom Anmeldedienst genervt mit der neuen Vorgabe, und müssen sich auf die Schnelle „irgendein“ Paßwort ausdenken, welches den neuen Sicherheitsrichlinien genügt. Das Horst Meyer so ein Paßwort nicht auf Abruf in petto hat, dürfte jedem klar sein. Was also ist die logische Folge ? Wenn Sie als Fremder in dieses Büro gehen, garantiere ich Ihnen, daß Sie an jedem Arbeitsplatz in weniger als 20 Sekunden einen User-Account ergattern. Einige kleben ihr Paßwort als Post-IT an den Monitor, klügere kleben es unter die Tastatur, bei einigen steht es oben auf dem Notizblock … aber auswendig kann sich das keiner merken. So ist „gut gemeint“, wie so häufig, das Gegenteil von „gut gemacht“. Ich plädiere stets dafür, daß bei Paßwortrichtlinien dafür gesorgt wird, daß die Mitarbeiter in der Lage sein müssen, ihr Paßwort auswendig zu kennen, ansonsten macht es keinen Sinn. Als Paßwortrichtlinie begrüße ich eine lange Mindestlänge, aber der erzwungene Wechsel alle X Tage, oder die erzwungenen Groß-/Kleinbuchstaben, Sonderzeichen und Zahlen lehne ich aus genanntem Grund ab, weil sie das Gegenteil dessen bewirken, was eigentlich gewünscht ist.

Buchtips

Support, Feedback, Anregungen

Alles verstanden ? Oder noch Fragen ? Wir freuen uns über Feedback zu den Tips, auch über Verbesserungsvorschläge. Schreiben Sie an support@a-m-i.de.