Sicherheit im Netz – Tipps und Tricks für ein sicheres Passwort

Das Thema Sicherheit liegt uns beim The Safe Shop sehr am Herzen – das gilt auch für Datensicherheit. Speichermedien mit wichtigen oder vertraulichen Daten können mit einem unserer Datensafes vor Feuer und Diebstahl einfach geschützt werden. Gegen Hackerangriffe bringen Tresore aber natürlich nichts. Dort muss ein sicheres Passwort her. Um Ihnen auch außerhalb von Tresor-Fragen bei Sicherheitsangelegenheiten zu helfen, setzen wir uns in diesem Blogeintrag mit dem Thema Sicherheit im Internet, genauer gesagt mit der Passwortsicherheit auseinander. Wir möchten Ihnen im Folgenden wertvolle Tipps geben, die das Gestalten und Merken von schwer zu knackenden Passwörtern einfach machen.

Unsichere Passwörter in Deutschland

Sicherheit scheint nach wie vor ein stark vernachlässigter Aspeket bei der Internetnutzung zu sein. Dies ist Kriminellen offensichtlich deutlich bewusst, da sie kräftig Gebrauch von der Unwissenheit der Deutschen machen. Laut der polizeilichen Kriminalstatistik 2013 erreichte die sogennante Cyberkriminalität, dass heißt Delikte, die im Internet begangen wurden (z.B. Ausspähen von Daten wie Bankverbindung, Computersabotage) einen Rekordwert. Das Erschreckende: Nur 25% der Straftaten im Bereich Internetkriminalität werden aufgeklärt. In Zeiten von Heartbleed und groß angelegten Datenklaus ist diese Entwicklung nicht verwunderlich. Ein Grund für den Anstieg der Cyberkriminalität ist, dass viele Internetnutzer ein viel zu leichtes Passwort haben und so Hackern einfach Zugang zu ihrem E-Mail- oder sogar Bankkonto ermöglichen.

Der Grund für den zu leichtfertigen Umgang mit den eigenen Passwörtern und dafür, dass bei Smartphones zum Teil ganz darauf verzichtet wird, liegt meist in der Unwissenheit der User. Manche denken sich sicherlich, dass niemand ihre Daten für so wichtig hält, dass er Stunden oder Tage damit verbringt, viele Kombinationen durchzugehen. Oder aber sie glauben, dass Leute im Internet nicht wissen können, dass ihre Katze „Susi“ heißt. Gerade auch für Unternehmen ergibt sich ein nicht zu verharmlosendes Risiko, wie Roland Paier, Geschäftsführer des österreichischen EDV Dienstleisters Diropa erklärt: “Die Gefahr durch automatisierte Passwort-Hackversuche ist keinesfalls zu unterschätzen und Schnittstellen zum Internet gibt es mittlerweile nahezu in allen Unternehmen durch Mail-Services oder Remote Desktop Services!”

Dabei ist Usern häufig nicht klar, dass Opfer häufig nicht gezielt sondern durch Zufall ausgewählt werden. Man sollte aber wissen, dass Hacker in den meisten Fällen nicht einfach versuchen ein Konto gezielt zu knacken. Hack-Experte und wissenschaftlicher Mitarbeiter am Institut für Internet Sicherheit der Westfälischen Hochschule Frank Timmermann gibt hierzu zu bedenken: „In der Regel wird nicht gezielt ein System angegriffen, sondern es wird versucht viele Systeme gleichzeitig anzugreifen.“ Außerdem wissen viele PC-Nutzer nicht, dass kaum ein Hacker von Hand Kombinationen durchprobiert, sondern dass leistungsstarke Computersysteme die Arbeit meist in Sekunden erledigen. Laut Timmermann können moderne Grafikprozessor-Systeme 63 Milliarden Kombinationen pro Sekunde durchprobieren.

In diesem Artikel möchten wir Ihnen helfen, ein möglichst sicheres und gleichzeitig einprägsames Passwort zu erstellen. Hierfür möchten wir zunächst in einfachen Worten erklären, was Einfluss auf die Sicherheit eines Passwortes hat, wie man ein Passwort „sicher“ macht und wie man sich dieses Passwort merkt.

 

Wie sicher ist mein Passwort?

Es ist Ihnen sicherlich aufgefallen, dass wir „sicher“ in Anführungszeichen geschrieben haben. Das liegt daran, dass es kein hunderprozentig sicheres Passwort gibt. Bei der sogenannten Brute-Force-Methode werden einfach, wie der Name nahelegt, mit „roher Gewalt“ alle möglichen Kombinationen ausprobiert. Jedes Passwort kann also theoretisch geknackt werden, wenn man es

Kurzes, einfaches Passwort

Abbildung 1: 3-stelliges Passwort aus 3 Zeichen

nur lang genug versucht. Ziel ist es daher, mit einem Passwort die Zahl der möglichen Kombinationen zu vergrößern, damit ein Hackerangriff zu lange dauern würde und somit für den Angreifer unwirtschaftlich wird. Ihr Passwort sollte also lang sein und aus Klein- und Großbuchstaben, Zahlen sowie Sonderzeichen bestehen.

Da das auf den ersten Blick ein wenig unverständlich klingen mag, benutzen wir das Beispiel des Zahlenschlosses, wie man es bei einem Safe oder einem Geldautomaten findet. Nehmen wir zum Verständnis zunächst an, dass wir nur 3 Stellen und lediglich 3 Zeichen („1“, „2“ und „3)“ zur Verfügung haben wie in Abbildung 1. Insgesamt ergeben sich 27 Möglichkeiten, „1“, „2“ und „3“ miteinander zu kombinieren. Da es

Mögliche Kombinationen für 1,2,3

Abbildung 2: Alle Kombinationen für 1,2 und 3 bei drei Stellen

verständlicher ist, wenn man die Kombinationen vor Augen hat, haben wir alle Möglichkeiten in Abbildung 2 einmal aufgelistet. Man kann die Menge der Kombinationen auch ganz einfach errechnen. Man erhält 33 Möglichkeiten, wobei „3“ (die Basis) für die Anzahl der verwendbaren Zeichen und „3“ (der Exponent) für die Anzahl der Stellen steht.

Der wichtigste Hinweis für die Sicherheit eines Passwortes ergibt sich nun aus der Anzahl der nötigen Kombinationen (K) und der Anzahl der Kombinationen, die ein Hacker in einer bestimmten Zeit ausprobieren kann (A). Gehen wir der Einfachheit halber nun davon aus, dass eine Person 20 Kombinationen pro Minute ausprobieren kann. Die Zeit (T), die jemand maximal braucht um das Passwort zu knacken errechnet sich wie folgt. T=K/A (also in unserem Fall 27/20). Daraus ergibt sich, dass ein Hacker, wenn er 20 Kombinationen pro Minute ausprobieren kann, nicht einmal 2 Minuten brauchen um alle Kombinationen durchzugehen. Auf den ersten Blick sieht man, dass dies nicht sicher genug ist. Wie können wir nun also unser Passwort verbessern?

Kurzes, komplexes Passwort

Abbildung 3: 3-stelliges Passwort aus 62 Zeichen

Es gibt zwei Möglichkeiten: Erstens können wir die Anzahl der Symbole erhöhen (siehe Abbildung 3). Nehmen wir an, dass wir zusätzlich zu „1“, „2“ und „3“ auch die restlichen Zahlen sowie das Alphabet in Groß- und Kleinschreibung hinzunehmen. Somit erhöht sich die Anzahl der Zeichen auf insgesamt 62 (10 für die Zahlen „1“-„9“ und „0“, 26 für das kleine Alphabet sowie 26 für das große Alphabet). Die Anzahl der Kombinationsmöglichkeiten ist demnach 62^3 oder 238.328. Der Exponent „3“ steht hier wieder für die 3 Stellen, die unser Passwort hat. Die maximale Hackzeit ergibt sich nun, wenn wir diese Zahl durch 20 (die Anzahl der Versuche pro Minute) teilen. Schlagartig erhöht sich die nötigte Zeit, um alle Kombinationen durchzugehen, auf 8 Tage, 6 Stunden, 36 Minuten und 24 Sekunden. Das sieht schon besser aus. Zusätzlich sollten Satz- („!“, „.“, „?“ etc.) sowie Sonderzeichen („€“; „$“, „%“ etc.) im Passwort verwendet werden, da man die Anzahl der Zeichen so auf über 90 erhöhen kann.

Die zweite Möglichkeit zur Verbesserung des Passwortes ist die Anzahl der Stellen zu erhöhen. Wir benutzen dafür nun 12 Stellen, wobei wir die Zeichenanzahl unverändert bei 3 lassen. Die Anzahl der Kombinationen ist somit bei 3^12 oder 531.441. Diese Zahl ist mehr als doppelt so groß wie die Anzahl der Möglichkeiten die wir bekommen, wenn wir 3 Stellen aus 62 Zeichen wählen würden. Dementsprechend verändert sich auch die Zeit auf 18 Tage, 10 Stunden, 52 Minuten und 3 Sekunden. Das sieht auf den ersten Blick auch sehr gut aus. Jedoch haben wir der Einfachheit halber ja die Anzahl der Versuche, die pro Minute unternommen werden können, stark

Langes, einfaches Passwort

Abbildung 4: 12-stelliges Passwort aus 3 Zeichen

unterschätzt. In der Realität kann die Anzahl der Versuche leicht im zwei- bis dreistelligen Milliardenbereich pro Sekunde liegen. Damit wäre weder das Beispiele aus Abbildung 3 noch das aus Abbildung 4 sicher. Bei beiden wäre weniger als eine Sekunde nötig, um alle Kombinationen durchzugehen. Dazu kommt, dass so gut wie nie alle Kombinationsmöglichkeiten probiert werden müssen, da natürlich schon vorher das richtige Passwort dabei sein kann.

Die logische Konsequenz ist ein Passwort aus möglichst vielen verschiedenen Zeichen und mit möglichst vielen Stellen zu erstellen (siehe Abbildung 5). Schauen wir mal, wie sich die Sicherheit verändert, wenn wir für 12 Stellen aus 62 (Zahlen, Groß- und Kleinbuchstaben) Zeichen auswählen.

Langes, komplexes Passwort

Abbildung 5: 12-stelliges Passwort aus 62 Zeichen

Wir erhalten nun 62^12, also 3.226.266.762.397.899.821.056 Kombinations-möglichkeiten und eine Hackzeit, die 3 Jahre überschreitet. Bei dieser Berechnung gehen wir davon aus, dass das Passwort in der Hälfte der Zeit geknackt wird. Dies ist sinnvoll, da man wie oben erwähnt selten alle Kombinationen durchgehen muss, bis man auf das Passwort stößt. Ein Passwort, für das man sehr wahrscheinlich über 3 Jahre zum Hacken braucht, klingt schon relativ sicher, doch da Hackersysteme immer leistungsfähiger werden und sich mittlerweile für viele ein großer Teil des Lebens am PC und im Internet abspielt, sollte man lieber auf ein sehr sicheres Passwort setzen. Dieses kann man durch noch mehr Stellen sowie Satz- und Sonderzeichen bekommen.

Warum sollte mein Passwort kein Wort oder Satz sein?

Wie wir gesehen haben, ist die Länge eines Passwortes (viele Stellen) entscheidender als die Komplexität (viele Zeichen). Da liegt es nahe, sich zu fragen, ob man dann nicht einfach einen ganzen Satz oder ein langes Wort nutzen kann, um sich sein Passwort leicht merken zu können. Die kurze Antwort auf diese Frage ist „nein“. Der Grund hierfür liegt in der Vorgehensweise der Hacker. Sie wenden verschiedene Strategien an, um Systeme mit Passwörtern zu knacken. Laut Herrn Timmermann werden unter anderem Wörter aus Wörterbüchern („Dictionary Attacks“) in verschiedenen Sprachen und aus unterschiedlichen Themenbereichen ausprobiert.

Im Rahmen unserer Recherche haben wir auch mit einem Mitglied des Chaos Computer Clubs (CCC), der größten Hackergemeinschaft Europas, gesprochen und er rät generell von Passwörtern ab, die Wörter enthalten. Seiner Meinung nach überschätzen Menschen häufig die Komplexität von Sprachen. Wenn man sich vor Augen führt, dass Sprachen selten mehr als 1 Millionen Wörter umfassen und der Grundwortschatz noch weit geringer ist, wird deutlich, dass ein modernes Hackersystem nicht lange brauchen wird, um das richtige Wort zu finden.

Außerdem werden Wörter ausprobiert, in denen einzelne Buchstaben mit ähnlich aussehenden Zahlen oder Sonderzeichen ersetzt wurden (z.B. „Hallo“ wird zu „H@llo“). Wörter aus dem Duden in Kombination mit anderen Zeichen (z.B. „12Hallo34“) werden genauso ausprobiert, wie häufige Passwörter (darunter z.B. „passwort“, „123456“), sogenannte Common Word Attacks. Aus diesem Grund scheiden auch Wörter in Kombination mit Zeichen sowie veränderte Wörter (Mehrzahl von Nomen, Vergangenheit von Verben usw.) aus. Das letzte Mittel ist dann das Durchprobieren von allen möglichen Kombinationen. Dies möchte man erreichen, da es die meiste Zeit in Anspruch nimmt.

Sowohl unser Interviewpartner vom Chaos Computer Club als auch Frank Timmermann von der Westfälischen Hochschule raten deshalb zu Passwörtern, die möglichst lang (mindestens 10 Zeichen) und komplex (Groß- und Kleinbuchstaben, Zahlen, Sonder- und Satzeichen) sind.

Wie kann ich mir ein sicheres Passwort merken?

Wir wissen nun, dass ein einigermaßen sicheres Passwort sowohl komplex als auch lang ist und keinem (für Maschinen) feststellbaren System folgt. Doch wie lässt sich ein solches Passwort überhaupt merken? Ein Passwort wie „Y7/6%$skKlmÄ@8/]§“ lässt sich sehr schwer merken und ist damit nicht besonders hilfreich. Wie wäre es also stattdessen mit einem Satz? „Ich liebe meine Katze über alles“. Der Satz ist einfach und gut zu merken, sollte jedoch nicht als Satz verwendet werden, da er bei Wörterbuch- oder Grundwortschatzattacke wahrscheinlich nicht lange standhalten würde.

Man kann jedoch einfach bestimmte Buchstaben aus jedem Wort auswählen und daraus das Passwort entstehen lassen. Nehmen wir zum Beispiel immer den ersten und letzten Buchstaben der Wörter. „Ich liebe meine Katze über alles“ wird so zu „IhlemeKeüras“. Jetzt können wir das Ganze noch etwas verbessern, indem wir einige Sonderzeichen einfügen, die ein bisschen wie die jeweiligen Buchstaben aussehen. „I“ kann durch ein „!“ und „L“ durch eine „1“ ersetzt werden „€“ statt „E“ oder „$“ anstatt „S“. Wie wäre es somit mit „!h1€MeKeÜrA$.“. Hier haben wir jedes Wort entweder mit einem Sonderzeichen oder Großbuchstaben begonnen, damit neben Groß- auch noch Kleinschreibung vorhanden ist. Zusätzlich wird der Satz nun mit einem Punkt beendet. Eventuell sollte man das „Ü“ noch durch „Ue“ ersetzen, um im Ausland keine Probleme zu bekommen. Denken Sie also bei der Passwortwahl daran, dass manche Buchstaben und Sonderzeichen auf ausländischen Tastaturen nicht vorhanden sind.

Unser Passwort ist nun also „!h1€MeKeUErA$.“, hat 14 Zeichen und bedient sich beim Gesamtsortiment der verfügbaren Zeichen (Klein- und Großbuchstaben, Zahlen, Sonderzeichen). Es wird zwar nie einen hundertprozentigen Schutz geben, doch sinkt das Risiko einer erfolgreichen Attacke erheblich, wenn die Anzahl der möglichen Kombination sehr groß ist. Bei unserem Passwort wären 96^14 (über 5 Quadrilliarden) Kombinationen möglich und das Hacken würde laut Passwortchecker der Uni Emden selbst mit einem sehr leistungsfähigen Hacker-System über 5 Millionen Jahre dauern (bei 150 Milliarden getesteten Passwörtern pro Sekunde und der angenommenen Wahrscheinlichkeit, dass das Passwort nach der Hälfte der Zeit geknackt wird). Anfangs ist es vielleicht noch ein bisschen schwierig, sich das neue, sichere Passwort zu merken, doch mit dem Satz als Eselsbrücke sollte es leicht sein, sich das Passwort wieder in Erinnerung zu rufen.

Nach mehreren Eingaben muss man oft gar nicht mehr an den Satz denken, da man sich durch die Wiederholung das Eintippmuster merkt. Natürlich sollten weder das Passwort noch der Satz an andere weitergegeben werden. Selbst für den Passwortchecker sollte man nie das tatsächliche Passwort sondern nur ein ähnliches Muster verwenden. Für Passwörter, die man nicht häufig verwendet und deshalb auch auf Dauer nicht gut in der Erinnerung bleiben, bietet sich ein Passwort-Manager an. Das Master-Passwort hierfür sollte entsprechend ein langes und komplexes sein.

Da dies nun unglaublich viele Informationen waren, haben wir das Wichtigste in der folgenden Infografik zusammengefasst:

© The Safe Shop

© The Safe Shop

Creative Commons Licence
Das Perfekte Passwort by www.thesafeshop.de is licensed under a Creative Commons Attribution-ShareAlike 4.0 International License.
Based on a work at http://www.thesafeshop.de/blog/sicheres-passwort/.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *